ВАЖНО Как защититься от злоумышленников и не потерять свой аккаунт

TaganRock

Jabber Admin
Platinum Member
Регистрация
24 Окт 2014
Сообщения
2,746
Реакции
8,380
В связи с участившимися угонами и взломами, решил написать новую тему по защите ваших аккаунтов...

Твой аккаунт - это лицо форума! И даже если у тебя миллион отзывов, и ты думаешь что этим миллионом ты заработал репутацию для форума, то успокойся. Если твой аккаунт угнали, то за одну минуту весь твой заработанный опыт, может полностью перевернуть мнение пользователей о форуме. Как этого не допустить, я опишу ниже.



Начнем с самого основного - это пароль:
1) Никогда! Слышите? Никогда не используйте легкие пароли типа 123454321, 123456, q1w2e3r4 и им подобные! Используйте пароли вида GhbdtLVtldtl(007). Почему? В случае угона бд, такой пароль будет расшифровываться года 2-3! Да и брутом легче найти акки.

2) К сожалению, иногда такие пароли как GhbdtLVtldtl(007), ломают за пару секунд. Как?! Да просто, скидывают Вам фейк, вы на него входите, там сохраняются все данные не зашифрованными. Посему настоятельно рекомендую: ЕСЛИ ВАМ СКИНУЛИ ССЫЛКУ, ТО ПОСЛЕ (ИМЕННО ПОСЛЕ!!!!) захода по ссылке, посмотрите в строку ввода url и убедитесь, что там написан нужный Вам сайт, а не другой.

Пример:
Сайт wwh.my : фейк wwn.my - wwh1.my - wwh.in и прочие.

Далее, бывают случаи что вы не заходили по ссылкам, а пароль Ваш взломали - это случается после того, как вы зарегистрировались под своим же ником или email на соседнем борде, и в сотый раз использовали свой мегасложный пассворд. А там админ какашка, никак не шифрует ваши пароли. И лежат они в открытом виде, что дает хакеру возможность воспользоваться вашими аккаунтами. Посему рекомендую делать приставку. К примеру был у вас пароль на wwh: Ponaehali007, добавьте приставку (можно любую другую, но чтобы не забыли) Ponaehali007_wwh, соответственно на центре будет у вас такой пароль: Ponaehali007_center. А вообще используйте на каждых бордах разные пароли, так будет еще лучше. И пароль на почту всегда делайте на 15-40 символов, т.к. получив доступ к почте, можно восстановить Ваши пароли и тогда все ваши защиты пойду по п###е.

3) Никому не сообщайте свою почту, где у Вас висят акки. Если надо что-то принять, используйте одноразовые почты. Там даже регаться не надо ;-) Кто не знает такие, то гугл в помощь.

4) Меняйте пароли от почты и аккаунта не реже раза в месяц. Пароли не должны повторяться!

5) Привязуйте к своей почте мобильник и ставьте 2х уровневую авторизацию на почту, типа зашли с другого браузера или ip, подтвердите вход кодом пришедшим в смс.

6) Ну и конечно пользуйтесь антивирусами, потому как в нынешнее время очень много вирусов для любых ОС, которые записывают все ваши действия и отправляют прямиком хакеру)

Вроде бы по паролям все, перейдем дальше к средствам быстрого общения, таким как жабер и icq.
Тут все гораздо хуже... Уязвимо все, в том числе такие старые средства общения, но уязвимости знают лишь 0,001% пользователей данных средств связи. Я рекомендую пользоваться такими клиентами, как: Jabber, vibber, telegram, whatsapp (последние 3 есть уже и на компьютеры, там при восстановлении пасса данные приходят на телефон, соответственно в случае попытки взлома вы все узнаете по смс).

