Трудо-выебудни

В пять утра разбудила кошка, и дальше не спалось. Сел за компьютер, вновь пытаясь понять, что же вчера приключилось с сайтом одного из моих клиентов.

Этот сайт — памятник очумелым ручкам безымянных самоделкиных. Не люблю ковыряться в такого рода барахле, но уже пару лет дописываю для данного проекта разные грабли и костыли. За это время даже привык (наверное) и, открывая очередной захламленный файл проекта, начинаю с форматирования текста программы и добавления комментариев к коду.

А вчера сайт неожиданно превысил дневные лимиты на использование базы данных. Вы удивлены, что есть ещё такие хостинг-провайдеры? Есть — это Билайн. Я так понимаю, что они не переосмысливали  услуги хостинга с тех пор как поглотили Урал-Релком, где я когда то хостился и потому могу сравнивать. А было это…. лет 10 назад :)

Превышение лимитов было сопряжено с отключением сайта, что мой клиент и заметил. Пришло также соответствующее стандартное письмо от провайдера, что мол вы потеряли совесть и превысили отведенные вам лимиты. Займитесь, дескать, оптимизацией запросов к БД.

В логах тяжелых запросов оказались какие то странные кадавры с присоединением таблиц из базы information_schema. Но я на них не обратил внимание. Сегодня же они мне показались странными из-за написания запросов с использованием разного регистра:

Тут меня осенило, что сайт то оказывается ломают, используя sql-injection.

С одной стороны ломать в базе нечего : таблиц с пользователями и паролями там просто не существует, а с другой стороны — дыры в коде ничего хорошего не сулят. В результате тяжелых запросов, сайт исчерпал дневной лимит и не работал оставшиеся 5 часов. Т.е. сайту все же был нанесен ущерб, веб-сервер перестал работать.

Пришлось выяснять дырявое место в программе и чистить входные параметры. По логам обнаружились еще несколько небезопасных мест, обнаруженных хакером. И я думаю, это не последние дыры на сайте, которые я залатал.

Так что, дорогие заказчики сайтов подумайте хорошо, на чем вам предлагают делать сайт. Отдавайте предпочтение хорошо проверенным бесплатным open-source движкам (Drupal, WordPress), или качественным коммерческим движкам с нормальной тех поддержкой. Коммерсов рекламировать не буду :)

Написать комментарий

Мало букафф? Читайте есчо !

Wordpress XMLRPC DOS атака

Апрель 23, 2016 г.

Хакеры ищут разные пути взлома ваших сайтов. В большистве случаев, если только сайт не представляет какой то коммерческой ценности, это резвятся детишки, ...

Читать

Как запаролить файл excel

Декабрь 11, 2012 г.

Электронные таблицы это такой переходный вид между базами данных и их программрованием и собиранием кучи хлама в (MS Word) вордовском файле. Эксельчик ...

Читать

 

Комментарии к «Трудо-выебудни»

Понравилась статья? Есть вопросы? - пишите в комментариях.



Комментарий: