Phpbb2 foro hackeado

así nuestro foro se cortó que nos fuera eliminado limpio de lo que he oído que utiliza la fuerza bruta o algo existe ninguna medidas de seguridad que pueda tomar ahora para proteger a nosotros de que esto suceda de nuevo en el futuro?

¿Cómo se hackeado? ¿Es una vulnerabilidad de phpBB el código en sí? Si es así, usted podría querer contarles acerca de él (a menos que ya conocen, al igual que esta vulnerabilidad -- http://www.ozzu.com/ftopic36467.html ). Si no fuera, entonces lo que debe hacer depende de las circunstancias. Si bruta obligado a un admins contraseña, entonces asegúrese de que todas sus administradores han contraseñas que son mucho más difíciles de adivinar la próxima vez. Si se trata de otra cosa, entonces usted puede ser que necesite para analizar la manera en que lo que sucedió. Su depende mucho de lo que sucedió realmente, de verdad.

Bien...sólo permite asumir Roxy tenía razón en el supuesto de que se bruta forzada. Básicamente, lo que eso significa, es que las contraseñas siguieron tratando hasta que tengo. Tal vez intentar algo thats 16 dígitos (128 bits) y alfanuméricos que hacen! Mi correo electrónico es que la contraseña, y obtuvo su material arrojado al azar! Nadie va a adivinar nunca! $ 100 a alguien que sí! jajaja

para que ¿cómo funciona eso que acaba de mantener adivinando y adivinanzas hasta que obtuvo el derecho contraseña?

esa es básicamente bruta Hacking.

que tome la administración y, a continuación, obtener una contraseña lista

por ejemplo:

admin: adminisgod
admin: adminisgod1
admin: adminisgod2
admin: adminisgod3
TEC
TEC
TEC

luego ejecutarlo (la lista) a través de un programa y que en los registros que, se detiene y dice que la contraseña. no resulta difícil. i que no sabría. i amigos que saben hacer

Hubo un exploit descubierto en phpBB 2.0.8 en septiembre. Se parcheado en 2.0.11.

si en realidad se trata de la fuerza bruta, usted no podría incorporar una especie de secuencia de comandos para acceder intentos fallidos y la prohibición de la propiedad intelectual después de tantos? Por lo que sé, ya que esto podría ser incorporado de alguna manera. Simplemente parece que esto no sería demasiado difícil. Entonces, si usted está preocupado por la persona pasa a través de un proxy, podría tener que prohibir todo, salvo para su IP o algo a más de regular el acceso de los usuarios hasta que pueda de nuevo o una cantidad fija de tiempo .. sólo pensamientos.

Otra buena defensa contra ataques de fuerza bruta (si tiene acceso directo a la base de datos) es simplemente desactivar la cuenta de administrador.
Si necesitas utilizarlo, acceder a la base de datos, que pueda, hacer su negocio luego desactivar de nuevo. De esta manera, incluso si un ataque de fuerza bruta obtiene una contraseña, el más alto nivel de acceso que tendría sería la de un usuario normal (o moderador, si utiliza los mismos), no admin.

Ataques de fuerza bruta puede suceder a veces sin llegar a intentar conectarse a una y otra vez. Si alguna explotar el cracker da acceso de lectura a la base de datos, pueden ver todos los hashes de contraseñas. Entonces ellos pueden averiguar la contraseña durante el hash de un ataque de diccionario, sin tener que conectarse al servidor de sitios una y otra vez.

que sería posible hasta que obtener una lista de IP y se ejecuta a través de. acaba de cambiar su ip evrery 5 intentos

Usted podría permitir sólo N intentos de acceso a un determinado nombre en un determinado período de tiempo, universal.

bruteforcers algunos, como el L0phtcrack no puede bruteforce contraseñas que contienen caracteres no ASCII, estos serían los personajes que requieren el uso de la "alt" como æ

si su contraseña se bruteforced que significa que fue una mala contraseña, 14 caracteres es lo mínimo que debe contener. Debe contener caracteres de los tres conjuntos de caracteres...

Grupo 1: abcdefghij ABCDEFGHI........
Grupo 2: 012345...
Grupo 3: "^*"£&(") #@.... etc

y quizás la caracteres no ASCII. Usted también debe cambiar la contraseña todos los meses

La mejor medida de seguridad es para bloquear la cuenta después del 5 de contraseña incorrecta intenta entonces hacer que la gente reactivar la cuenta desde un correo electrónico al igual que lo hacen cuando firman.

PhpBB es crap de la seguridad aunque (ya que todo el mundo lo usa)
Es muy probable que sólo se explotan y se muestra su contraseña en el foro.

Asegúrese de que todos los parches se aplican, incluso 2,0. 11 debe ser parchado ya . Su fácil de obtener toda la información de base de datos está representada sólo por escribir una url elaborado en el navegador.

Sugerencia:

No utilice el mismo nombre de usuario y contraseña para su base de datos como login su cPanel. Del mismo modo, no utilice el mismo nombre de usuario y contraseña para el administrador como cualquiera de las dos anteriores. Como ya se ha señalado, hacer su cuenta de usuario de una cuenta de administrador y desactivar la junta cuenta de administrador por defecto.

Usted puede obtener y tomar el control de su junta de vuelta si cualquiera de los tres se encuentran en peligro. Si su cuenta de cPanel se ve comprometida, su anfitrión puede tomar el control de esa espalda y restablecer su acceso.

Siempre hacer copias de seguridad diarias de su base de datos. Usted no será capaz de restaurar completamente su base de datos si no lo hace.

Im fuera de la opinión que usted puede y debe tomar todas las precauciones antes mencionadas.

Por otro lado también creo que si alguien realmente quiere llegar a ellos, sin importar las restricciones que puso en su lugar.

Así que lo más difícil posible, pero nunca asumir que es seguro. Como ATNO describe, la única opción segura es de apoyo a su base de datos sobre una base diaria.

Luego, cuando se limpie usted fuera puede restaurar el PP y que está en marcha y funcionando de nuevo! Entonces usted puede limpiar de nuevo y puede restaurar de nuevo. Entonces usted puede limpiar de nuevo y puede restaurar de nuevo. Entonces usted puede limpiar de nuevo y puede restaurar de nuevo. (Bueno creo que obtener la imagen)