Black Hat Spam - Maturskiradovi.net
Xippi mi je pre neki dan javio da imam black-hat link na prvoj stranici domena draganvaragic.com (link text velicine 1 pix) prema gore pomenutom sajtu. Zamolio sam Pecu da pogleda i pronašao je ubacen php file u sklopu jedne od prethodnih verzija WordPress-a.
Sačekao sam ponedeljak da se direktno javim na telefon koji je ostavljen na Web sajtu, a u međuvremenu pojavio se komentar dotične osobe na mom blogu. Pretpostavljam da je primetio da nema linka na prvoj stranici, obzirom da kada sam ga nazvao stalno me je ubeđivao da je postavio link u komentaru. Kada je izgleda shvatio da ne vredi da me ubeđuje, počeo je da me psuje - kao da sam ja kriv! Proverite da ovakav link ne postoji negde i kod vas, ili eventualno da ne vidite vaš sajt na ovom spisku linkova do pomenutog sajta https://siteexplorer.search.yahoo.co...F&fr=sfp&bwm=i Hvala puno Xippi i Peco na pomoći! |
Kako je ubacio taj fajl? Uhakovao ili ti je on radio template?
|
Uhakovao, nema veze sa mojim blogom... WP u ranijim verzijama ima neki sigurnosni propust. Treba ubaciti najnoviju verziju.
|
Citat:
WP mora na hitan upgrade Dragane. |
Citat:
|
Off Topic: kako zbog ovakvih stvari takve free news i blog platforme deluju scarry... |
Ili hitan upgrade WPa ili da prestanemo da se zezamo i da svi uzmemo provereni CMS.
WP i njegovi plug-inovi imaju previše propusta, nažalost... |
@Dragana Vukajlovic
A opet su nam "pri srcu" i imaju dobar komjuniti... baš glupi začarani krug :( . Nekoliko puta sam se dvoumio da odustanem od korišćenja WPa, ali eto... Čime se sve ljudi služe, nikad neću prestati da se iznenađujem... |
Svi CMS-ovi su manje vise busni, pogledajte samo joomla... to sto se manje "napadaju" CMS koji su manje popularni ne znaci sa su manje ranjivi, vec da nisu dovoljno "istrazeni". I da svaki skript boj ne zna sam da nadje "rupu"
Sreca u nesreci je to da nije Rus ili Kinez, imate njegove podatke, imate dokaze, imate telefon.. itd Pa vreme je da se podigne krivicna prijava! Kao opomena za druge. |
Citat:
|
Citat:
Iako mozemo svakog dana videti da se objavio neki propust za neko od OpenSource resenja, isto tako budi sigurna da svaki dan se nadje i propust za neku od komercijalnih varijanti. Samo sto u ovom slucaju postoji razlika, propusti za OS resenja se objave javno, dok se propusti za komercijalna resenja uglavnom ne objavljuju, iz vise razloga. Tako da najbolja varijanta je drzati sav software up to date, jer ako za neki sistem nije objavljen propust, to ne znaci da ga nema, vec da ili josh uvek nije pronadjen, ili ga je neko nasao, i nece da objavi detalje zarad svog licnog interesa. |
Da, ali za open source rešenja svaki wannabe hacker može da nađe listu svih propusta kao i način na koji može da ih iskoristi, sve što treba da uradi je da pronađe blogove koji još nisu upgrade-ovali sistem, a to nije ni malo teško.
Kod komercijalnih rešenja, sve se završava bez previše pompeznosti, a i tamo je malo teže naći problem jer i nema toliko puno ljudi koji imaju uvid u kompletan kod. |
Citat:
http://en.wikipedia.org/wiki/Security_through_obscurity A sto se tice wannabe hacker-a, tu nije kriv opensource software, tu su krivi vlasnici tih blogova koji ne updateuju sam software. Patch za opensource aplikaciju, generalno uglavnom izadje za manji vremenski period nego za neki komercijallni paket... |
Off Topic: Dragana hakerko! :1058: |
@LiquidBrain: da krivi su vlasnici blogova isto kao što su krivi kupci Toyote što se zaglavljuje papučica za gas :)
|
Isto kao sto je Toyota besplatno popravila sve automobile, tako je i za software dostupan patch.
Ogovornost nije nicija do tvoja ako sam necesh da odvezesh auto na servis, ili da updatujesh blog. I sam znash da savrsen proizvod bez gresaka ne postoji, tako da sve sto je bitno je upravo podrska koju imash kada nesto krene po zlu. |
Pa jeste, ali pricamo o tome da je daleko veci broj nesreca kada se to desi Toyota, posto ima 20 miliona automobila, nego recimo Subaru kojih ima mnogo manje. Da batalimo te stilske figure, prostim recima daleko je lakse naci propust na nekom wp kojeg koristi X miliona ljudi, kojima je dostupan kompletan source code, nego na nekom zatvorenom sistemu koji nije toliko popularan.
