Mysql databáze, jak na to
Pravidla fóra
Čim více informací poskytnete ve vašem dotazu, tim vyšší je šance, že se vám dřív dostane přesné odpovědi. Uveďte odkaz na vaše fórum, používané MODy a styly a zkuste sepsat úpravy na fóru za poslední týdny. Nezapomeňte uvést výstižný titulek tématu.
Čim více informací poskytnete ve vašem dotazu, tim vyšší je šance, že se vám dřív dostane přesné odpovědi. Uveďte odkaz na vaše fórum, používané MODy a styly a zkuste sepsat úpravy na fóru za poslední týdny. Nezapomeňte uvést výstižný titulek tématu.
-
- Příspěvky: 16
- Registrován: pon 24. kvě 2010 14:08:22
Mysql databáze, jak na to
Zdravím ..už jsem se tu zde stručně jednou zmiňoval o daném problému, ale teď se na ten problém zaměříme více ..
Jednou jsem nainstaloval úspěšně forum, založil diskuze a vše v pohodě. Uživatelům jsem nastavil oprávnění s tím, že mohou editovat a mazat své příspěvky, nic extra navíc .. no a pak se tam naboural hacker a začal všechno měnit. Měl práva "admin" i přesto, že tam byl přihlášen jako "nově registrovaný uživatel".
Byl jsem s ním v kontaktu a upozorňoval mě, že ve foru mám díru, přes kterou se tam lehce dostane. Do teď mě odmítl sdělit o jakou konkrétní chybu se jedná. Dle mě se nevím jak, se naboural do souboru "config.php " a získal tak přihlašovací údaje k Mysql databázi, které jsou v souboru uloženy. Otázkou je, jak se tam dostal a co jsem konkrétně udělal špatně. Forum běželo chvíli a vím, že na 100% jsem uživatelům práva nepřiděloval, aby měla plné funkce jako admin.
V tý době, kdy moje forum bylo napadeno, jsem resetoval a dělal vše proto, aby všichni uživatelé neměli žádné práva na nic ..jen admin. I přesto ho to nezastavilo a šmejdil si tam dál. když jsem se díval do pole administrátorů, byl jsem tam přidán pouze já.
Nenapadal mi jen forum, dostal se i do WP administrace, tedy na web. Začal editovat články atd. hacker uvědomil dalším svým kolegům chybu v mém foru, která tam byla a přidali se i oni.
Závěrem by mě zajímalo, Co jsem konkrétně udělal špatně, jak se tam dostal, jestli nevyužíval na to nějaký program a čeho se vyvarovat a jak lépe svou databázi Mysql zabezpečit. Pokud jste to dočetli až sem, gratuluji a Děkuji předem za vaše odpovědi.
Jednou jsem nainstaloval úspěšně forum, založil diskuze a vše v pohodě. Uživatelům jsem nastavil oprávnění s tím, že mohou editovat a mazat své příspěvky, nic extra navíc .. no a pak se tam naboural hacker a začal všechno měnit. Měl práva "admin" i přesto, že tam byl přihlášen jako "nově registrovaný uživatel".
Byl jsem s ním v kontaktu a upozorňoval mě, že ve foru mám díru, přes kterou se tam lehce dostane. Do teď mě odmítl sdělit o jakou konkrétní chybu se jedná. Dle mě se nevím jak, se naboural do souboru "config.php " a získal tak přihlašovací údaje k Mysql databázi, které jsou v souboru uloženy. Otázkou je, jak se tam dostal a co jsem konkrétně udělal špatně. Forum běželo chvíli a vím, že na 100% jsem uživatelům práva nepřiděloval, aby měla plné funkce jako admin.
V tý době, kdy moje forum bylo napadeno, jsem resetoval a dělal vše proto, aby všichni uživatelé neměli žádné práva na nic ..jen admin. I přesto ho to nezastavilo a šmejdil si tam dál. když jsem se díval do pole administrátorů, byl jsem tam přidán pouze já.