По поводу жабы скажу одно: не используйте крупные сервисы, да и вообще не используйте сервисы. Делайте свои жаббер ID, наймите кодера хорошего, ну или почитайте в сети как поднять JID сервер, далее регайте домен и будет у Вас уникальный адрес. Вход в админку удалите вообще нахер, если вам туда надо, залейте на ftp админку, сделайте свои дела и снова сносите ее. Пользуйтесь такими вещами как htaccess (скрыть нужные вам файлы, к примеру папку с перепиской если будете логировать) ну и конечно htpasswd при открытии вашего домена в браузере. Это усложнит очень сильно работу хакерам.

Если вам в клиент прислали ссылку с текстом антиспама, мол зайдите и авторизуйтесь, чтобы разблочить, первым делом очень хорошо посмотрите ссылку, может там что лишнее будет в адресе, опосля для проверки напишите своему другому знакомому, если придет снова антиспам, значит дело в вас. Если нет, то вам кидают фейк.

Это основные способы защиты ваших аккаунтов, используя которые, вы на 99% защитите себя и не попортите репутацию форуму/сайту и себе.

Теперь для админов сайтов и форумов:

1) Используйте htpasswd при авторизации в админку.
2) Базу вашего сайта/форума храните на другом сервере (подключить это очень просто, в гугле очень много статей).
3) Наймите кодера, который за 15-50$ перепишет Вам систему шифрование паролей и сделает ее уникальной.
4) Пользуйтесь нормальными CMS/CMF. Из CMS я не знаю что посоветовать, а из форумных движков только XenForo. На нем есть xss'шки конечно, можно слить форум очень быстро и получить доступ к базе, но... Но там очень сложная система хэширования паролей, которую хакеры до сих пор не смогли расшифровать. Я сам ищу мастера, которому готов крупную сумму предоставить. :)
5) Если у Вас есть клубная система, используйте вход в аккаунты по сертификатам или двухуровневую систему защиты.
6) Не давайте абы кому доступ к админке.
7) Обратитесь на exploit, тамашние мастера выявят и исправят все Ваши уязвимости.
8) Вслучае появления фейка, используйте функцию АнтиСпам, где введите адрес фейка, который будет заменятся на любую надпись, которую Вы оставите.
К примеру фейк: wwn.my, наш уважаемый W.W.H. ввел в админке в строку спам: wwn.my, а в строку замены: ублюдок.ком. Что мы получаем: злоумышленник внутри форума присылает кому-нибудь ссылку на wwn.my, а ссылка автоматически заменяется на ублюдок.ком. Только одним способом можно это обойти, но я не скажу каким.


Вроде бы Все. Со временем буду пополнять эту статью. Всем спасибо за внимание!

Ваш TaganRock! (на 29.04.2016 база логин:пароль, почта:пароль - более 13.549.000.000 шт.)

[DOUBLEPOST=1433414615,1433414323][/DOUBLEPOST]P.s: Уверен, что только 3% из прочитавших задумаются о своей безопасности... И лишь 0,6% предпримут какие-либо действия. Ну это уже лучше, чем ничего.

P.s.s. Не спрашивайте как я обошел баг wwh с публикацией такой красочной записи :) Секрет.
 

Работай безопасно с WWH-CLUB : ручной и автоматический гарант-сервис.

Продвигай свою коммерцию : баннерная и автоматическая реклама. 

Получай новые знания : бесплатно или платно.

 

Stalin

Наблюдатель
Регистрация
12 Май 2015
Сообщения
534
Реакции
486
Пользователь заблокирован.
Не проводите с ним сделок до снятия бана.
Почту надо жестко протектить. Я на протон маил инвайт себе замутил правда недели две его ждал. Кричат что самая анонимная почта.
[DOUBLEPOST=1433415586][/DOUBLEPOST]Кстати не вариант что ли сделать, секретку при входе с левого айпи?
 

МАЭСТРО

Наблюдатель
Регистрация
18 Фев 2015
Сообщения
276
Реакции
709
ГАРАНТ
4
Зачет автоматом... исчерпывающе изложили. Беда многих это - Лень, создать элементарную систему собственных паролей не проблема и меняй ее раз в месяц по своему алгоритму. Полезная статья.
 

