HACKING

Ahoj, rád bych se zeptal, jak se dá účet zabezpečit proti hackerům.. Při prvním hacku jsem měl chybu v config.php .. v aktuální verzi MySQL není potřeba, proto jsem config smazal a stejně mě hackli.. Moje heslo má přes 40 znaků .. a stejně .. cca každý 3 měsíce mě někdo hackne - jako třeba dnes .. Jak se to dá zabezpečit?Dá se s tím něco dělat ? a hlavně by mě zajímalo, proč to ti blbečci hackujou, když mi stejně přepíšou jen main.php nebo index.php ..

Duvodu hacknuti je nekolik.
- odposlouchavani - nekdo z blizkych (doma, ve skole, v praci) ti odposlouchava pocitac. Heslo se posila nezasifrovane a utocnik toto heslo muze odchytit. Totez muze delat i spyware, ci jiny zaskodnicky program pracujici na pozadi. Jak se proti tomu branit? Spyware a jine zkontrolovat antispywarem. Pro prenos souboru pouzit SafeTP (http://www.webzdarma.cz/pp.html?3#3)

- bezpecnostni dira ve skritpu - nejaky PHP skript obsahuje diru, kterou mohou utocnici vyuzit. Resenim je zkontrolovat a osetrit veskere skritpy, ktere pristupuji k souborum. Tj. include, fopen a podobne funkce.

Proč to dělaji? Nudi se a vytahuji se ostatnim, jak jsou dobri.

dííky :)

<HTML>Hlavně heslo nikomu neposílat - ani nedůvěryhodným stránkám typu sysbackup.webzdarma.cz</HTML>

:(( furt mi to ten debil přepisuje :((( .. kua, kdybych aspoň věděl, kde může být chyba :( heslem to není ...

Ahoj, ten debil furt a furt hackuje můj web :(( Mohl by se mi pls na to někdo podívat, včem by mohla být chyba ?

http://anp.wz.cz/main-hack.php

Nemáš vůbec ošetřenou funkci include v main.php, viz

http://www.anp.wz.cz/main.php?page=*

Takže když si za hvězdičku vložím php script uložený na vzdáleném serveru, to se pak dějí věci...

Výsledkem je http://www.anp.wz.cz/main.php?page=main-hack.php

Jo to je zavazna chyba. A navic jsem to uz psal:
- bezpecnostni dira ve skritpu - nejaky PHP skript obsahuje diru, kterou mohou utocnici vyuzit. Resenim je zkontrolovat a osetrit veskere skritpy, ktere pristupuji k souborum. Tj. include, fopen a podobne funkce.

Pokud nevis jak to osetrit, tak ti dam svuj skript:

<?php

if ($_GET['page'])
{
// kontroluje, zda soubor vubec existuje, a HLAVNE zda se nejedna o hack
if(File_Exists("page/".$_GET['page'].".php"))
// soubor existuje, tak jej tedy zobrazime
include("page/". $_GET['page'] .".php");
// soubor neexistuje, nebo neni tim cim je, tak misto nej nacteme vlastni soubor (at uz chybovou, ci hlavni)
else include("page/uvod.php");
}
// neni definovana promenna page, tak vyhodime hlavni stranku
else include("page/uvod.php");

?>

Je to zvláštní, spousta lidí "tvoří stránky" a málokdo zkusí do google napsat např. "main.php? vulnerability" a něco málo si o tom přečíst... Pak snad ošetří ty největší díry a zbydou jen ty malý a pracný, na který se tihle "hackeři" nezmůžou...