baza danych + webspell

[kune]

witam mam strone w webspellu dla mojego klanu w cs,jezeli ktos ma dane do mojej bazy danych uzyskal je przez picture.php to czy moze cos mi zrobic?dodam jeszcze ze posiada on moj nick na stronie i wszystkie dane do bazy danych.
czekam na odpowiedzi ewentualnie moglibyscie poradzic mi co zrobic zeby zabezpieczyc moja strone? nie chodzi mi o zrobienie trudnych hasel itd...

[fake]

Zmienić musisz hasło do kont z uprawnieniami (to jest minimum). Oraz zmienić hasła wszystkim użytkownikom.
Dlaczego? W bazie danych zapisane są WSZYSTKIE hasła (prawdopodobnie zakodowane - lecz można to przełamać), dlatego trzeba je wszystkie pozmieniać.

[TQM]

zmiana hasel nic nie da bo koles wejdzie tak jak wszedl tym razem, znowu skopiuje baze i znowu bedzie mogl atakowac hasla, wiec w ten sposob nic nie rozwiazecie - problem trzeba rozwiazac u zrodla czyli znalezc jak wszedl i zablokowac mu dostep (i miec nadzieje ze wiecej dojsc nie znajdzie), inaczej tracicie czas

[kune]

on wszedl za pomoca polecenia:
picture.php?file=_mysql.php
juz usunalem ten plik z ftp ale jezeli on mial baze danych,wszystkie dane to co i w jaki sposob mogl zrobic bo mial tylko te dane

[TQM]

A w jaki sposob ten plik znalazl sie na Twojej stronie pomyslales?

Mozesz zmienic hasla ale koles wysle ten plik po raz kolejny, zapisze go jakos na serwerze i uruchomi w ten sam sposob (albo lepiej uruchomi bez wysylania na Twoj serwer), wiec tak czy inaczej wyprowadzi baze po raz kolejny jesli nie zablokujesz mu dostepu tak aby nie mogl zaladowac swojego pliku php.

Ja tylko mowie ze skupiacie sie na leczeniu objawow zamiast na prawdziwym problemie - zmiana hasel jakkolwiek konieczna, to jest to jedynie (byc moze) przylozenie opatrunku na rane ale to nie zatrzyma krwawienia bo taka dziura jak masz u siebie jest zbyt wielka aby takie cos pomoglo.
Odpalil swoj kod uzywajac picture.php? spoxik... zablokuj calkiem picture.php albo usun z serwera - cos za cos. Mozesz pokombinowac z mod_rewrite i napisac sobie regulke jakas fajna, itd. Mozliwosci masz wiele.

Co do tego co on moze teraz zrobic - hasla byly w bazie zakodowane? Hashe MD5? Jesli nie byly zakodowane to masz problem... wiekszosc ludzi uzywa co najwyzej kilku hasel, wiec te same hasla powtarzaja sie bardzo czesto. Ktos wbil na webspell'a u Ciebie, ciekawe ile osob ma to samo haslo do poczty co do webspella... a przeciez w bazie masz maile userow, prawda? Moim zdaniem wypadaloby poinformowac userow ze powinni zmienic hasla do skrzynek pocztowych.
Jesli hasla byly hashowane to jedynie kwestia czasu az koles zlamie hashe (niektore padna szybko, inne nieco mu zajma) i bedzie mial to samo... jesli oczywiscie chce mu sie bawic.

[kune]

wszystko zakodowane usuniete dziury zalatane ale pytam ponownie. Co mozna zrobic majac dane do bazy danych prosze odpowiadac tylko na to pytanie.

[TQM]

odpowiedzialem... ostatni akapit powyzej co mozna z baza zrobic... zaatakowac userow albo baze userow sprzedac komus innemu - maile sa uzyteczne w sumie :P ale to zalezy ile tego tam bylo