Időzóna: (GMT +1 óra) RSS - hozzászólások

phpBB 3.1

Szerző
Üzenet
Mykee
Gyakorlott phpBB-s
Gyakorlott phpBB-s
Avatar

Csatlakozott: 2005.08.29. Hétfő 1:00
Hozzászólások: 814
Hozzászólás Elküldve: 2014.12.16. 19:13    Hozzászólás témája:
Hozzászólás az előzmény idézésével

_zso2 írta:

Hmmm, ezen fennakadtam kicsit... Ha páros történetrás, arra fórumot fenntartani szerintem nagy luxus. Két embernek a WP tökéletesen megfelelne, még akár 4-5-nek is, főleg, ha egy szálon folyik csak a történet.
Pontosan arról van szó, hogy itt többen vannak, több történetben és egy sztoriban ketten vagy többen. Mivel a bejegyzések felváltva történnek az írók részéről, ezért a WP nem jó megoldás, lévén a nyitás nem különbözik a folytatástó, ezek nem lehetnek sima hozzászólások, plusz nem egy szerző van így, hanem több, és még sorolhatnám. Használom a Joomlát, WP-t is, így aztán a WP szerintem ilyen téren kényelmetlen, a fórum jobban kontrollálható.

KillBill és Ragadozó: alapból én sem hallottam biztonsági résről, aztán jön egy frissítés, amiben közlik, hogy ez és ez a rés lett javítva. És onnantól a korábbi verziók máris támadhatók. Joomlánál voltak ilyen érdekességek, tehát oké, most nem tudunk róla, de szerintem csak vannak benne. ;) Különben a 2.x verziókban tudtommal volt egy komolyabb rés, amit néha ki is használnak a hackerek, amit vagy kézzel foltoztál vagy áttértél a 3.x-re. Anno volt egy komolyabb tarolás 2.x-es oldalakon és akkor jött ez a válasz, hogy "sorry, de nem támogatjuk, térj át 3.0-ára".
Szóval én sem féltem a 3.0.12-est, de elég egyszer megjelenni valami hibának és onnantól nincs kiút. :(

A Sukitore oldalam így néz ki jelenleg, először nem sokat ismertek rá a fórumkülsőre az indexen: www.sukitore.com/index.php

Felhasználó profiljának megtekintése Privát üzenet küldése
KillBill
Gyakorlott phpBB-s
Gyakorlott phpBB-s
Avatar

Csatlakozott: 2007.03.26. Hétfő 5:42
Hozzászólások: 2258
Hozzászólás Elküldve: 2014.12.16. 19:38    Hozzászólás témája:
Hozzászólás az előzmény idézésével

Mykee írta:

Szóval én sem féltem a 3.0.12-est, de elég egyszer megjelenni valami hibának és onnantól nincs kiút. :(
Mi az, hogy nincs kiút????
Ezzel megint nem értek egyet.

Felhasználó profiljának megtekintése Privát üzenet küldése Felhasználó weblapjának megtekintése MSN Messenger
Mykee
Gyakorlott phpBB-s
Gyakorlott phpBB-s
Avatar

Csatlakozott: 2005.08.29. Hétfő 1:00
Hozzászólások: 814
Hozzászólás Elküldve: 2014.12.16. 19:41    Hozzászólás témája:
Hozzászólás az előzmény idézésével
Akkor úgy fogalmazok: ha te nem patcheled meg vagy nem találsz foltozást, akkor a 3.1 átállás marad vagy másik motor. Tehát úgy értem: akkor a 3.0.12-őt nem tudod utána használni, ahogy előtte.

