Ažuriranje foruma

[Stitch]

Da bih bio potpuno zadovoljan, trebao bih promijeniti HTML u dvjema datotekama teme. To mi se trenutačno ne radi, ali sutra je praznik. Tko zna što će mi tada na um pasti.

Kako god, uživajte u Prvom maju. Očekujem da ćete svi plandovati pa vam neće biti problem ako srušim forum.

[admin]

Večeras ću zaključati Trkeljanje, želim iskušati neke skripte. Počet ću oko deset navečer. Pretpostavljam da će to znatno usporiti server jer namjeravam prekontrolirati čitavu bazu.

Ako se što promijeni, bit ćete pravodobno obaviješteni.

[admin]

Mislim da sam napravio sve što sam planirao, forum je opet otključan. Pišite!

[Stitch]

Večeras ću zaključati Trkeljanje, želim iskušati neke skripte. Počet ću oko deset navečer.

Bit će toga još, uvijek prilično kasno. Jest da sam odmah popravio većinu zvizdarija koje je prilikom parsiranja ostavio Support Toolkit, svojevrsni sekundarni Administration Control Panel za phpBB - ponajprije gomilu lažnih anketa - ali ne mogu odmah uočiti sve, previše je to postova, a nemam ni vremena listati stare teme ili tražiti rješenja. No naleti li tko sa sličnim problemima, lakše je dobiti pomoć na mjerodavnom forumu, znatno većem od našega. Srećom, zajednica je brojna i susretljiva.

[Stitch]

Novi krug nije me osobito zadovoljio - imamo mnogo ekstenzija, instalacija je specifična, pa klasični prijedlozi ne prolaze. Na bazi još treba raditi da bi bila savršena. No meni takve stvari predstavljaju izazov. Riješio sam dosad sve probleme, zašto ne bih i te stvorene šlampavim softverom...

[admin]

Ovako: phpBB Native Fulltext povećava bazu podataka zato što indekse sprema u tablicu. Narasla je za barem 300 MB, sada je teška gotovo gigabajt.

Više nije, nešto je veća od 510 MB. Stare tablice koje su za sobom ostavljale aplikacije poput Support Toolkita i Tapatalka obrisane su, zajedno s prijašnjim indeksima koje sam uklonio jučer. Optimizirana odnosno defragmentirana, baza bi trebala funkcionirati bolje nego prije s obzirom na to da je uoči stvaranja novog sustava indeksiranja imala oko 650-700 MB, a nakon toga više od tisuću. Moglo bi se reći da sam bio zatečen stanjem.

Kako god, iako ni dosad nije bio spor, forum bi trebao biti malo brži. A to je uvijek dobro. Baza će s vremenom rasti, tamo se spremaju teme, postovi, keširani podaci ekstenzijâ, indeksi itd., ali vjerujem da to neće biti problem.

[Stitch]

Navala je botova na server, sve instalacije WordPressa zaključale su se automatski po 30-40 puta, a ProjectSend, gdje držim knjige i dokumente, dobio je nezvane goste koji su prošli kroza sve zaštite.

U jednom trenutku blokirao sam PHP svuda gdje sam stigao dok ne dignem potrebne fajlove sa zakrpama. Onemogućio sam registracije u back-endu nekoliko platformi, ali ne i phpBB-a odnosno Trkeljanja. Valjda će držati.

Čeka me opsežna kontrola, držite mi fige.

[Stitch]

Osim što su mi se dva bota registrirala tamo gdje su registracije bile zabranjene - kako, nemam pojma - nisam našao ništa zabrinjavajuće. Nisu dizali fajlove, to im je bilo onemogućeno, nisu ih brisali jer su bili zaštićeni - doista ne znam što su radili.

Hosting već tri dana intenzivno skenira račune korisnikâ, što vidim kad pokrenem skripte - i ja sam očito sumnjiv! - ali nisam osobito zabrinut. Svjestan sam da server ima rupa, uvijek ih ima, čak i u najmodernijem i najboljem softveru, no zato sam stalno tu. Gledam što se događa, pratim mejlove i logove - riječju, nastojim biti spreman.

