Und da hat ich mich schon gefreut ....
Haben seit Anfang des Jahres Admidio für unsere Mitglieder online. Die Zahl der Seitenbesuche ist seit dem um 500% gestiegen.
Leider musste ich anhand der Logs feststellen, daß diese Besuche und Fehl-Logins nicht nur von der wachsenden Begeisterung unserer Mitglieder stammen ... sondern von Angriffsversuchen mit China IP. Sobalt eine Datenbank mit Daten zu Personen online ist - sind scheinbar auch Vereine nicht mehr sicher vor Hackingattacken. Ich habe nun alle mir bekannten IPs aus China gesperrt ... und siehe daaa unsere Besucherzahl ist wieder auf normal-Maß.
Gibts da Erfahrungen von Euch ?
Da wir ein Musikverein sind wollte ich ein MP3-Musikforum anbieten ... habe jetzt aber erstmal alle Test-Scripte vom Server genommen ... unsere Seite wurde gehackt. Hoffe Admidio hält dicht.
Ich denke mal es war mein Fehler - halb fertige Projekte auf den Server zu legen?!
Hat jemand schon ein fertiges sicheres (freies) MP3 Forum am Start?
Besten Dank Artifly
Angiff der China Hacker
-
matzman2000
- Former team member
- Beiträge: 1087
- Registriert: 2. Sep 2007, 17:12
- Wohnort: Itzstedt
- Kontaktdaten:
zugegeben ... ich hatte mehrere Scripte im Test ... aber eigentlich keine Installs oder so. Habe aber auf einem unserer Vereins PC einen Keylogger entdeckt evntl. hat der auch den Login mitgelesen.
Also am besten Vereinswebseiten nicht von einem Vereinsrechner administrieren sondern von einenm sicheren Rechner mit gutem OS.
phpbb2-3 gibt es da sowas wie ein MP3 Bandportal Plugin? Ich habe bisher nur phpbb2 als Textforum kennen gelernt.
bg artifly
Also am besten Vereinswebseiten nicht von einem Vereinsrechner administrieren sondern von einenm sicheren Rechner mit gutem OS.
phpbb2-3 gibt es da sowas wie ein MP3 Bandportal Plugin? Ich habe bisher nur phpbb2 als Textforum kennen gelernt.
bg artifly
Da ich bekanntlich beruflich im IT Security-Bereich tätig bin: Serverseitige Scripte programmieren ist mittlerweilen sehr anspruchsvoll geworden, gerade deshalb, weil PHP seinerzeit ohne "Security by Design" entstanden ist, d.h. aus Kompatibilitätsgründen leidet PHP auch heute noch daran, dass man relativ rasch unabsichtlich ein Scheunentor auf einem Webserver öffnen kann.
=> es reicht also nicht mehr, wenn die Seite bei "normalem" Browsergebrauch funktiniert, sondern man muss die Scripte bewusst auch mit völlig unerwartetem Input einmal testen. z.B. für Firefox gibt es ein spezielles Plugin names "TamperData", mit dem man Dinge wie z.B. Beachtung maxlength bei einem <INPUT> abschalten kann -> so lässt sich ein überlanger String senden. Experten empfehlen daher sog. Fuzzing, also das absichtliche "Füttern" einer Software mit "Müll" -> jeder Absturz bedeutet u.U. eine Ausnutzbarkeit als Sicherheitslücke!
=> es reicht also nicht mehr, wenn die Seite bei "normalem" Browsergebrauch funktiniert, sondern man muss die Scripte bewusst auch mit völlig unerwartetem Input einmal testen. z.B. für Firefox gibt es ein spezielles Plugin names "TamperData", mit dem man Dinge wie z.B. Beachtung maxlength bei einem <INPUT> abschalten kann -> so lässt sich ein überlanger String senden. Experten empfehlen daher sog. Fuzzing, also das absichtliche "Füttern" einer Software mit "Müll" -> jeder Absturz bedeutet u.U. eine Ausnutzbarkeit als Sicherheitslücke!
Teste die PC-Sicherheit mit www.sec-check.net
Security by Design
Danke für Ihre Antwort.
Habe in den vergangenen Monaten viel PHP und JS Jquery gelernt.
Werde jetzt wohl zwangläufig Zeit in Security by Design stecken.
Funktion
Optik
Sicherheit
Werde jetzt eine Testumgebung für unseren Verein einrichten und dann weiter am MP3-Band-Portal basteln.
bg Artifly
Habe in den vergangenen Monaten viel PHP und JS Jquery gelernt.
Werde jetzt wohl zwangläufig Zeit in Security by Design stecken.
Funktion Optik SicherheitWerde jetzt eine Testumgebung für unseren Verein einrichten und dann weiter am MP3-Band-Portal basteln.
bg Artifly
Hallo an alle, hallo matzman2000!
Hackerangriff, ja das hatte ich auch die letzten Tage.
Hat jemand einen Tipp, wie ich das so gut funktionierende phpbb2.0.23-Forum gegen Angriffe von aussen absichern kann?
Ich dachte eigentlich, wenn das phpbb2 bei adm_plugins reinkommt und der Link auf's Forum nur aktiv ist, wenn man in Admidio eingeloggt ist, würde es ausreichend geschützt sein, da versteckt!
Dem ist nicht so, das mussten wir mit 65 neuen Usern und 15 pfuiteufel
Beiträgen erfahren. 
Derzeit ist die Account-Freischaltung deaktiviert, in der Meinung das würde das autom. Login von Admidio aus hinden.
Dank im Voraus!
Jimly
Hackerangriff, ja das hatte ich auch die letzten Tage.
Hat jemand einen Tipp, wie ich das so gut funktionierende phpbb2.0.23-Forum gegen Angriffe von aussen absichern kann?
Ich dachte eigentlich, wenn das phpbb2 bei adm_plugins reinkommt und der Link auf's Forum nur aktiv ist, wenn man in Admidio eingeloggt ist, würde es ausreichend geschützt sein, da versteckt!
Dem ist nicht so, das mussten wir mit 65 neuen Usern und 15 pfuiteufel
Beiträgen erfahren. Derzeit ist die Account-Freischaltung deaktiviert, in der Meinung das würde das autom. Login von Admidio aus hinden.
Dank im Voraus!
Jimly
-
matzman2000
- Former team member
- Beiträge: 1087
- Registriert: 2. Sep 2007, 17:12
- Wohnort: Itzstedt
- Kontaktdaten:
Ich habe "damals" (als ich noch die Version 2 von phpbb) genutzt habe, ein Anti-Spam Mod. installiert. Da wurde die Registrierung derart verändert, dass die Bots - die für die Anmeldung und die Spam-Einträge verantwortlich sind - sich nicht mehr registrieren konnten. Dann war Ruhe....
Frag aber nicht, welche Mod. ich installiert hatte. Das ist zu lange her.
Frag aber nicht, welche Mod. ich installiert hatte. Das ist zu lange her.