Felhasználó profiljának megtekintése Privát üzenet küldése
Marcee
Adminisztrátor
Adminisztrátor
Avatar

Csatlakozott: 2006.01.17. Kedd 1:00
Hozzászólások: 2921
Hozzászólás Elküldve: 2014.12.17. 21:59    Hozzászólás témája:
Hozzászólás az előzmény idézésével

Mykee írta:

Akkor úgy fogalmazok: ha te nem patcheled meg vagy nem találsz foltozást, akkor a 3.1 átállás marad vagy másik motor. Tehát úgy értem: akkor a 3.0.12-őt nem tudod utána használni, ahogy előtte.
De ez majd nem csak a phpBB 3.0-ra lesz igaz, hanem bármelyik olyan szoftverre, aminek lejárt a támogatása.


Raktak ki újabb bejegyzést a phpBB.com-ra. Bemásolom, hogy megmaradjon az utókornak:

Idézet:

Update #3 17-12-2014 - 01:10

At this time we are proceeding with recovery efforts and have some additional important information.

We have confirmed that initial entry was made via a team member's compromised login details and not as the result of a vulnerability in the phpBB software. The phpBB download packages were never altered.

The attackers were able to obtain access to the phpBB.com and area51 databases, meaning that user information, including hashed salted passwords, was compromised. Additionally, all logins on area51 between Dec. 12th and Dec. 15th were logged in plaintext. While the hashing algorithm utilized in phpBB will make it difficult to obtain those passwords, you should not take any chances. If you were using your phpBB.com or area51 passwords anywhere else, you must change them.

We will provide full details, including the steps we have taken since the compromise, once we are back in operation.

---------

Update #2 15-12-2014 - 23:30

On Sunday Dec. 14th, several of the web servers powering phpBB.com were compromised. Upon discovering the ongoing attack, we immediately took our network offline to perform a thorough investigation, which is continuing.

At this time, we would like to ask everyone to follow basic security protocol. If you were using your www.phpBB.com or area51.phpBB.com passwords anywhere else, please change them to unique ones.

Your personal phpBB Forums are NOT affected by the compromise of our servers.

We will be rebuilding our systems from the ground up and verifying the integrity of all data prior to coming back online. This process will likely take several days.

Further updates will be posted here when we have additional information.

- The phpBB Team

---------

If you need urgent assistance, please make use of the #phpbb IRC channel on Freenode. A web-based client is available at http://webchat.freenode.net.
Az Update #3 tartalma összefoglalva:
Egy csapattag bejelentkezési adatait szerezték meg (nem egy phpBB-ben lévő hibát kihasználva!), azzal fértek hozzá a szervereikhez. A letöltési csomagokat nem babrálták. Viszont megszerezték a phpBB.com és az area51 (fejlesztői és teszt fórum, nem azonos a phpbb.com-on lévő fórummal) adatbázisait, az azokban lévő hashelt jelszavakkal együtt. Valamint az area51-es fórumon december 12-15. között lementették a bejelentkezéshez használt "csupasz", hasheletlen jelszavakat. Ha valaki az ezeken a fórumokon használt jelszavait máshol is használta, annak érdemesebb mielőtt lecserélnie azokat!
További részleteket és a helyreállítás érdekében megtett lépéseket a helyreállítás befejezése után fognak közzétenni.


Írtátok itt páran, hogy saját (virtuális) szerveren futtatjátok a fórumaitokat. Használtok a PHP-hez valamilyen opcode cache (például APC, XCache, eAccelerator stb.) megoldást? Ha nem, akkor azzal viszonylag egyszerűen lehetne gyorsítani a fórumot.

Felhasználó profiljának megtekintése Privát üzenet küldése
Mykee
Gyakorlott phpBB-s
Gyakorlott phpBB-s
Avatar

Csatlakozott: 2005.08.29. Hétfő 1:00
Hozzászólások: 814
Hozzászólás Elküldve: 2014.12.17. 23:02    Hozzászólás témája:
Hozzászólás az előzmény idézésével
Köszi az infót!
Ami tény: sok jelszót használok sok helyen. Fejben már nem tudom tartani, hogy hol használom ezt, amit ott. Lévén mindenhol más a követelmény. De ha itt tartunk: tökmindegy mi a követelmény, ha egy ilyen húzással akkor is hozzáférnek a legbonyolultabb jelszavakhoz is.
Úgyhogy egy a biztos: a jelszóról azt tudom, hol nem használom, a többi pedig nem annyira fontos, lévén az erősség függ a helytől. De mivel csomó helyen kell jelszó, egy ilyen betörés után azt megtenni, hogy változtassam meg máshol is, csak pár helyre vonatkozhat.
Lassan erre kellene tényleg valami megbízható megoldást kitalálni :( Bár igaz: amit ember talál ki...

