Попытка взлома?

kak2z · 11 мая 2012, 09:21:28

Пытаются взломать? Или что за глюк? И что можно сделать? Спасибо)

maestrosite.ru · 11 мая 2012, 13:14:23

Цитата: kak2z от 11 мая 2012, 09:21:28
Пытаются взломать? Или что за глюк? И что можно сделать? Спасибо)

Если интересно разобраться, поставьте запись в лог текст запроса (дамп запроса), тогда будет видно конкретно

upd Здесь надо уточнить, будет видно в будущем. То есть, в лог не попадут уже "состоявшиеся" запросы

Mr. Anviss · 11 мая 2012, 14:23:35

Может и попытка но сообщение говорит что база ждет для поля id_msg тип integer, а получает другой. И в сообщении даже написано куда надо глянуть чтобы исправить ошибку.

kak2z · 11 мая 2012, 15:52:56

Да я смотрел) не понял что тут делается правда)) я в пхп чуть чуть разобрался - но чужой код для меня по прежнему мрак..

Код Выделить

			// Get the existing message.
612:				$request = $smcFunc['db_query']('', '
613:					SELECT
614:						m.id_member, m.modified_time, m.smileys_enabled, m.body,
615:						m.poster_name, m.poster_email, m.subject, m.icon, m.approved,
616:						IFNULL(a.size, -1) AS filesize, a.filename, a.id_attach,
617:						a.approved AS attachment_approved, t.id_member_started AS id_member_poster,
618:						m.poster_time
619:				FROM {db_prefix}messages AS m
620:						INNER JOIN {db_prefix}topics AS t ON (t.id_topic = {int:current_topic})
621:						LEFT JOIN {db_prefix}attachments AS a ON (a.id_msg = m.id_msg AND a.attachment_type = {int:attachment_type})
622:					WHERE m.id_msg = {int:id_msg}
623:						AND m.id_topic = {int:current_topic}',
624:					array(
625:						'current_topic' => $topic,
626:						'attachment_type' => 0,
627:						'id_msg' => $_REQUEST['msg'],
628:					)
==>629:				);

maestrosite.ru · 11 мая 2012, 16:07:49

Цитата: kak2z от 11 мая 2012, 15:52:56
Да я смотрел) не понял что тут делается правда)) я в пхп чуть чуть разобрался - но чужой код для меня по прежнему мрак..

В данном случае надо не исходный код смотреть, а данные, которые переданы в запрос. Mr. Anviss выше сказал, что вам подсунули нечто, не являющееся идентификатором сообщения.

Если это был POST запрос, то вряд ли уже можно увидеть, что именно прилетело. Если же GET, то посмотрите логи апача, что в тот момент запрашивали.

Mr. Anviss · 11 мая 2012, 17:35:52

Цитата: maestrosite.ru от 11 мая 2012, 16:07:49Если это был POST запрос, то вряд ли уже можно увидеть, что именно прилетело. Если же GET, то посмотрите логи апача, что в тот момент запрашивали.

По месту кода предполагаю что действо разворачивается в момент редактирования существующего сообщения в форме расширенного ответа и нажатии кнопки предварительный просмотр.

maestrosite.ru · 11 мая 2012, 18:04:54

Скорее всего, да - это "Быстрый ответ" (или симуляция). По идее "источник" отправки может быть любой страницей, даже локальной, но в любом случае и отправка и пред.просмотр ЕМНИП POST-ом должны быть. Здесь возможны не только пред.просмотр, но и отображение каких-либо ошибок.

Если это попытка кряка, то тем более целесообразнее POST-ом отправлять, но в кряк-скриптах частенько ляпы попадаются, так что могли и GET-ом. Тем боле если это только "пощупать" было. Проверить не помешает, да и посмотреть как нащупывали, следов много может остаться

Mr. Anviss · 11 мая 2012, 18:18:28

В стандартной поставке POSTом отправляется.

Код Выделить

oSendDoc.open('POST', sUrl, true);
	if ('setRequestHeader' in oSendDoc)
		oSendDoc.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
	oSendDoc.send(sContent);

kak2z · 11 мая 2012, 18:19:09

Цитата: maestrosite.ru от 11 мая 2012, 18:04:54Проверить не помешает, да и посмотреть как нащупывали, следов много может остаться

проверить в логах апапча не получилось... у хостера они каждый день обнуляются.. есть только за сегодня)

Mr. Anviss · 11 мая 2012, 19:11:32

Просто понаблюдайте пару дней по логам ошибок форума эта ошибка появляется только у одного IP или нет. Если да то просто забаньте его файрволом.
p.s. А что посоветуют более знающие товарищи?

maestrosite.ru · 11 мая 2012, 20:17:49

Цитата: kak2z от 11 мая 2012, 18:19:09
проверить в логах апапча не получилось... у хостера они каждый день обнуляются.. есть только за сегодня)

слов нет... А как же rotatelogs?

Если ошибка не единичная, то поставьте сброс дампа при выбросе ошибки хотя бы в фалик. А лучше в базу.
POST+GET+HTTP-headers(хотя бы COOKIE+SERVER)

Mr. Anviss · 12 мая 2012, 01:55:51

Видимо человек просто не там смотрит логи. Подозреваю что смотрит например: /var/www/httpd-logs/hostname.log
а rotatelogs пишется сюда если я не ошибаюсь: /var/log/httpd/access_log и /var/log/httpd/error_log
к тому же у него apache прячется за nginx и логи доступа придется смотреть здесь: /var/log/nginx/access.log и /var/log/nginx/error.log ну и бекапы там же.

kak2z · 12 мая 2012, 06:27:03

Да)) спасибо) Кое что нашел)) но так и не понял что это было) вроде повторений нет.. так что буду наблюдать.