请问管理员,本号为什么会被盗。(请大家都设密保问题)
本帖最后由 newpdman 于 2013-3-1 14:22 编辑本号大概在今天凌晨3点46左右被人登录,并被修改密码。今早本人无法登录。
中午12点左右,骗子上号拿相关信息去骗KEY。
希望可以引起大家重视,保障自己帐号安全。
谢谢!
我作证,他也把我密码报出来了。麻烦管理员大大查一下漏洞。 D7论坛是有漏洞,特别是纯数字的密码,较容易穷举,近一年多,管理层已经不止一次的发帖要求大家尽量设置复杂密码,并设置密码提示问题,但仍有部分会员没有吸取教训。
我接触的许多D7论坛都存在盗号现象,所以还是烦请各位尽量设置复杂密码,并设置密码提示问题,保护自己的ID。 D7论坛是有漏洞,特别是纯数字的密码,较容易穷举,近一年多,管理层已经不止一次的发帖要求大家尽量设置复杂密码,并设置密码提示问题,但仍有部分会员没有吸取教训。
我接触的许多D7论坛都存在盗号现象,所以还是烦请各位尽量设置复杂密码,并设置密码提示问题,保护自己的ID。 回复 3# 帅得惊动党
党公,复杂密码靠谱么 设置密码提示问题不就好了? 回复 5# 米兰炎煜
密码提示问题可保ID安全。 回复 7# 帅得惊动党
谢谢,看来尽量要把安全保护方式用足啊。 回复 7# 帅得惊动党
谢党公 任何单纯依靠密码来进行鉴权的系统,哪怕再安全,再无漏洞,也会因为密码强度过低而被穷举 数字和字母的根本一样的,有啥区别。一般写入数据库不都md5加密的。难道这里密码写入数据库直接写入?这也太操蛋类吧...最起码的,原密码加个随机数md5一下,这个常识总有吧 数字和字母的根本一样的,有啥区别。一般写入数据库不都md5加密的。难道这里密码写入数据库直接写入?这也太 ...
donquixote99 发表于 2013-3-5 09:43 http://www.playgm.cn/images/common/back.gif
来,扫扫盲,虽然你有那么一些概念,能说上几个很多人看来虽不明但觉厉的词汇,但其实你还是不懂。
MD5的作用和其意义,不再赘述。论坛密码存储的机制,不仅包含MD5,而且并不只是MD5那么简单,有掺salt的处理,即便100个人的密码都是同一个,数据库里存储的MD5值也是不一样的,可以说基本上无法从常见MD5彩虹表中去找出对应的原文。而且我们的服务器安全是有保障的。
即便是数据库被攻破,盗号者也无法获取你的密码从而使用你的账号,所以目前凡是被盗号的,只能说明你账号过于简单,而你的密码是多少,管理员也不知道,管理员也没有去做过尝试,管理员最多是在你有充分证据的情况下帮你修改密码。
数字和字母的确是一样,都是一个字符,但是你可以利用最多初中水平的数学知识就足够计算出,同样位数下,数字的组合比字母要少得多,而且便于穷举。像111111,123456以及19880101这种,穷举起来太容易了。如果是字母,至少没那么容易穷举。
所以使用复杂的密码,加上安全问题验证可以最大程度保障自己账号安全,如果因为账号被盗给论坛和坛友带来困扰,不好意思,版规早有说明,按既定方针办。 本帖最后由 donquixote99 于 2013-3-5 17:40 编辑
来,扫扫盲,虽然你有那么一些概念,能说上几个很多人看来虽不明但觉厉的词汇,但其实你还是不懂 ...
一笑红尘惊 发表于 2013-3-5 12:53 http://www.playgm.cn/images/common/back.gif
扫个屁盲,一个php的论坛还是在别的开源框架上改的,哥写程序写了5年龄,还要你来扫,说了一大堆 ,还不是数字和字母一样的,用户的密码其实不需要复杂性(除了那种别人猜的出来的),在设置密码安全性上本来就该进行多重加密。你不会连这样都不知道吧。比如你数据库记录的只是一个加密后生成的密码和添加的随机数或加个字符就可以了。如果你直接被注入了。用户密码设置的再复杂也没用。也是直接一个select就都出来了。。。 来,扫扫盲,虽然你有那么一些概念,能说上几个很多人看来虽不明但觉厉的词汇,但其实你还是不懂 ...