Felhasználó profiljának megtekintése Privát üzenet küldése
KillBill
Gyakorlott phpBB-s
Gyakorlott phpBB-s
Avatar

Csatlakozott: 2007.03.26. Hétfő 5:42
Hozzászólások: 2258
Hozzászólás Elküldve: 2014.12.17. 23:54    Hozzászólás témája:
Hozzászólás az előzmény idézésével
Marcee ezer köszi az infóért . A fordító által én is erre a következtetésre jutottam, de vártam remélve, hogy lefordítja valaki tökéletesen :wink:

Marcee írta:

Egy csapattag bejelentkezési adatait szerezték meg
Vagy a csapattag volt nagyon ügyes, vagy a hacker nagyon profi. Mondjuk nem hiszem, hogy a világ 5 legjobb heckere ellen lehetne védekezni, olyan tudással rendelkeznek amit mi fel se foghatunk.

Marcee írta:

Írtátok itt páran, hogy saját (virtuális) szerveren futtatjátok a fórumaitokat. Használtok a PHP-hez valamilyen opcode cache (például APC, XCache, eAccelerator stb.) megoldást? Ha nem, akkor azzal viszonylag egyszerűen lehetne gyorsítani a fórumot.
feltettem az APC-ot és rosszabb lett :(

APC nélkül - Time spent on mysqli queries: 0.00193s | Time spent on PHP: 0.14911s

APC-al - Time spent on mysqli queries: 0.00213s | Time spent on PHP: 0.17599s

és ha pluszba még a config.php fájlban ha lecserélem a file - apc -ra.
Time spent on mysqli queries: 0.032s | Time spent on PHP: 0.60016s

Megjegyzés: nem állítottam el az alap configját az apc-nak, tehát az alap beállítás volt érvényben.

További ötlet? :lol:

Felhasználó profiljának megtekintése Privát üzenet küldése Felhasználó weblapjának megtekintése MSN Messenger
Marcee
Adminisztrátor
Adminisztrátor
Avatar

Csatlakozott: 2006.01.17. Kedd 1:00
Hozzászólások: 2921
Hozzászólás Elküldve: 2014.12.17. 23:58    Hozzászólás témája:
Hozzászólás az előzmény idézésével

Mykee írta:

Ami tény: sok jelszót használok sok helyen.
Én erre az ingyenes KeePass 2-t használom, így megengedhetem azt a luxust, hogy minden regisztrációmnak külön jelszava legyen és elég csak a mester jelszót elfelejtenem :lol:
Ez különálló programként fut, ha be kell jelentkezned valahova, akkor vagy vágólappal másolod át a jelszót (be lehet állítani, hogy x másodperc múlva törölje), vagy az automatikus gépelés funkcióját használod. Ez úgy néz ki, hogy böngészőben ráállsz a felhasználónév mezőre, KeePassban kiválasztod az ahhoz tartozó bejegyzést, egy CTRL + V-t nyomsz és kitölti a böngészőben a bejelentkezési adatokat. Ezt lehet még azzal variálni, hogy egyből KeePassból nyitod meg az URL-t. Nekem egész jól bevált az a kombináció, hogy a jelszavaim a KeePassban vannak, a böngészővel meg pluszban meg van jegyeztetve az a kb. fél tucat jelszó, amit napi szinten használok.