[Stitch]

Navala je botova na server, sve instalacije WordPressa zaključale su se automatski po 30-40 puta, a ProjectSend, gdje držim knjige i dokumente, dobio je nezvane goste koji su prošli kroza sve zaštite.

Nabijem autore, to sam popravio prošle godine, baš onako kako su rekli.

By leveraging this vulnerability, an unauthenticated user could gain code execution capabilities on the server hosting the application. To do so, they should perform the following actions: Exploit the vulnerability on options.php in order to enable the clients_can_register, clients_auto_approve, and clients_can_upload options.

Modify the file uploads/files/.htaccess and add the following line to it:

php_flag engine off

Thank you to the team at Synacktiv for the responsible disclosure. And sorry to everyone affected by this issue.

Još imam spremljene te fajlove, maloprije sam hard-disk pretražio. Ne'š ti uputa... Ako je ta metoda dobra, kako su završili kod mene?!

[admin]

Treba li tko poseban .htaccess za platforme slične ProjectSendu? Doradio sam ga prije desetak minuta, znatno je bolji od predloženoga, ali nema ga smisla stavljati ako možete ažurirati aplikaciju - tada je sve riješeno.

Ovdje to nažalost nije slučaj, otud eksperimentiranje. Da ne ulazim previše u detalje, jedan od razloga jest i Trkeljanje.

[admin]

Prepravljeni .htaccess funkcionira - novih registracija nema iako se napadi nastavljaju. Ne tolikim intenzitetom, doduše. WordPressi se i dalje zaključavaju, što znači da brute-force ne prolazi čak i kad Loginizer i All-In-One Security nisu namješteni na odveć stroge postavke.

Neću sad o tome da se ProjectSend ne krpa na ho-ruk, .htaccessom, nego novom datotekom options.php, sukladno onoj analizi. Platforma ima više od te jedne rupe, što dokazuju upadi unatoč tomu što sam slijedio naputke.

Server kao cjelina spada u Totohostovu odgovornost, tu ne mogu previše učiniti jer nemam root-ovlasti. Direktivu kao što je php_flag engine off, koja isključuje PHP, nije problem ubaciti u .htaccess, ali onda ćete i vi dobiti "Error 403 – Forbidden: PHP engine is disabled.", ne samo botovi. Zato tomu pribjegavam iznimno rijetko. Pojavi li vam se takvo što, znajte da sam u cPanelu, tražim rješenja.

[Stitch]

Prepravljeni .htaccess funkcionira - novih registracija nema iako se napadi nastavljaju. Ne tolikim intenzitetom, doduše. WordPressi se i dalje zaključavaju, što znači da brute-force ne prolazi čak i kad Loginizer i All-In-One Security nisu namješteni na odveć stroge postavke.

Nema promjena, botovi nas i dalje opsjedaju. Umorio sam se već od brisanja mejlova s upozorenjima. No nismo pretrpjeli nikakvu štetu.

[Stitch]

Današnje intervencije najradije bih zaboravio. Veza mi je pucala, sesije se gasile, jedne te iste stvari radio sam po nekoliko puta, uvijek ispočetka. Načelno jednostavni administratorski poslovi pretvorili su se u minsko polje, morao sam izmišljati rješenja za ono što inače rutinski obavljam. A razne pogreške... Toliko ih u životu valjda nisam vidio. Error ovaj, error onaj, samo su sijevali, u crnom ili crvenom.

Iskobeljao sam se nekako, još moram provjeriti je li sve u redu s bazom i fajlovima - ali trebam godišnji. Hitno.

Strpite se dok ne završim. Forum će do daljnjega biti zaključan.

[Stitch]

Strpite se dok ne završim. Forum će do daljnjega biti zaključan.

To je valjda tô, mislim da sam popravio posljedice svih pucanja veze i blokada firewalla. Ono kad ti je vlastiti server neprijatelj...