|
@blues,
mesas babe i zabe. OpenSource sistemi su jako dobro istestirani, zato sto gomila ljudi ih koristi i veca je grupa korisnika koji budu podlozni nekom propustu. Samim tim, neki software koji je malo duze razvijan, ima pokrpljene sve te rupe, jer su iste nadjene i prijavljene. Kod komercijalnih resenja, manja je grupa korisnika i nisu toliko interesantni za masovno iskoriscavanje i stoga nema toliko javno prijavljenih propusta. Ali opet sa druge strane, ti sistemi su jako retko prelezali decje bolesti, jer nisu dovoljno testirani, i samim tim, pronaci propust u nekom takvom sistemu je lakse. Naravno, ovde ne pricamo o script kidijima, koji nadju exploit i pokrenu ga. Od takvih se branish updateom i u OS i u komercijalnoj varijanti. Ovde ne pokusavam da ubedim bilo koga koje resenje je bolje, svakako sve ima svoje prednosti i mane. Samo hocu da kazem da opensource software nije losiji od komercijalnih resenja bar sto se tice sigurnosti. PS. Problem kod OS resenja je taj sto recimo vlasnici blogova vole da instaliraju hiljade pluginova, koje je ko zna ko pisao, i koji su po nekom nepisanom pravilu jako lose napisani (uz par izuzetaka). |
Šta su babe a šta žabe?
p.s. Najveća prednost OS je gomila pluginova, ako to oduzmeš vlasnicima blogova, onda im ne treba ni klot CMS |
Babe = sigurnost aplikacija
Zabe = popularnost aplikacija A sto se tice PS-a, tu si skroz u pravu. Ali opet postoje pluginovi koji su dobri i imaju dobar suport. Sve sto je potrebno je da ne instaliraju sve sto im padne pod ruku, vec malo da istraze i provere to sto koriste. |
Ja mislim da to nisu babe i zabe, ali ok ... neka ti bude (mrzi me da pricam stalno o istim stvarima) :)
|
Citat:
Na stranu sto wp na svakih petnaest dana izbacuje novu verziju kojom krpi prethodni bag kao da toliko dugo testiranje ne znaci nista. Ne kazem da se moze proizvesti softver bez ijednog buga, ali kod wpa je to stvarno preterano i to pogotovo u poslednje vreme. Pre godinu dve nije bilo tako. Kao da zure da izbace sto noviju verziju bez kvalitetnog beta testiranja. |
I stvarno je veliki problem, kliknuti u admin panelu na upgrade - koji te inace uvek upozori kada postoji nova verzija (1 klik) i uvek imati najsveziju verziju kroz 3.5 sekunde.
Stvarno da li moze jednostavnije od toga? Nema skidanja paketa razlika, prebudzavanja teme prckanja po kodu plugina samo 1 klik do sigurnosti. Sistem je siguran koliko je admin pouzdan - prosto. |
@artur_dent nije to tako jednostavno, jer upgrade WP-a znaci da pluginovi mozda nece raditi (nekompatibilnost), a upravo su oni najcesce busni, a ne sam WP. Mora se cekati da se i pluginovi updatuju, sto moze da potraje.
|
Citat:
Paušalne stavove kao ovaj tvoj sam čuo milion puta. Ajde Lukeru prosvijetli me, što se to dešava sa Joomla? |
Citat:
ili http://www.google.com/search?hl=en&q...qi=g5&aql=&oq= vs wordpress http://www.google.com/search?hl=en&q...&aqi=&aql=&oq= vs drupal http://www.google.com/search?hl=en&q...&aqi=&aql=&oq= etc |
Ovo što ima više rezultata je razlog popularnosti i zato što je Joomla punokrvni CMS a ne blog tool, i dobro znamo da više padaju WP sajtovi i to serijski po nekoliko iljada odjednom. Drupal je sigurniji ali da ne širimo priču.
Moj Joomla sajt nema ama nikakvu zaštitu osim redovan apdejt, od prvog dana ti isti koji ispadaju na te tvoje prve rezultate pokušavaju da obore i ništa. Djeca. Nego daj ti konkretno komentar koda, sigurnosti, vrijeme apdejta, ovo ono, ostavi se ti ovih h4x0r fora. |
|
Citat:
Ja niti branim, niti napadam ijedan CMS, ali ima ovde neko ko odma "skace" kad mu se pomene joomla :) , a njemu ni 300 uredno dokumentovanih propusta (samo na milwormu) u kodu nece promeniti misljenje... nazalost.... |
Mislim 2 propusta dnevno... Koliko trebaš da budeš blesav da bi branio Joomlu. Ne kažem da svi sad trebaju sjesti i pisati svoj softver ali malo razumijevanja za admine ne bi bilo na odmet...