Sokan a LastPass-ra esküsznek. Ha minden igaz, ez böngésző pluginként fut, emiatt kevésbé döcögős a használata, illetve több eszköz között tud szinkronizálni (a KeePassnál csak egy darab fájlod van, amit neked kell másolgatni). Nem használtam még sose, részleteket nem tudok róla.

KillBill írta:

További ötlet? :lol:
És következő oldalbetöltéskor is még hasonló értékek szerepelnek? Az opcode cache lényege pont az lenne, hogy nem kell a PHP fájlt minden egyes alkalommal újra beolvasni és értelmezni. Emiatt úgy kellene kinéznie, hogy első alkalommal van egy valamilyen futási időd, frissítesz egyet az oldalon és utána ez az érték leesik.
Egyébként ne egy-egy értékpárt hasonlíts össze, mert itt már csak század és ezred másodperc eltérések vannak (0.00193s és 0.00213s között, ha jól számolom csak két tízezred másodperc az eltérés), amit helyi gépen simán okozhat akár olyan is, hogy valamelyik program a háttérben éppen végez még valamilyen műveletet.



A hozzászólás legutóbb Marcee által 2014.12.18. 00:11-kor lett szerkesztve, összesen 1 alkalommal.

Felhasználó profiljának megtekintése Privát üzenet küldése
pstvfan
Gyakorlott phpBB-s
Gyakorlott phpBB-s
Avatar

Csatlakozott: 2006.07.30. Vasárnap 1:00
Hozzászólások: 1542
Hozzászólás Elküldve: 2014.12.18. 00:11    Hozzászólás témája:
Hozzászólás az előzmény idézésével

Mykee írta:

... De ha itt tartunk: tökmindegy mi a követelmény, ha egy ilyen húzással akkor is hozzáférnek a legbonyolultabb jelszavakhoz is. ...
Azért ez ebben a formában nem igaz. A jelszó hash-ekhez férnek hozzá, ami gyakorlatban valószínűleg azt jelenti, hogy csak akkor tudják meg mi volt a jelszavad, ha az valami egyszerű, szótárazással meghatározható volt. Egy ekkora adatbázisból minden jelszó megtörése még egy botneten is eltartana egy darabig, ráadásul elég alacsony a cost-benefit, ha azt nézed, hogy kik alkotják az oldal felhasználóit. Ergo szerintem leginkább amiatt kell aggódnod, ha valami miatt, hogy az email címed amiről regisztráltál felkerül valami spam listára.
_________________
<M>

Felhasználó profiljának megtekintése Privát üzenet küldése
Marcee
Adminisztrátor
Adminisztrátor
Avatar

Csatlakozott: 2006.01.17. Kedd 1:00
Hozzászólások: 2921
Hozzászólás Elküldve: 2014.12.18. 00:19    Hozzászólás témája:
Hozzászólás az előzmény idézésével
És az sem elhanyagolható, hogy ha hozzáférnek egy jelszavadhoz, akkor az csak egy valamilyen fórum hozzáférést nyit, vagy egy valamilyen fórum hozzáférést, a saját fórumod admin felületét, a levelezésed meg esetleg a netbankod felületét. Jó, ez így extrém példa, de gondolom érthető, mire akarok kilyukadni.

Felhasználó profiljának megtekintése Privát üzenet küldése
KillBill
Gyakorlott phpBB-s
Gyakorlott phpBB-s
Avatar

Csatlakozott: 2007.03.26. Hétfő 5:42
Hozzászólások: 2258
Hozzászólás Elküldve: 2014.12.18. 00:42    Hozzászólás témája:
Hozzászólás az előzmény idézésével

Marcee írta:

És következő oldalbetöltéskor is még hasonló értékek szerepelnek?
Hát persze :lol:

Tudod amikor a mysql tunning leírást alkalmaztam azon látszott javulás (nagyon nagy javulás), de a php-t nekem még nem sikerül tuningolni, régebben ugyan ez volt a helyzet az xcache-el is.

