Разработчики открытого медиацентра Kodi предупредили пользователей о взломе форума, сервиса Pastebin и wiki-сайта проекта (forum.kodi.tv, paste.kodi.tv и kodi.wiki). Разработчики узнали о взломе после выставления на продажу базы пользователей форума Kodi. Проверка показала, что инфраструктура проекта действительно была скомпрометирована и последние следы деятельности атакующих были зафиксированы 16 и 21 февраля...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58952
> MyBB
> PHPпочему я не удивлен? потому что удивительным было бы, если бы его не взломали.
> На другой сервер также будет перенесёнА какже докер и прочая виртуализация? Не выходит каменный цветок?
Так роливать надо же цветы.
А форумы зачастую делаются абы как.
Вот когда бабахнет, тогда шевелятся.
И чем же, интересно, эта тухлезация поможет?
Тем что виртуализация - это модно и молодежно! Защищает компьюктор от всех известных вирусов!
Тем кто не понимает чем контейнеризация от виртуализации отличается — ничем не поможет, они деплоят свои нетленки ручками на боевой сервер по фэтэпэ.Потом удивляются.
Будет все то же самое, но модно-молодежно.
поэтому и взломали)))
Тут у дятлам бы помог докер, оно хоть бы не потерло их самодопиленные похапе сорцы какого-то движка протухшей версии на диске.
Так там не сказано на физический или виртуальный сервер перенесут. И нет такой защиты, которую не взломать. Можно лишь уменьшить вероятность взлома. Контейнеры играют роль, но нужно извращаться для запуска непривилегированных контейнеров. Докер больше для удобства, чтоб не тащить зависимости каждый раз.
Речь ведь о том что просто люди с навыками как-то получили логин и пароль админа, верно?
Социальная инженерия, изучение предпочтений объекта, актуализация базы паролей используя личный контекст.
Речь о том, что люди без навыков узнали об этом совершенно случайно, когда база пошла в продажу через третьи руки.
Тем что есть админ, который мониторит действия админов. Или как вообще по твоему может быть устроена информационная безопасность опенсорсного проекта, которые не зарабатывает.
Не удивлён, что моё рац.предложение, как обеспечить безопасность Kodi, кому-то так сильно не понравилось, что его засыпали жалобами. Торговцы опенсорсом не привыкли делиться прибылью с создателями. ;)
> Речь ведь о том что просто люди с навыками как-то получили логин и пароль админаА в чем сложность ? Там же все открытым текстом в базу клаудфлари пополняет. Грепнуть по кейворду пароль - это уже стало запредельно сложно ?
>Владелец учётной записи подтвердил, что в эти дни не производил никаких действий с форумом (как атакующие смогли узнать пароль администратора не уточняется). Загруженные злоумышленниками данные включали полный архив всех публичных и закрытых обсуждений, приватные сообщения и базу пользователей (имена, email и хэши паролей).Дальше не читал) но напишу
во-первых где мать их сопоставление айпи входящего с учёткой админа?
во-вторых используйте временный емаил для каждого сервиса и важное сохраняйте локально и синкайте в облаковаш К.О.
Повсеместное использование динамического IP, v.6 где-то там, далеко.Временная почта имеет смысл для мусорной регистрации, для остального она опасна, т.к. сама собирает такие данные и сливает.
Только логин и пароль, возможно, с контрольным словом для восстановления.
И _никакой_ регистрации по почте и номеру телефона.
Совет уровня «лучше будьте богатыми и здоровыми, чем больными и бедными, я гарантирую это» — где вы стесняюсь спросить видели в современных интернетах регистрацию без телефона или уж тем более почты? На форуме любителей зимней рыбалки Урюпинска?
Не нужно стесняться. Спрашивайте.
Расскажи сколько?
>где вы стесняюсь спросить видели в современных интернетах регистрацию без телефона или уж тем более почты?Все что требует телефона не современно :) А вот без почты тяжелее, да.
Мало где.А на дворе уже цифровой век нового мирового порядка, но подход к безопасной регистрации даже у держателей мусорных сайтов и форумов никак не поменялся, всё так и осталось в 90-х.
Ну а регистрация и авторизация по номеру вообще забавляет, тем более с учётом уязвимости SS7.
PS: ну а для любителей поговорить что им нечего скрывать, спросите себя зачем вам дверь в туалете, раз нечего скрывать.
> где вы стесняюсь спросить видели в современных интернетах регистрациюЭээ... да вот же, прям здесь; Вы представились как "Блюдонос", почта для этого потребовалась?
// ёрничаю, понятно...
> На форуме любителей зимней рыбалки Урюпинска?Я и не знал что opennet в Урюпинске...
> Повсеместное использование динамического IP, v.6 где-то там, далеко.
> Временная почта имеет смысл для мусорной регистрации, для остального она опасна, т.к.
> сама собирает такие данные и сливает.
> Только логин и пароль, возможно, с контрольным словом для восстановления.
> И _никакой_ регистрации по почте и номеру телефона.Ты был бы прав если бы не был нубом=)
Терпи.
>Владелец учётной записи подтвердил, что в эти дни не производил никаких действий с форумом (как атакующие смогли узнать пароль администратора не уточняется).Он просто продал базу и подтвердил, что не производил никаких работ. Ничего личного - просто бизнес.
> В частности, в логе форма присутствовали данные о входе в административный web-интерфейс одного из неактивных администраторов.Его ещё не выперли из проекта? Даже аккаунт не удалили?
Тогда основная версия.
Кто видел код движков форумов, тот в цирке не смеется.
Над кем ты там в цирке обычно смеешься? Над акробатом или дрессировщиком?
Не "над кем", а "под чем".
В цирке смеются над представлением, а не над конкретными людьми. Над вами тоже может кто-то смеяться.
Покажи нам код своего форума.
> Кто видел код движков форумов, тот в цирке не смеется.важное уточение: мусор форумный на php :D
да да РНР виноват в криворукости кода, не программист криворукий, нет нет, РНР делает прямой код кривым, да да...
Вот взять бы и носом ткнуть в то, что ты "написал"...И конечно же, кривой код только на РНР.
В тебе виден профессианал.
> MyBBбоже....
Что вас смутило?
Сколько не ставил эту програмулину на комп всегда сносил т.к. стойкое ощущение, что не туда куда надо этот проект идет. У разрабов вообще с логикой интерфейса тяжелые проблемы, так запутать интерфейс это надо постараться.
Это launcher, поэтому интерфейс такой особенный.
Не туда ты ее ставил. На ТВ-боксе или медиа-центре отлично смотрится.
Она везде убогая и запутаная.
> Сколько не ставил эту програмулину на комп всегда сносилКак по твоему что это за программа?
интересно кому нужно было это вообще делать
Просто портфолио и немного на пиццу, наверное?
А чо майнить уже не модно? Раньше сабж для этого компроментировали.
> интересно кому нужно было это вообще делатьВладельцы медиацентров как правило люди не бедные) дальше развитие может быть каким угодно
это вам не мусорный торрент-форум или садоводов на пхп ломать
Переписки хранились в открытом виде...