Nenapadal mi jen forum, dostal se i do WP administrace, tedy na web. Začal editovat články atd. hacker uvědomil dalším svým kolegům chybu v mém foru, která tam byla a přidali se i oni.
Závěrem by mě zajímalo, Co jsem konkrétně udělal špatně, jak se tam dostal, jestli nevyužíval na to nějaký program a čeho se vyvarovat a jak lépe svou databázi Mysql zabezpečit. Pokud jste to dočetli až sem, gratuluji a Děkuji předem za vaše odpovědi.
-
- Příspěvky: 9436
- Registrován: pon 24. črc 2006 0:00:00
- Bydliště: 48°43'N, 19°08'E
- Kontaktovat uživatele:
Re: Mysql databáze, jak na to
Súbor config.php obsahuje citlivé údaje pre prístup do DB, takže ho je nutné chrániť. Počas inštalácie fóra je nutné nastaviť CHMOD 666, čím nastavíme prístupové práva pre zápis do tohto súboru, ale umožníme tým aj prípadným útočníkom dostať sa k údajom tohto súboru. Preto je po inštalácii fóra nutné nastaviť CHMOD tohto súboru na hodnotu 640, prípadne 644, čím zvýšime bezpečnosť fóra.
Ak si zistil prienik do DB, musíš zmeniť prístupové údaje k DB tak, aby ich narušiteľ nedokázal zistiť. Problémom môže byť to, že sa útočník mohol dostať k údajom tvojho prístupu na server prostredníctvom nezabezpečeného FTP klienta (mnohokrát riešený problém na fórach), čím sa mohol dostať k údajom súboru config.php bez akýchkoľvek problémov.
Riešenie:
1. Zmena prístupových údajov k administrácii webu
2. Zmena e-mailového kontaktu pre administráciu webu (
3. Zmena prístupových údajov k FTP kontu
4. Zmena prístupových údajov k DB (phpMyAdmin)
5. Neukladanie hesla v FTP klientovi (zvyčajne Total Commander)
6. Prekontrolovanie všetkých zložiek, prípadne súborov webu na prítomnosť pridaného skriptu na kradnutie hesiel
7. Skontrolovanie aktualizácií fóra a Word Pressu
8. Prekontrolovanie nastavení atribútov zložiek a súborov (tzv. CHMOD)
9. Zmena hesla pre prístup do administrácie fóra i WP
9. Kontrola oprávnení užívateľov
Ak si zistil prienik do DB, musíš zmeniť prístupové údaje k DB tak, aby ich narušiteľ nedokázal zistiť. Problémom môže byť to, že sa útočník mohol dostať k údajom tvojho prístupu na server prostredníctvom nezabezpečeného FTP klienta (mnohokrát riešený problém na fórach), čím sa mohol dostať k údajom súboru config.php bez akýchkoľvek problémov.
Riešenie:
1. Zmena prístupových údajov k administrácii webu
2. Zmena e-mailového kontaktu pre administráciu webu (
3. Zmena prístupových údajov k FTP kontu
4. Zmena prístupových údajov k DB (phpMyAdmin)
5. Neukladanie hesla v FTP klientovi (zvyčajne Total Commander)
6. Prekontrolovanie všetkých zložiek, prípadne súborov webu na prítomnosť pridaného skriptu na kradnutie hesiel
7. Skontrolovanie aktualizácií fóra a Word Pressu
8. Prekontrolovanie nastavení atribútov zložiek a súborov (tzv. CHMOD)
9. Zmena hesla pre prístup do administrácie fóra i WP
9. Kontrola oprávnení užívateľov
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)
-
- Příspěvky: 16
- Registrován: pon 24. kvě 2010 14:08:22
Re: Mysql databáze, jak na to
Ok, takže jestli jsem to dobře pochopil ..nastavím tam jen CHMOD 644 ? To 666 teda nastavovat nemám ..když nastavím 644
-
- Příspěvky: 16
- Registrován: pon 24. kvě 2010 14:08:22
Re: Mysql databáze, jak na to
PS : Mé forum je toto (instalováno na novo) http://friends-sitcom.com/forum/
-
- Příspěvky: 9436
- Registrován: pon 24. črc 2006 0:00:00
- Bydliště: 48°43'N, 19°08'E
- Kontaktovat uživatele:
Re: Mysql databáze, jak na to
CHMOD666 pre súbor config.php sa nastavuje len počas inštalácie fóra. Po dokončení inštalácie je nutné okamžite zmeniť na CHMOD644.