Most nézek egy kép apc configot, de eddig semmi ami javítana. :roll:

Néztem másik oldalt is ahol nagyobb a php terhelés

Time spent on PHP: 0.26128s

apc-al - Time spent on PHP: 0.3103s

Na meglesem újra az xcache azt beszámolok arról is.

ui: phpBB.com hát igen az e-mail cimek a gond nem a password. Mondjuk én majdnem minden oldalon más kódot használok így engem ez nem igen érint. Ráadásul évente lecserélem minden oldalon.

Szerk: még az OP-t is leteszteltem nekem nem csökkenti hanem növeli, érdekes.

Felhasználó profiljának megtekintése Privát üzenet küldése Felhasználó weblapjának megtekintése MSN Messenger
Marcee
Adminisztrátor
Adminisztrátor
Avatar

Csatlakozott: 2006.01.17. Kedd 1:00
Hozzászólások: 2921
Hozzászólás Elküldve: 2014.12.18. 22:16    Hozzászólás témája:
Hozzászólás az előzmény idézésével
PHP 5.5-től van egy opcache nevű kiegészítés, ami része a PHP terjesztésnek (a Windowsos letöltésben benne van a DLL, a Linuxos forráskód csomagban pedig a forráskódja, gondolom a legtöbb distroban van belőle telepíthető csomag is). Az engedélyezése a php.ini-ben rendszertől függően csak ennyi:

Kód:

zend_extension=php_opcache.dll
vagy

Kód:

zend_extension=/full/path/to/opcache.so


Ha az APC-t szeretnéd használni, akkor a hozzá tartozó apc.php-vel (forráskód) tudod a legegyszerűbben ellenőrizni a működését. A hit az a kód, amit ki tudott szolgálni a cache-ből, a miss, amit nem. Ha rendesen működik, akkor egy idő után a miss-eknek csökkennie kellene, a hit-eknek nőnie (ugyanannak a fájlnak a kiszolgálása minden alkalommal egy-egy különálló hit-nek vagy miss-nek számít).

Hasonló statisztikák opcache-hez: How to use PHP OPCache?

Felhasználó profiljának megtekintése Privát üzenet küldése
Marcee
Adminisztrátor
Adminisztrátor
Avatar

Csatlakozott: 2006.01.17. Kedd 1:00
Hozzászólások: 2921
Hozzászólás Elküldve: 2014.12.22. 20:30    Hozzászólás témája:
Hozzászólás az előzmény idézésével
Újabb frissítés a phpbb.com-on:

Idézet:

Update #4 22-12-2014 - 08:45

We have concluded our investigation and are actively working on bringing services back online.

We verified the integrity of all data on the machines, which took a considerable amount of work and time. The backend infrastructure has likewise been improved so things should be running better than ever.

Apologies for the long downtime. We expect this to be completed within 24-48 hours.
Vagyis a vizsgálatot befejezték, és most igyekeznek visszaállítani az oldalt. Minden szerveren ellenőrizték az adatok sértetlenségét, ami sok időbe és munkába telt. A kiszolgáló infrastruktúrán fejlesztéseket hajtottak végre, úgyhogy a dolgoknak jobban kell működniük, mint valaha. Elnézést kérnek a hosszú kimaradásért, a helyreállítás 24-48 órán belül fog befejeződni.

Felhasználó profiljának megtekintése Privát üzenet küldése
Mykee
Gyakorlott phpBB-s
Gyakorlott phpBB-s
Avatar

Csatlakozott: 2005.08.29. Hétfő 1:00
Hozzászólások: 814
Hozzászólás Elküldve: 2014.12.22. 22:22    Hozzászólás témája:
Hozzászólás az előzmény idézésével
Ez jó hír és kíváncsi leszek a végeredményre, hogy végülis mi volt és milyen adatok sérülhettek. Csak tényleg sok melót adott nekik. :(

Felhasználó profiljának megtekintése Privát üzenet küldése
Marcee
Adminisztrátor
Adminisztrátor
Avatar

Csatlakozott: 2006.01.17. Kedd 1:00
Hozzászólások: 2921
Hozzászólás Elküldve: 2014.12.24. 18:44    Hozzászólás témája:
Hozzászólás az előzmény idézésével
Visszatért a phpBB.com ezzel az angol nyelvű bejelentéssel.