|
Ja se izvinjavam na trolu unapred, nisam nista citao i nemam nesto volju, ali jednostavno moram da pitam:
Ako postoji Black Hat Spam, sta je White Hat Spam? :) |
Citat:
@cvele Verovatno misle na nacin na koji je doslo do SPAM-a, da li se do toga doslo legalnim (iznajmljivanje resursa) ili nelegalnim (hacking) putem ... ? U svakom slucaju na kraju je kriv ljudski faktor tj neodgovornost (ili neupucenost) vlasnika sistema. |
Citat:
|
Citat:
Uostalom, šta su komercijalna rešenja? Kod open sourcea nekada postoji opcija komercijalne podrške, bilo direktno od autora ili od third party firmi koje zarađuju od takve podrške. Ako nema, opet ne znači da nemaš koga da zoveš. Ako se softver aktivno razvija ili ako je popularan, obično je neko (autor?) zainteresovan da popravi security propust. A možda i donacija pomogne. :) Da ne budem pogrešno shvaćen, ne tvrdim da je (nužno ;) ) open source bolji od closed source komercijalnih rešenja, samo ne vidim da se u praksi pokazalo da se generalizacija isplati. Ako te interesuje bezbednost, podrazumeva se da znaš šta radiš, u šta se upuštaš. Uostalom, bezbednost je uvek nekakav kompromis. Da li bi WP bio bezbedniji da je closed source komercijalano podržan softver? Moguće, nema jednostavnog načina da utvrdimo. Da li bi bio toliko popularan? Verovatno ne. |
Citat:
|
Nije toliko pitanje commercial vs. free (ne znam sto mesate open source u to, posto je masa komercijalnih resenja takodje open src), pre je problem u nivou komplexnosti. Uzmes neki jednostavni sistem sa brdom html fajlova koji se edituju, vrlo verovatno da je lako naci neki veoma siguran, bio besplatan ili ne. S druge strane ako hoces da imas teme i widgete i pluginove za ovo i ono, i celu tu pricu, onda nuzno imas i komplexnost koda, i onda imas i rupe, i to jednako i u komercijanim i nekomercijalnim resenjima.
Sto se podrske tice, ni tu nije to bas tako crno-belo, jer to sto ti imas koga da zoves iz supporta je znacajnije oko instalacionih i slicnih problema, a kad su rupe u pitanju i uopste ispravke koda, pitanje je da li ce bas sad svi u firmi da ostave ono sto rade i da sednu da resavaju taj problem. Mozda u manjim firmama, ako nemaju neki drugi projekat u toku. Ako je neka druga frka (a u malim firmama je uvek frka) ili ako je firma velika pa ima vise timova, nivoa menadzmenta, mogu dani da prodju dok neki programer ne dobije konkretni task da popravi rupu. A masa malih "nekriticnih" izmena mogu vrlo lako da budu stavljenje na listu izmena tek za neki sledeci release. A onda posle dolazi testiranje, pa kad se vec pusta nova verzija, daj da ubacimo jos par nekih stvari, pa se to protegne. Pustanje nove verzije software-a je uzasna glavobolja za komercijalne projekte zbog limitiranih ljudskih resursa, i niko nece da se cima ako bas ne mora. S druge strane kod community projekata uvek imas nekog sa par slobodnih sati ko ce da fiksa ono sto se njemu fiksa, pa ce i masa manjih stvari biti brzo zakrpljena, a ne samo one goruce. Generalno ako je problem dovoljno velik, a projekat dovoljno popularan, sigurno ce biti zakrepljen bar istom brzinom kao kod komercijalnih projekata. E sad, stoji takodje i da community projekti pate od toga da niko nece dobiti otkaz ako nesto zezne, kao da ni ne postoji neka striktna kontrola ko od contributora koliko zna, pa onda kod tezi da postane zbrda-zdola pisan... al' ne moze i jare i pare...:) |
Citat:
Citat:
A da sam blesav jesam, i bez džumle, i bez. |
Citat:
Citat:
Koliko je meni poznato, kada je software open source i recimo ti provališ neki problem, prijaviš problem i onda čekaš sledeći release da vidiš da li su sredili to (najverovatnije jesu). Kada je "closed source" i platio si debelo nekome za taj software, ti pošalješ ticket a oni se polome da ti reše problem što pre. Ako to ne urade - odlazi im izvor prihoda i navlače lošu karmu. Kada bih ja imao nešto od čega mi zavisi posao, ja bih se uvek opredelio za neko komercijalno rešenje, za nekoga ko mi garantuje da će svi eventualni problemi biti otklonjeni u najkraćem roku. BTW, što se Joomla tiče, dok sam držao hosting ja sam zabranjivao ljudima da koriste Joomla ... jeste bilo grubo "my way or the highway" ali mi je u par navrata Joomla, odnosno propusti u njoj, napravila gomilu posla ... a naravno, ljudima ne možeš objasniti da nije posao hosting provajdera da im održava sistem ažuran i da im "sređuje kada nešto pukne". |
Citat:
|
Od obavestenja domaceg Black Hat primera, napravili ste raspravu Open Source vs. Komercijalni. Pa jos - na primeru bloga??!! :)))
|
Vreme je GMT +2. Trenutno vreme je 17:26. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.