hasło

[jasiudhl]

Witam wszystkich
to tak na wstepie
Mam problem ponieważ mam własne forum nawet jest dość często odwiedzane zawitał do mnie jeden osobnik który nie jest zbyt pożądany w towarzystwie i w ogolę próbowałem go banować ale niestety nie dało to zbytnio efektu ponieważ osobnik powraca przez bramę proxy i dalej pod nowym nickiem sieje zamęt nie wiem co mu złego zrobiłem próbowałem z gościem pogadać ale on tego nie chce porostu moje forum wziął sobie na cel i tyle co mam zrobić ?

jestem początkującym tak ze nie znam wszystkich sztuczek aczkolwiek ban na ip i na host nic nie pomaga bo przecież wystarczy tylko ciasteczka usunąć i gościu powraca dałem aktywacje konta przez e mail niestety gość jest na tyle uparty że na dal powraca z nowym stworzonym na jakimś serwerze FTP własnym email i podejrzewam ze ma tam z 1000 adresów poczty sprowadzających go do jednej skrzynki bo tylko końcówki się różnią (pierw jest ż[email protected] a po tem [email protected]) jak zablokuje pocztę z danego serwera to niestety robi sobie na nowym ale popełnia błąd i to dość duży używa tego samego hasła do prawie wszystkich kont niestety hasło które ja widzę jest już zakodowane i nie mam za bardzo jak go rozszyfrować czytałem w sieci ze można to zrobić ale to jest zbyt mocne na moja głowę ja się do tego nie nadaje a ze czas trochę nagli bo kto by chciał być na takim forum gdzie jest taki dupek ( za przeproszeniem) zwracam się z prośba do was żeby ktoś je rozszyfrował a wygląda ono tak '50bb3db88e2cd8c1be7f631476fec189',


na pewno nasuną się pytania po co już wyjaśniam

sprawa jest dość prosta po wpisaniu jego loginu(którego używał na początku) w google kilka stron wypluło mi jego login wraz z hasłem które jest tak samo zakodowane jak i na mojej stronie czyli '50bb3db88e2cd8c1be7f631476fec189', podejrzewam ze używa tego samego hasła prawie do wszystkich stron na których się rejestruje.

gdybym posiadał jego hasło usunął mu kilka takich kont podejrzewam ze gościu może troszkę by się przestraszył i wiedział ze nie ma do czynienia z ciemniakiem. Moze w końcu by się uspokoił ja już innego pomysłu nie mam.

a może wy mi poradzicie!!!

co z nim zrobić ?

przez wzgląd na dobro i respekt dla tego forum nie podam ani nicku tego gościa ani adresu mojego forum ponieważ ktoś mógł by uznać to za spamowanie

jeżeli byście posiadali hasło do tego textu który podałem podajcie mi je na P.W. jeżeli jakieś pomysły sensowne bardzo proszę podajcie je w odpowiedziach może przydadzą się komos jeszcze.

Dziękuje za pomoc !!!!!

[TQM]

Ehhhh... rece opadaja bo temat lamania hashy MD5 byl walkowany.

[jasiudhl]

ok kolego moze i był ale napisałem ze prosze o pomoc poniewaz jestem za ciemny i niestety nie wiem czy to ja nie potrafie tego rozwalic czy poprostu md5 nie ma w bazie takiego hasła wychodza mi cuda albo nic

[TQM]

Jesli wpadles na to aby poszukac po bazach dostepnych on-line to ciemny nie jestes... ale jakbys doczytal nieco watki tutaj na forum mowiace o hashah md5 i metodach znajdowania plaintext'u to bys wiedzial dlaczego moze tego hasha nie byc w bazie zadnej. Po prostu pech i tyle

Zostaje atak brute-force albo ... :-) jak nie kijem bo to pala!

EDIT:
Najlepsze rozwiazanie - rejestracja moderowana... jak mod/admin nie zaakceptuje to rejestracji nie ma.

[jasiudhl]

nie no podejrzewam ze nikogo nie cieszyło by czekanie cały dzień na aktywacje konta zresztą i tak nie mam pewności czy to będzie ta osoba czy nie atak jest dla mnie zbyt ciężki ale wymyśliłem jedna rzecz

gdybym stworzył forum po części zbudowane z mojej bazy danych i wyłączył w nim kodowanie haseł a czytałem ze w phpbb Przemo się da wyłączyć to podejrzewam ze w bazie jego hasło zapisało by sie w postaci oryginalnej oczywiście musiał by się wtedy zarejestrować na nowo ale to może być jedyne rozwiązanie takiego problemu. Trochę pracochłonne ale to chyba jedyny sposób na odnalezienie hasła.

[TQM]

Wlasnie o to mi chodzilo :P

... jest z tym jeden problem - wszyscy uzytkownicy beda miec hasla zapisane w plain-text, co samo w sobie jest zagrozeniem a dodatkowo stwarza problemy moralne (wiadomo ogolnie ze uzytkownicy najczesciej uzywaja jednego hasla w paru miejscach).

Jesli Twoj natret uzywa generalnie tej samej domeny za kazdym razem (albo paru domen) to tak zmodyfikowac kod aby dla uzytkownikow w tych domenach haslo plain-text zapisywalo sie dodatkowo w pliku gdzies albo wysylalo na maila nawet ale pozostalych userow nie logowalo.

Oczywiscie wymaga to nieco wiedzy o konstrukcji forum. Mozesz tez zapiac sobie swoj trigger na insert/update w tabeli - kwestia gustu :-)

Rozwiazanie znalazels sam - dzialaj wiec jesli masz ochote. Dla mnie EOT.