Strogo

Наблюдатель
Регистрация
23 Мар 2015
Сообщения
121
Реакции
30
Пользователь заблокирован.
Не проводите с ним сделок до снятия бана.
ТС молочик
Базара нет
 

TaganRock

Jabber Admin
Platinum Member
Регистрация
24 Окт 2014
Сообщения
2,746
Реакции
8,380
Добавлю одно: статья писалась по опыту моей работы. Сделав хоть половину из этого, вы будите жить спокойно. Конечно я не все тут изложил, многое является приватной инфой, но и этого больше, чем достаточно.
[DOUBLEPOST=1433432680,1433432437][/DOUBLEPOST]Кстати я не удивлюсь, если приватные курсы личной защиты в сети, которые продаются за огромные бабки, содержат примерно такую же инфу.
[DOUBLEPOST=1433433788][/DOUBLEPOST]
Кстати не вариант что ли сделать, секретку при входе с левого айпи?
Прости, но отвечу слегка некорректно. Форум не молодых мам, где все сидят со своего железа. Большая часть сидит под проксями, которые меняют каждый день, другая под дедами, а оставшаяся под ТОРом. Соответственно это слегка сюда это не подходит. Да и хранить администрации ввх IP участников - это брать на душу грех, хотя в начале года уже был небольшой инцидент по этому поводу, и я очень сильно надеюсь, что сейчас в этом нет проблем.
 

Stalin

Наблюдатель
Регистрация
12 Май 2015
Сообщения
534
Реакции
486
Пользователь заблокирован.
Не проводите с ним сделок до снятия бана.
[DOUBLEPOST=1433433788][/DOUBLEPOST]
Прости, но отвечу слегка некорректно. Форум не молодых мам, где все сидят со своего железа. Большая часть сидит под проксями, которые меняют каждый день, другая под дедами, а оставшаяся под ТОРом.
Да не важно кто ты. На то и секретный вопрос. Зашла молодая мама, на мой акк, а ее спрашивают, какой мой любимй кот? И ушла. Вот и конец. Ты что то другое хотела сказать?
 

TaganRock

Jabber Admin
Platinum Member
Регистрация
24 Окт 2014
Сообщения
2,746
Реакции
8,380
Да не важно кто ты. На то и секретный вопрос. Зашла молодая мама, на мой акк, а ее спрашивают, какой мой любимй кот? И ушла. Вот и конец. Ты что то другое хотела сказать?
ты про это, ну тоже верно. Ну все же, здесь только средствами куки сверки делать. Нет куки - вводи ответ на вопрос. Тут руками и ногами за! Сорри, слегка не понял)

Просьба АМС отписаться по этому поводу, считаю это конкретным и действующим предложением!
 

SLY

Наблюдатель
Регистрация
29 Янв 2015
Сообщения
124
Реакции
99
Пользователь заблокирован.
Не проводите с ним сделок до снятия бана.
Хорошо написал, для многих есть над чем задуматься.... только вот со сменой пароля рах в мес это бро ты конечно переборщил, .... нее я понимаю что в теории то оно так должно быть.... но на практике по*б*тся, по*б*тся пользователь с такой СИБ и плюнет в конце концов, оставив неприкрытым зад, .... надо чтоб система была достаточной но не маньячной )))) , соблюдать 80 процентов этих условий и клювом самому не хлопать, просто если уж ты оч интересен будешь, то найдут способ как к тебе подкатить .....
И еще, чего то ты про Ябер сказал наличном серваке, а про почту умолчал, хотя она поднимается так же на личном серваке тока в 2 раза проще ..... это даст хоть немного но + к бзопасности ....
А вообще все же впном пользуются и у всех выбор стран\ип адресов есть, так вот зарезервируйте один такой адресок ТОЛЬКО для работы со своими железками и на своем оборудовании правило создайте точнее 2 :

- разрешить только IP впн
- запретить все
Даже если этот впн когда то сдохнет, то через админку в шеле все легко правится, нужно только немного подумать)
Издавна известно, лучший контроль доступа -это отсутствие его)
[DOUBLEPOST=1433438284][/DOUBLEPOST]Как сказал мне один занакомый "хакер": "Вся опасность в нете из-за скриптов, выключите нахер эти скрипты и будет вам счастье!"
 

TaganRock

Jabber Admin
Platinum Member
Регистрация
24 Окт 2014
Сообщения
2,746
Реакции
8,380
Хорошо написал, для многих есть над чем задуматься.... только вот со сменой пароля рах в мес это бро ты конечно переборщил, .... нее я понимаю что в теории то оно так должно быть.... но на практике по*б*тся, по*б*тся пользователь с такой СИБ и плюнет в конце концов, оставив неприкрытым зад, .... надо чтоб система была достаточной но не маньячной )))) , соблюдать 80 процентов этих условий и клювом самому не хлопать, просто если уж ты оч интересен будешь, то найдут способ как к тебе подкатить .....
И еще, чего то ты про Ябер сказал наличном серваке, а про почту умолчал, хотя она поднимается так же на личном серваке тока в 2 раза проще ..... это даст хоть немного но + к бзопасности ....
А вообще все же впном пользуются и у всех выбор стран\ип адресов есть, так вот зарезервируйте один такой адресок ТОЛЬКО для работы со своими железками и на своем оборудовании правило создайте точнее 2 :

- разрешить только IP впн
- запретить все
Даже если этот впн когда то сдохнет, то через админку в шеле все легко правится, нужно только немного подумать)
Издавна известно, лучший контроль доступа -это отсутствие его)
Можно поднять почту, я хотел написать. Но лучше делать ее корпоративной, привязать к gmail, yandex, mail. На своем лучше не поднимать, очень уязвима система.

А так все правильно! 5 баллов!
 

SLY

Наблюдатель
Регистрация
29 Янв 2015
Сообщения
124
Реакции
99
Пользователь заблокирован.
Не проводите с ним сделок до снятия бана.
Зы) , Бро, нуу тут как сам понимаешь, безопасность системы прямопропорциональна прямоте "твоих" рук и мозга)
 

newlife

Наблюдатель
Регистрация
14 Сен 2014
Сообщения
393
Реакции
249
Все пправильно написал, но "Ну и конечно пользуйтесь антивирусами, потому как в нынешнее время очень много вирусов для любых ОС, которые записывают все ваши действия и отправляют прямиком хакеру)" в наше время спасет только от безкриптового поползновения в вашу сторону. И да еще тоже пользуюсь протон почтой) доволен.
 

Irokezovich

Наблюдатель
Регистрация
10 Июл 2015
Сообщения
23
Реакции
0
Понравилось. ТС красаучег.
 

valuebet

20
WWH-CLUB
Регистрация
13 Май 2015
Сообщения
439
Реакции
327
ГАРАНТ
2
TaganRock TaganRock , а какой антивирус порекомендуешь?
 

TaganRock

Jabber Admin
Platinum Member
Регистрация
24 Окт 2014
Сообщения
2,746
Реакции
8,380
TaganRock TaganRock , а какой антивирус порекомендуешь?
У меня их нет. Я просто не качаю всякую фигню и не захожу на стороние проекты.

А так мне понравился симантек и нод
 

PNH

Старый конь борозды не портит
Команда форума
Модератор
HotelsGroup
Enroll Brute Union
Premium Brute
Регистрация
24 Фев 2014
Сообщения
6,233
Реакции
16,371
ГАРАНТ
1
Вот ешо способ против фейк жаб.
Я на своем джабер сервере зарегал все варианты моей жабы с использованием кирилицы, все варианты.
 

Сверху