1. Главная
  2. Форумы
  3. Общие
  4. Обзоры и сравнения CMS

дождусь когда сломают?

Главные вкладки

Аватар пользователя garamond garamond 18 марта 2007 в 12:03

Прошло уже больше года как работают сайты на Drupal... пока тьфу-тьфу не сломали!
от коллег "сидяших" на других CMS (включая платные) - только и слышу постоянные проблемы.
...у многих конкурентов я уже в печёнке))

признаюсь, виноват - пару недель назад рискнул проспамить по 30000 форумов,
логотип и ссылку что сайтик сделан на Друпал при этом забыл убрать...
получил около 100 писем-угроз что "разнесём сайт в щепки!" (хлебные крошки) Lol

Комментарии

Аватар пользователя PVasili PVasili 18 марта 2007 в 12:49

Радуйся про себя, нужно будут поломают :). Студенты с ходу не могут(серьёзных дыр нет), а специалистам ты на фиг ты не нужен...

======================================================
Ссылки на:[url=http://drupal.ru/node/4210]Дизайн[/url],[url=http://drupal.ru/node/4207]Документацию[/url],[url=http://drupal.ru/node/3983]Переводы[/url].Тестируем [url=http://wiki.drupal.ru]WiKi[/url]

Аватар пользователя vadbars@drupal.org vadbars@drupal.org 18 марта 2007 в 13:26

Подпишитесь на рассылку security на drupal.org. Там своевременно (надеюсь) предупреждают об открытых дырах в модулях и ядре.


Я ставлю строчку "php_value error_reporting 7" в файл .htaccess, а вы? Smile Полный русский перевод Drupal 5.x и еще некоторых модулей.

Аватар пользователя PVasili PVasili 18 марта 2007 в 13:40

Безопасность и уязвимость вещи комплексные. Если ваша система безопасна, а у провайдера дыры, через которые можно залить к вам файл - то все остальное неважно Smile

======================================================
Ссылки на:[url=http://drupal.ru/node/4210]Дизайн[/url],[url=http://drupal.ru/node/4207]Документацию[/url],[url=http://drupal.ru/node/3983]Переводы[/url].Тестируем [url=http://wiki.drupal.ru]WiKi[/url]

Аватар пользователя garamond garamond 18 марта 2007 в 13:59

ситуация мне напоминает извечный платформенный спор: Mac - PC - *nix
17-ть лет работаю на Макинтошах... и за всё время не подцепил вирусов, троянов и пр. (в отличии от Пэ-Цэ)!
дело наверное в распространённости CMS

Аватар пользователя igdrasil@drupal.org igdrasil@drupal.org 4 апреля 2007 в 20:30

ситуация мне напоминает извечный платформенный спор: Mac - PC - *nix
17-ть лет работаю на Макинтошах... и за всё время не подцепил вирусов, троянов и пр. (в отличии от Пэ-Цэ)!
дело наверное в распространённости CMS

уже больше 10 лет, как у меня дома появился постоянный интернет, до сих пор ни 1 вируса/трояна не подцепил, хотя работаю в насквозь дырявых форточках... имхо дело не в распространенности системы, а в том, думает ли пользователь о собственной безопасности

Аватар пользователя kiev1 kiev1 5 апреля 2007 в 15:13

трояны-вирусы стали умнее и качественнее - от них зависит очень прибыльный бизнес спамеров и досеров
во-первых они стали встраиваться в файлы системы и не плодят лишнего в автозагрузке, во вторых теперь в связи с легкостью проникновения - им не нужно за секунду заражать как можно больше компьютеров, а достаточно посылать в день два-три совершенно с виду настоящих письма, в четвертых троян месяцами может не проявлять никакой активности.
думаю что определить что в системе точно нет трояна-вируса абсолютно невозможно

Ps - на курсах ничего кроме чтения того что и так можно прочитать - не рассказывают, проще это самому делать.

Аватар пользователя KCEOH KCEOH 18 марта 2007 в 17:17

Распространенность + как она изначально планировалась + как она писалась.

Если в архитектуре косяков не было, и писалась CMS хорошими программерами, то даже при сильной распространенности дыр мало будет.

При установке любого модуля повышается уязвимость, если, конечно, работа модуля не заключается в выводе Hello World.

Аватар пользователя Ainur Ainur 18 марта 2007 в 21:24

Drupal это не phpnuke и не phpbb, уязвимостей в нем на порядок меньше, а дети, которые говорят что сломают, врядле смогут что-то сделать с сайтом за которым следит администратор.

А про платные CMS – действительно, некоторые сделаны крайне не грамотно.

Аватар пользователя KCEOH KCEOH 19 марта 2007 в 0:59

Раз в день, и бекап уходит на другой серв. Smile

Вообще, интереснее проверить будет друпал в боевых условиях - создать хакерский сайт какой-нибудь. Ясно, что его другие хак команды будут проверять на прочность.

