Трудо-выебудни

В пять утра разбудила кошка, и дальше не спалось. Сел за компьютер, вновь пытаясь понять, что же вчера приключилось с сайтом одного из моих клиентов.

Этот сайт — памятник очумелым ручкам безымянных самоделкиных. Не люблю ковыряться в такого рода барахле, но уже пару лет дописываю для данного проекта разные грабли и костыли. За это время даже привык (наверное) и, открывая очередной захламленный файл проекта, начинаю с форматирования текста программы и добавления комментариев к коду.

А вчера сайт неожиданно превысил дневные лимиты на использование базы данных. Вы удивлены, что есть ещё такие хостинг-провайдеры? Есть — это Билайн. Я так понимаю, что они не переосмысливали  услуги хостинга с тех пор как поглотили Урал-Релком, где я когда то хостился и потому могу сравнивать. А было это…. лет 10 назад :)

Превышение лимитов было сопряжено с отключением сайта, что мой клиент и заметил. Пришло также соответствующее стандартное письмо от провайдера, что мол вы потеряли совесть и превысили отведенные вам лимиты. Займитесь, дескать, оптимизацией запросов к БД.

В логах тяжелых запросов оказались какие то странные кадавры с присоединением таблиц из базы information_schema. Но я на них не обратил внимание. Сегодня же они мне показались странными из-за написания запросов с использованием разного регистра:

Тут меня осенило, что сайт то оказывается ломают, используя sql-injection.

С одной стороны ломать в базе нечего : таблиц с пользователями и паролями там просто не существует, а с другой стороны — дыры в коде ничего хорошего не сулят. В результате тяжелых запросов, сайт исчерпал дневной лимит и не работал оставшиеся 5 часов. Т.е. сайту все же был нанесен ущерб, веб-сервер перестал работать.

Пришлось выяснять дырявое место в программе и чистить входные параметры. По логам обнаружились еще несколько небезопасных мест, обнаруженных хакером. И я думаю, это не последние дыры на сайте, которые я залатал.

Так что, дорогие заказчики сайтов подумайте хорошо, на чем вам предлагают делать сайт. Отдавайте предпочтение хорошо проверенным бесплатным open-source движкам (Drupal, WordPress), или качественным коммерческим движкам с нормальной тех поддержкой. Коммерсов рекламировать не буду :)

Мало букафф? Читайте есчо !

Март 17, 2016 г.

Защита почты на сервисах yandex.ru и mail.ru

Не давно у меня появилась информация об одном эксперименте, который заинтересует многих пользователей бесплатных почтовых серверов, таких как yandex.ru, ...

Читать
Декабрь 19, 2012 г.

Генератор "удобных" паролей

Простому пользователю от пароля хочется двух вещей - надежности и легкости запоминания. В случае произвольно создаваемых паролей, желаемая надежность достигается очень легко (увеличили длину генерируемого пароля или расширили набор символов, из которого ...

Читать

 

Понравилась статья? Есть вопросы? - пишите в комментариях.




Комментарий: