Общие неполадки сайта и форума Опции

[Лиходей]

Даже не представляю каким боком тут вдруг всплыл параметр magic_quotes ...

Отсюда

будут наблюдаться ошибки при отправке текста с кавычками, пока мы не поправим все модули. просто убирайте кавычки.

Вообще, можно ли считать мое поведение разумным, если я буду отвечать (да еще и публично) на вопросы о мерах безопасности?

Тот, кто взломал сервак, уже знает о его безопасности всё, что хотел знать =) Какой смысл скрывать что-то дальше?)

Кстати, раз уж решили написать, что:Не подскажете, как именно они сильно помогают?

Есть запрос вида "select * from users where login=$login". magic_quotes выключены, переметр не фильтруется. В результате запрос преващается в
"select * from users where login='login' and 1=0 union select '<php>shell_exe(GET_["cmd")])</php>' into outfile '/var/www/vhosts/braingames.ru/shell.php'/*". Ну это я на глаз писал. Директива разрешения создания файлов самим mysql по умолчанию включена. В результате в корне сайта появляется шелка произвольной степени навороченности. При отсутствии у злоумышленника локальных путей местораположения файлов веб-сервера задача для него усложняется, так как их необходимо подбирать.

[Dmitry]

Тот, кто взломал сервак, уже знает о его безопасности всё, что хотел знать =) Какой смысл скрывать что-то дальше?)

О состоянии на момент проникновения. Но не о теперешнем.

... В результате в корне сайта появляется шелка произвольной степени навороченности. При отсутствии у злоумышленника локальных путей местораположения файлов веб-сервера задача для него усложняется, так как их необходимо подбирать.

Именно. То есть знание путей упрощает жизнь при наличии другой дырки в виде SQL-inj, например. Само по себе дыркой не является и, при таком содержимом пути, как сейчас, подбирается влёт по словарю.

Как я уже писал, не беспокойтесь. Закончим работы, отключим display_errors и радикально сменим диру.

[Лиходей]

>> Именно. То есть знание путей упрощает жизнь при наличии другой дырки в виде SQL-inj, например. Само по себе дыркой не является и, при таком содержимом пути, как сейчас, подбирается влёт по словарю.

Да, именно так. Но, в принципе, это приравнивается к уязвимости. Насколько мне известно, к уязвимости приравнивается даже наличие точной информации о версии используемой CMS, или потипу того. Но это возможно да, перебор.

>> Как я уже писал, не беспокойтесь. Закончим работы, отключим display_errors и радикально сменим диру.
Отлично)

Всё-таки хотелось бы узнать! Происходит преднамеренный ручной взлом, или пролазит бот через одно и то же место? Просто так, для кругозора)

[АлександрС]

Пришло несколько ответов, посланных сегодня в середине дня с пустым полем. Вчера у Mouse,тоже самое было.

[UNDEFEAT]

Пришло несколько ответов, посланных сегодня в середине дня с пустым полем. Вчера у Mouse,тоже самое было.

Причём съедает только текст. Картинки остаются.

[Dmitry]

Пришло несколько ответов, посланных сегодня в середине дня с пустым полем. Вчера у Mouse,тоже самое было.

Вообще, в этом месте правки не вносились в последнее время.
А были нормальные ответы в эти дни?
А может все пустые ответы имеют примерно одинаковое время отправки?
Еще, пожалуйста, сообщите параметры этих ответов: puzzle и id (содержатся в адресной строке при ответе на задачу). Посмотрим в базе. Достаточно 2-3 примеров.

Возможно, это как-то связано с тем, что сервер пролежал днем порядка получаса.

[Saber]

' date='7.2.2012, 4:02' post='55609']
А может все пустые ответы имеют примерно одинаковое время отправки?
Еще, пожалуйста, сообщите параметры этих ответов: puzzle и id (содержатся в адресной строке при ответе на задачу). Посмотрим в базе. Достаточно 2-3 примеров.

Два из пропавших ответов - мои, между ними "расстояние" около часа:
puzzle=421&id=991720
puzzle=346&id=991731

[Dmitry]

Судя по всему, баг устранен. Пустых ответов по этой причине более быть не должно.
Однако порядка ста уже отправленных ответов так и останутся пустыми. Все они были отправлены в интервале с 04.02.12 19:48 по 07.02.12 00:03. Сожалеем.

[Sunday]

Как на счет бага с цитированием? Последний пост.

[Dmitry]

Как на счет бага с цитированием? Последний пост.

А сейчас? Проверьте, пожалуйста.
PS. Ссылки на админку мне не кидайте, я туда не полезу. Боюсь случайно подглядеть ответы и утратить интерес.

[Sunday]

А сейчас? Проверьте, пожалуйста.

Ничего не изменилось.

Сообщение было отредактировано Sunday: 7.2.2012, 15:34

[Dmitry]

А сейчас?

[Sunday]

' date='7.2.2012, 16:52' post='55626']А сейчас?

Вот сейчас работает. Спасибо.
ПС. Теперь с цитатами что-то случилось тут

[Dmitry]

Теперь с цитатами что-то случилось тут

Не подтверждаю. Я вас спокойно цитирую.
ЗЫ. Уж к форуму мы точно не прикасались.

[Sunday]

' date='7.2.2012, 17:25' post='55628']
Не подтверждаю. Я вас спокойно цитирую.
ЗЫ. Уж к форуму мы точно не прикасались.

[Dmitry]

Ахаха. В этом виноват мой ник! Цитаты других пользователей всегда нормальные.
Попробуйте процитировать себя.

Это явный баг форумного движка, т.к. он парсит несуществующий bbcode. Подумаю, исправить это или сменить ник.

[Dmitry]

Подумаю, исправить это или сменить ник.

Склонился к первому варианту и сделал костылик в форумном движке.

[idler_]

Склонился к первому варианту и сделал костылик в форумном движке.

Не люблю костыли, но для сведения: ещё проблема с цитированием пользователя с ником 0

[VitalyKolobkov]

Опять одолевает баг, когда при наборе ответа используешь символ < и сразу за ним текст, который исчезает.

[Dmitry]

В предпросмотре или уже после отправки ответа?