Аватар пользователя axel axel 20 марта 2007 в 18:13

http://demo.drupal.ru - админские права доступны при входе, ломайте Lol

Правда там не совсем корректные условия - файлы отданы другому руту, так что пользователь под вебсервером не сможет ничего изменить и пр. ухищрения.

--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!

Аватар пользователя kiev1 kiev1 19 марта 2007 в 4:08

уже проходит время когда ломали "в лоб" - сейчас элементарно воруют фтп пароли у пользоватлей виндов, не исключая и провайдеров - я как-то посмотрел с каких ip-шников на мой сервер заходят - оказалось что за год пароли у юзеров сворованы по нескольку раз...

Аватар пользователя axel axel 20 марта 2007 в 22:39

Ну принцип перебора никуда не делся. На сервер, где живет друпал.ру регулярно долбятся с разных ip на ftp и ssh с разными логинами и паролями в надежде подобрать пару. Глупый способ, имхо никакого удовольствия серверу или пользы взломщику, но всё равно лезут.

--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!

Аватар пользователя axel axel 20 марта 2007 в 18:07

Спам... Я в печали Sad

--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!

Аватар пользователя axel axel 20 марта 2007 в 18:10

Ну вот ещё рекламу спама здесь наводить будем. Тьфу блин...

--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!

Аватар пользователя axel axel 20 марта 2007 в 18:16

Немного об истории спама, о мнимой пользе и о вреде: http://ru.wikipedia.org/wiki/Спам

Гарамонду ещё раз unrespect с рекомендаций убиться об стену (несмотря на все заслуги).

--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!

Аватар пользователя garamond garamond 20 марта 2007 в 18:31

скажу откровенно от спама больше вреда чем пользы! (испытал на своей шкуре)
если хотите испортить своему ресурсу (и лично себе) репутацию - вэлкам!)

я не "наглел" и прошёлся только по:
флейм, флэйм, флуд, обо всём, разговор, курилка, развлеч, оффтопик, офф-топик, прочее, разное, flood, flame, off-topic, Off topic, Offtopic, Oftopic - но и это меня не оправдывает (((

Аватар пользователя garamond garamond 20 марта 2007 в 19:05

да! есть лекарство замечательное от таких уродов))

активным спамерам можно оставить их посты на форумах, но при этом немножко поправить их сообщения,
поэтому эффект будет очень неожиданный...

примеры:
"Хотите увидеть жирного глупого олигофрена в стадии дебильности? Добро пожаловать на мой сайт"
"я тупая бландинка пришла к вам на форум и спамлю его, зачем спамлю - непонятно, ведь я же ДУРА"

пищется несложный скрипт где рандомом ко всем ссылкам в разделе курилка или разное (спамят обычно туда)
меняется рандомно весь текст на такие вот шняги...

ps. у меня было два нормальных форума на phpbb... но спамеры одолели, два года чистил, сейчас убил ((

Аватар пользователя axel axel 20 марта 2007 в 22:35

А вот это клевая идея! Для сайтов вроде drupal.ru лучше спам чистить, чтобы не мешался в поиске, а для развлекательных сайтов такая замена оживит обстановку. Попробую на одном ролевом форуме, который собираюсь переводить на друпал.

--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!

Аватар пользователя Natalie Natalie 20 марта 2007 в 18:57

На phpbb без регистрации не обойтись, и еще надо пару-другую модулей от спама ставить. В этом плане Друпал как-то более защищенный Smile
- - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - - - - -
Переводы некоторых модулей.
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.

Аватар пользователя Natalie Natalie 21 марта 2007 в 0:41

А какой лучше брать логин и пароль, чтобы уменьшить вероятность подбора? Бывают непробиваемые варианты?
- - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - - - - -
Переводы некоторых модулей.
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.

Аватар пользователя Dan Dan 21 марта 2007 в 1:53

2Natalie: возьми фразу, из неё по первой букве. длина: 8-10.
Пример: The Rains Cats And Dogs, пароль: trcad (на пять придумалось Smile
Если сочетение цифр, прописных и строчных букв - вообще шикарно.

Но подбирать - тупо. Надо искать дыры.

Аватар пользователя Natalie Natalie 21 марта 2007 в 2:29

А вот я летом хочу взять курс по компьютеной безопасности у себя в ВУЗе. Если будет что-нибудь интересное, потом поделюсь впечатлениями Smile
- - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - - - - -
Переводы некоторых модулей.
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.

Аватар пользователя Natalie Natalie 5 апреля 2007 в 16:21

kiev1, мне все равно нужно курсы брать, так пусть будет про безопасность - вдруг что-нибудь полезное узнаю Smile


- - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - - - - -
Переводы некоторых модулей.
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2