一笑红尘惊 发表于 2013-3-5 12:53 http://www.playgm.cn/images/common/back.gif
数据库被攻破是不能知道用户的密码,md5加密原理我也知道,但你没发觉几个人报的都是邮箱和密码被修改了吗?那就有直接修改的数据库的可能。这种开源论坛的加密方式基本都一样的,如果没有重新修改过直接用 ,完全可以自己加密个密码去写入数据库。而user表的用户本来就有update的权限。完全可以修改 来,扫扫盲,虽然你有那么一些概念,能说上几个很多人看来虽不明但觉厉的词汇,但其实你还是不懂 ...
一笑红尘惊 发表于 2013-3-5 12:53 http://www.playgm.cn/images/common/back.gif
而且Discuz! 7.2的漏洞本来就不是一点点的多,完全可以通过search来获取用户密码.甚至管理员密码 就这样吧。。。 而且Discuz! 7.2的漏洞本来就不是一点点的多,完全可以通过search来获取用户密码.甚至管理员密码 ...
donquixote99 发表于 2013-3-5 18:07 http://www.playgm.cn/images/common/back.gif
扫盲这个词,没有讽刺的意思,不用这么激动,我也经常需要别人给我扫盲。
不管您写过几年代码,代码只不过是逻辑和算法的表达而已,如果没涉及到过某些领域,哪怕写50年,该扫的还是要扫。
如果我上面讲解的数据库存放密码的机制您没看懂的话,那我只好拍着胸脯说一句:不管通过前台还是直接搞数据库,你即便获取了数据库里全部的密文信息,但想很方便直接从数据库存放的密文中还原出原密码,基本是不可能的。(不说绝对,没有绝对,但一个被认为是成功的加密,不是用不能被破解作为标准,而是以破解的代价大于加密信息的本身来作为标准。)
不管您说discuz有多少漏洞,至少现在discuz没有一个漏洞说可以直接通过前台来修改或者获取会员或者管理员的密码,否则像我们论坛这样的天天遭攻击的,早就没影了。
本论坛也没有身份认证系统,所以说如果真的是这么“高端”的盗号手段,想必会先找管理员或版主的账号下手,而不是找普通会员吧?而事实上据我们统计,被盗号的基本都是使用了简单密码的,容易被穷举出来的。本论坛每时每刻都有穷举程序在尝试账号密码,之前说过很多次了。
有什么不明白的,欢迎探讨,不要说脏话,那个屁还请您咽回去,论坛嘛,文明交流,即便你不尊重管理员,也请尊重论坛的秩序。 回复 17# 一笑红尘惊
算了,消消气。人家也没有不尊重谁的意思。只是对自己利益的担心而已,权当探讨吧。 本帖最后由 donquixote99 于 2013-3-5 19:41 编辑
扫盲这个词,没有讽刺的意思,不用这么激动,我也经常需要别人给我扫盲。
不管您写过几年 ...
一笑红尘惊 发表于 2013-3-5 18:45 http://www.playgm.cn/images/common/back.gif
首先,我没有说脏话的意思。如果你认为是脏话的话,你不觉得那句吧屁吞下去的话也很过分吗?可能你文字上看起来是脏话,但如果嘴里讲出来的话,和扫毛盲基本没区别。而且是你现在开头写了一大堆看不起人的话,既然你解释了,我也不多说这事了,说多大家不开心。这论坛上了那多年也有感情的,不想为了这事和你吵架...不过。d7是有办法直接读取config.inc.php文件的。我想说的你可能没有理解,我想说的:用户密码复杂性包含字母和安全无关。如果要获取的话,密码再复杂也没用.密码的复杂了无非是不让人随便猜出来.另外,你不用解释啥获取用户密码的事。我前面已经说了,根本不用获取,直接修改即可. 本帖最后由 donquixote99 于 2013-3-5 19:51 编辑
扫盲这个词,没有讽刺的意思,不用这么激动,我也经常需要别人给我扫盲。
不管您写过几年 ...
一笑红尘惊 发表于 2013-3-5 18:45 http://www.playgm.cn/images/common/back.gif
如果你喜欢给人扫盲,扫盲前,请先看清别人要报答意思。
这年头写代码的人多了去了,没啥好炫耀的。我就认识一个读护士的女的。人家在读大学的时候就开始维护一个大型gun开源项目。
另外再重复下,我没有不尊重你的意思。
页:
[1]
2