Трудо-выебудни

В пять утра разбудила кошка, и дальше не спалось. Сел за компьютер, вновь пытаясь понять, что же вчера приключилось с сайтом одного из моих клиентов.

Этот сайт — памятник очумелым ручкам безымянных самоделкиных. Не люблю ковыряться в такого рода барахле, но уже пару лет дописываю для данного проекта разные грабли и костыли. За это время даже привык (наверное) и, открывая очередной захламленный файл проекта, начинаю с форматирования текста программы и добавления комментариев к коду.

А вчера сайт неожиданно превысил дневные лимиты на использование базы данных. Вы удивлены, что есть ещё такие хостинг-провайдеры? Есть — это Билайн. Я так понимаю, что они не переосмысливали  услуги хостинга с тех пор как поглотили Урал-Релком, где я когда то хостился и потому могу сравнивать. А было это…. лет 10 назад :)

Превышение лимитов было сопряжено с отключением сайта, что мой клиент и заметил. Пришло также соответствующее стандартное письмо от провайдера, что мол вы потеряли совесть и превысили отведенные вам лимиты. Займитесь, дескать, оптимизацией запросов к БД.

В логах тяжелых запросов оказались какие то странные кадавры с присоединением таблиц из базы information_schema. Но я на них не обратил внимание. Сегодня же они мне показались странными из-за написания запросов с использованием разного регистра:

Тут меня осенило, что сайт то оказывается ломают, используя sql-injection.

С одной стороны ломать в базе нечего : таблиц с пользователями и паролями там просто не существует, а с другой стороны — дыры в коде ничего хорошего не сулят. В результате тяжелых запросов, сайт исчерпал дневной лимит и не работал оставшиеся 5 часов. Т.е. сайту все же был нанесен ущерб, веб-сервер перестал работать.

Пришлось выяснять дырявое место в программе и чистить входные параметры. По логам обнаружились еще несколько небезопасных мест, обнаруженных хакером. И я думаю, это не последние дыры на сайте, которые я залатал.

Так что, дорогие заказчики сайтов подумайте хорошо, на чем вам предлагают делать сайт. Отдавайте предпочтение хорошо проверенным бесплатным open-source движкам (Drupal, WordPress), или качественным коммерческим движкам с нормальной тех поддержкой. Коммерсов рекламировать не буду :)

Мало букафф? Читайте есчо !

Будни антихака продолжаются

Октябрь 10, 2015 г.

Ранее я рассказывал о сайте, который мне пришлось латать от дыр sql injection.  Залатал я их не мало и уже успокоился. Но как оказалось, покой нам только ...

Читать

Wordpress XMLRPC DOS атака

Апрель 23, 2016 г.

Хакеры ищут разные пути взлома ваших сайтов. В большистве случаев, если только сайт не представляет какой то коммерческой ценности, это резвятся детишки, ...

Читать

 

Понравилась статья? Есть вопросы? - пишите в комментариях.



Комментарий: