Попытка взлома?

Автор kak2z, 11 мая 2012, 09:21:28

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

kak2z

Пытаются взломать? Или что за глюк? И что можно сделать? Спасибо)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

maestrosite.ru

#1
Цитата: kak2z от 11 мая 2012, 09:21:28
Пытаются взломать? Или что за глюк? И что можно сделать? Спасибо)

Если интересно разобраться, поставьте запись в лог текст запроса (дамп запроса), тогда будет видно конкретно

upd Здесь надо уточнить, будет видно в будущем. То есть, в лог не попадут уже "состоявшиеся" запросы
Если задаются вопросы по вашей проблеме, значит это нужно вам!
---
Обновления форума, разрешение конфликтов, адаптация модов, исправление ошибок - ваши предложения о сотрудничестве направляйте по адресу smf@maestrosite.ru

Mr. Anviss

Может и попытка но сообщение говорит что база ждет для поля id_msg тип integer, а получает другой. И в сообщении даже написано куда надо глянуть чтобы исправить ошибку.

kak2z

Да я смотрел) не понял что тут делается правда)) я в пхп чуть чуть разобрался - но чужой код для меня по прежнему мрак..
// Get the existing message.
612: $request = $smcFunc['db_query']('', '
613: SELECT
614: m.id_member, m.modified_time, m.smileys_enabled, m.body,
615: m.poster_name, m.poster_email, m.subject, m.icon, m.approved,
616: IFNULL(a.size, -1) AS filesize, a.filename, a.id_attach,
617: a.approved AS attachment_approved, t.id_member_started AS id_member_poster,
618: m.poster_time
619: FROM {db_prefix}messages AS m
620: INNER JOIN {db_prefix}topics AS t ON (t.id_topic = {int:current_topic})
621: LEFT JOIN {db_prefix}attachments AS a ON (a.id_msg = m.id_msg AND a.attachment_type = {int:attachment_type})
622: WHERE m.id_msg = {int:id_msg}
623: AND m.id_topic = {int:current_topic}',
624: array(
625: 'current_topic' => $topic,
626: 'attachment_type' => 0,
627: 'id_msg' => $_REQUEST['msg'],
628: )
==>629: );
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

maestrosite.ru

Цитата: kak2z от 11 мая 2012, 15:52:56
Да я смотрел) не понял что тут делается правда)) я в пхп чуть чуть разобрался - но чужой код для меня по прежнему мрак..
В данном случае надо не исходный код смотреть, а данные, которые переданы в запрос. Mr. Anviss выше сказал, что вам подсунули нечто, не являющееся идентификатором сообщения.

Если это был POST запрос, то вряд ли уже можно увидеть, что именно прилетело. Если же GET, то посмотрите логи апача, что в тот момент запрашивали.
Если задаются вопросы по вашей проблеме, значит это нужно вам!
---
Обновления форума, разрешение конфликтов, адаптация модов, исправление ошибок - ваши предложения о сотрудничестве направляйте по адресу smf@maestrosite.ru

Mr. Anviss

#5
Цитата: maestrosite.ru от 11 мая 2012, 16:07:49Если это был POST запрос, то вряд ли уже можно увидеть, что именно прилетело. Если же GET, то посмотрите логи апача, что в тот момент запрашивали.
По месту кода предполагаю что действо разворачивается в момент редактирования существующего сообщения в форме расширенного ответа и нажатии кнопки предварительный просмотр.

maestrosite.ru

Скорее всего, да - это "Быстрый ответ" (или симуляция). По идее "источник" отправки может быть любой страницей, даже локальной, но в любом случае и отправка и пред.просмотр ЕМНИП POST-ом должны быть. Здесь возможны не только пред.просмотр, но и отображение каких-либо ошибок.

Если это попытка кряка, то тем более целесообразнее POST-ом отправлять, но в кряк-скриптах частенько ляпы попадаются, так что могли и GET-ом. Тем боле если это только "пощупать" было. Проверить не помешает, да и посмотреть как нащупывали, следов много может остаться
Если задаются вопросы по вашей проблеме, значит это нужно вам!
---
Обновления форума, разрешение конфликтов, адаптация модов, исправление ошибок - ваши предложения о сотрудничестве направляйте по адресу smf@maestrosite.ru

Mr. Anviss

В стандартной поставке POSTом отправляется.
oSendDoc.open('POST', sUrl, true);
if ('setRequestHeader' in oSendDoc)
oSendDoc.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
oSendDoc.send(sContent);

kak2z

#8
Цитата: maestrosite.ru от 11 мая 2012, 18:04:54Проверить не помешает, да и посмотреть как нащупывали, следов много может остаться

проверить в логах апапча не получилось... у хостера они каждый день обнуляются.. есть только за сегодня)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Mr. Anviss

Просто понаблюдайте пару дней по логам ошибок форума эта ошибка появляется только у одного IP или нет. Если да то просто забаньте его файрволом.
p.s. А что посоветуют более знающие товарищи?

maestrosite.ru

Цитата: kak2z от 11 мая 2012, 18:19:09
проверить в логах апапча не получилось... у хостера они каждый день обнуляются.. есть только за сегодня)
слов нет... А как же rotatelogs?

Если ошибка не единичная, то поставьте сброс дампа при выбросе ошибки хотя бы в фалик. А лучше в базу.
POST+GET+HTTP-headers(хотя бы COOKIE+SERVER)
Если задаются вопросы по вашей проблеме, значит это нужно вам!
---
Обновления форума, разрешение конфликтов, адаптация модов, исправление ошибок - ваши предложения о сотрудничестве направляйте по адресу smf@maestrosite.ru

Mr. Anviss

Видимо человек просто не там смотрит логи. Подозреваю что смотрит например: /var/www/httpd-logs/hostname.log
а rotatelogs пишется сюда если я не ошибаюсь: /var/log/httpd/access_log и /var/log/httpd/error_log
к тому же у него apache прячется за nginx и логи доступа придется смотреть здесь: /var/log/nginx/access.log и /var/log/nginx/error.log ну и бекапы там же.

kak2z

Да)) спасибо) Кое что нашел)) но так и не понял что это было) вроде повторений нет.. так что буду наблюдать.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)