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)
Re: Mysql databáze, jak na to
troska opravim CHMOD777 pre súbor config.php sa nastavuje len počas inštalácie fóra
-
- Příspěvky: 16
- Registrován: pon 24. kvě 2010 14:08:22
Re: Mysql databáze, jak na to
Rozjel jsem tedy nové forum .. http://friends-sitcom.com/forum/ snad úspěšně. Nastavoval jsem oprávnění jen v diskuzích, na uživatelé jsem neklikal (těm jsem jako skupinám neměnil práva, nechal jsem, jak to je). Myslíte, že je to takhle ok ? Nebo jsem někde už udělal nějakou chybu ?
-
- Příspěvky: 9436
- Registrován: pon 24. črc 2006 0:00:00
- Bydliště: 48°43'N, 19°08'E
- Kontaktovat uživatele:
Re: Mysql databáze, jak na to
Súboru sa nedáva CHMOD777 ale CHMOD666. CHMOD777 sa dáva zložkám a nie súborom.danti píše:troska opravim CHMOD777 pre súbor config.php sa nastavuje len počas inštalácie fóra
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)
Re: Mysql databáze, jak na to
asi sa nerozumieme CHMOD777 sa dava na config.php pri instalacii a po instalacii sa dava na CHMOD644 alebo sa da nainstalovat ked das CHMOD666 na config.php podla mna nie config.php pri instalacii musi mat 777 aby sa dalo do neho zapisovatWhiteWolfSix píše:Súboru sa nedáva CHMOD777 ale CHMOD666. CHMOD777 sa dáva zložkám a nie súborom.danti píše:troska opravim CHMOD777 pre súbor config.php sa nastavuje len počas inštalácie fóra
- gmvasek
- V.I.P.
- Příspěvky: 1910
- Registrován: pát 20. led 2006 1:00:00
- Bydliště: RuneScape W61/92
- Kontaktovat uživatele:
Re: Mysql databáze, jak na to
config.php bude při 666 zapisovatelný. Tečka. Nehádej se s členem podpory.
RuneScape Wiki | Můj Twitter | CSRUNE fórum | Smixovo fórum o phpBB3 - lastRSS
NEPOSKYTUJI podporu přes ICQ/Jabber/SZ ani jiné komunikační protokoly! => ptejte se zde
NEPOSKYTUJI podporu pro warez fóra.
HLEDEJTE před položením dotazu.
NEURGUJTE podporu.
NEPOSKYTUJI podporu přes ICQ/Jabber/SZ ani jiné komunikační protokoly! => ptejte se zde
NEPOSKYTUJI podporu pro warez fóra.
HLEDEJTE před položením dotazu.
NEURGUJTE podporu.
-
- Příspěvky: 9436
- Registrován: pon 24. črc 2006 0:00:00
- Bydliště: 48°43'N, 19°08'E
- Kontaktovat uživatele:
Re: Mysql databáze, jak na to
danti: Odporúčam Ti doštudovať si napríklad: http://www.phpbb.com/kb/article/phpbb3- ... rmissions/
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)
Re: Mysql databáze, jak na to
mas pocit ze sa hadam.Tečkagmvasek píše:config.php bude při 666 zapisovatelný. Tečka. Nehádej se s členem podpory.
Naposledy upravil(a) WhiteWolfSix dne úte 25. kvě 2010 22:02:22, celkem upraveno 1 x.
Důvod: Varovanie vydané
Důvod: Varovanie vydané
-
- Příspěvky: 9436
- Registrován: pon 24. črc 2006 0:00:00
- Bydliště: 48°43'N, 19°08'E
- Kontaktovat uživatele:
Re: Mysql databáze, jak na to
Tému zamykám.
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)