Újra kihangsúlyozzák, hogy a szervereiket ért támadás semmilyen formában nem veszélyezteti a külső phpBB-s fórumokat. Az ezekben tapasztalt hibák, leállások vagy megnövekedett SPAM forgalom nincs összefüggésben a phpBB.com-on történtekkel.

December 14-én, vasárnap észlelték, hogy a phpbb.com-ot kiszolgáló szervert kompromittálták. A hálózatukat (ami a szervereiket kapcsolja össze) lekapcsolták és elkezdték az események kivizsgálását. A következőkre jutottak:

December 12-én, pénteken hozzáfértek az area51.phpbb.com-ot kiszolgáló szerverükhöz (ez a fejlesztői fórumuk, ami különálló a phpbb.com-on lévőtől) egy csapattaguk hozzáférési adataival, amit külső forrásból szereztek meg (nem egy, a phpBB-ben lévő sebezhetőséggel).

Az area51-es teszt fórumhoz hozzáadtak egy olyan plusz kódot, ami bejelentkezéskor lementette az éppen bejelentkező fórum tag felhasználói nevét és jelszavát (kódolatlanul). Az érintett felhasználókat értesítették.

Feltételezik, hogy a támadók megszerezték mind az area51.phpbb.com, mind a phpbb.com felhasználói adatait. Ebbe beletartozik a felhasználói név, az e-mail cím és a PHPass (ezt használja alapból a phpBB 3-as verziója) által hashelt jelszó. Noha a jelszó hashelése nehézzé teszi az eredeti jelszó megszerzését, mindenkinek javasolják, hogy cserélje le a phpbb.com-on, area51.phpbb.com-on használt jelszavait, valamint minden olyan további oldalon is, ahol az adott jelszót használja.

A szerver infrastruktúrát alapjaiból építették újra, hogy ezzel is biztosítsák a rendszereik tisztaságát. A phpbb.com egyes, még nem működő funkciói a következő napokban kerülnek helyreállításra. Ezekről később egy részletesebb blog bejegyzést fognak közzétenni.

Újfent elnézést kérnek a kellemetlenségekért és remélik, hogy továbbra is mindenki együttműködik velük a phpBB jobbá tételében.

Felhasználó profiljának megtekintése Privát üzenet küldése
KillBill
Gyakorlott phpBB-s
Gyakorlott phpBB-s
Avatar

Csatlakozott: 2007.03.26. Hétfő 5:42
Hozzászólások: 2258
Hozzászólás Elküldve: 2015.01.27. 06:31    Hozzászólás témája:
Hozzászólás az előzmény idézésével

Mykee írta:

Akkor úgy fogalmazok: ha te nem patcheled meg vagy nem találsz foltozást, akkor a 3.1 átállás marad vagy másik motor. Tehát úgy értem: akkor a 3.0.12-őt nem tudod utána használni, ahogy előtte.
Látod csak foglalkoznak vele, kijött a 3.0.13 :wink:

Felhasználó profiljának megtekintése Privát üzenet küldése Felhasználó weblapjának megtekintése MSN Messenger
Hozzászólások megtekintése:  

Időzóna: (GMT +1 óra) RSS - hozzászólások
Nem készíthetsz új témákat ebben a fórumban.
Nem válaszolhatsz egy témára ebben a fórumban.
Nem módosíthatod a hozzászólásaidat a fórumban.
Nem törölheted a hozzászólásaidat a fórumban.
Nem szavazhatsz ebben fórumban.

Hirdetés
Hirdetés