Zobacz temat
Najbezpieczniejsza wersja PHP-Fusion
|
|
Cesar |
Dodany dnia 19.04.2011 09:47:54
|
Przedszkolak Postów: 1 Data rejestracji: 19.04.2011 09:25 |
Witam Ostatnio postanowiłem rozbudować swój serwis http://www.chessa.... Postawiłem na PHP-Fusion w wersji początkowo 7.01.05, potem zrobiłem upgrade do 7.02.00 (W PHP-Fusion bardzo podoba mi się system grupowania uprawnień, oraz elastyczność systemu, pod względem możliwości dodawania własnych stron php z kontrolą dostępu [iADMIN, iUSER, iUSERGROUP, itp]. Niestety moja radość z nowego systemu i perspektyw łatwej rozbudowy serwisu trwała krótko. Po 4 dniach spod adresu 67.195.114.62 (USA ? ;-) włamano się na konto admina i zaczęto usuwać dane. Używam raczej złożonych haseł, więc stawiam na jakiś exploit. Poza tym efekt po włamaniu był dziwny, udawało się zalogować, ale wejście do panelu admina skutkowało wywaleniem z konta. Uwzględniałem ryzyko stosowania OpenSourcowych rozwiązań, ale żeby po 4 dniach.... W związku z tym mam pytanie do szanownych, doświadczonych forumowiczów. Zależy mi w zasadzie tylko na systemie grupowania uprawnień, oraz łatwej edycji newsów, ew download i FAQ. Jaką wersję polecacie na PHP5.xx i ewentualnie jakie czynności dodatkowe przedsięwziąć, aby uniknąć takich sytuacji w przyszłości.. PW od moderatora:
Edytowane przez Cesar dnia 19.04.2011 13:33:29 |
|
|
Wścibski Gość |
Dodany dnia 21.12.2024 16:12:38
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
jantom |
Dodany dnia 19.04.2011 11:15:10
|
Weteran Postów: 3460 Pomógł: 123 Data rejestracji: 31.03.2005 20:10 |
Teraz dotknąłeś odwiecznego problemu - korzystać z nowości, czy trzymać się sprawdzonych rozwiązań? Nie ma jednoznacznej odpowiedzi. Nie jestem w stanie stwierdzić, co spowodowało włamanie i w jaki sposób do tego doszło, bez wglądu w logi serwera - być może w nowej wersji PHP-Fusion jest luka, może administrator serwera, na którym trzymasz stronę dał ciała, być może na Twoim komputerze znalazł się szpieg. Jak utrudnienie życia włamywaczowi możesz zastosować dostępne dla każdego zabezpieczenie, czyli założenie hasła na katalog /administration. |
|
Przejdź do forum: |