Van egy oldal ami kb december eleje óta van kint a neten. Pár hete észrevettem, hogy tartalom beküldésekor a taxonomy mezőben automatikus kiegészítésnél egy szép hosszú hibát dob fel egy ablakba. (http://img44.imageshack.us/img44/1202/kpernykpql.png) A hiba bekerült a hibanaplóba is:
Típus php
Dátum szombat, 2010, február 6 - 10:49
Felhasználó balbala
Hely http://blablabla.hu/taxonomy/autocomplete
Hivatkozó
Üzenet Missing argument 1 for taxonomy_autocomplete() - /balbla/httpdocs/modules/taxonomy/taxonomy.pages.inc - 114. sor.
Szint hiba
Hosztnév ip
Műveletek
Elég érdekes dolgok szerepeltek benne, így megnéztem hogy miket módosíthattak.
Ftp-n néztem meg először a dátumok rendben voltak, nem láttam módosítás nyomait.
Az oldalon nem találtam furcsa dolgokat, rákerestem az oldal kódjában, de semmi szokatlant nem tapasztaltam.
Megnéztem az adatbázist, és ott is rákerestem a hibaüzenetekben jelentkező kifejezésekre, két táblában találtam eredményre:
118 találat accesslog táblában
51 találat watchdog táblában
Megnéztem mind kettőt és itt page not found -os hibaüzeneteket láttam:
page not found taxonomy/term/90/0/www.keygenguru.com/search (ugyanígy megtaláltam utána a hibanaplóban is)
az itteni ip-je alapján kitiltottam
nézegettem az olvasottsági adatokat és ugyanezt az ip-t itt is megtaláltam:
megtekintés: 17395 84.3.198.53 oldal generálására fordított idő: 4 óra 37 perc
Frissítettem a rendszert 6.15-ösre, de a probléma továbbra is fennállt. (telepítés 2 hete, ip kitiltás ma)
Engedélyeztem a spam modult (de az a beküldött tartalmakra ugrik, ha jól tudom) gyakorlatilag a bot csak a rendszernaplóban, meg valahogy a taxonomy autocomplete hibaüzenetében hagyott nyomot.
Több kérdés is felmerült bennem:
Log-ban hogy lehet keresni, modulok között nem nagyon találtam, de lehet figyelmetlen voltam.
Az adatbázisban csak a keygen szóra kaptam eredményt a többire nem, akkor hol tárolódhat a többi, és ha csak a watchdog és az acces log táblában van benne hogy tud belepiszkálni a taxonomyba?
Van-e olyan eszköz ami rákeres az oldalamra, tiltott kódok után kutatva. (kb mint a anti-phising szűrős böngésző kiegészítések)?
Mit lehet ilyenkor tenni.
--------------------------------------------
Kicsit más de ez is ide tartozik (nem akartam két bejegyzést küldeni):
Másik oldal másik szerveren, mindenből az aktuális változat van fenn.
Egyszerű kérdezz felelek oldal, hozzászólásokban lehetett válaszolni az adott kérdésre.
Mivel nem volt látogató csak egy két ember tévedt ide engedélyeztem az oldalon a tartalmak beküldését és a hozzászólást anonymus felhasználóknak.
kb 3 hét múlva megjelent egy spam bot, pár értelmetlen hozzászólást szólt csak, ekkor engedélyeztem a recaptchat, és minden visszaállt a régi kerékvágásba (postokat töröltem).
Tartalom beküldés nem volt így oda nem is raktam be a captchát.
Itt amik a felhasználóknak engedélyezve volt: hozzászólás, tartalom beküldése, jpg kép feltöltése, taxonomy beküldése. A beviteli forma filtered volt fck editorra szabva. (http://drupal.fckeditor.net/)
Kb egy hét múlva megemelkedett az ismeretlen felhasználók száma, gondoltam botok, mert nem csináltak semmit, egyszer csak a szolgáltató ahol voltunk túlterhelés miatt megfeküdt.
Később küldött logot ahol kiderült drasztikusan megugrott az oldalamnak a kiszolgáláshoz szükséges ideje pl: 1727747079ms
Gyakorlatilag nem tudták megmondani hol lehet a hiba.
Ebben az esetben multisite-ra volt 2 oldal konfigolva, amiből az egyik azóta is tökéletesen működik.
Localhostra feltettem, ott rendesen működött. (nem láttam benne különösebb hibát)
Ezt a modult nézegettem: http://drupal.org/project/security_scanner
De a második cron indítás után nem hozott eredményt, lehet hogy én rontottam valamit.
Ebben ez esetben is várom a jó tanácsokat.
Hasonló a probléma de pl.
Hasonló a probléma de pl. nálam drupal 5.x -alatt a watchdog hízik ugyanezzel a jelenséggel. Ahogyan elnézem a google keresője idézi elő ezt a hibát szerintem nem spam :(:(
Lehet ugyan az a hiba nálad meg nálam is :(
Ha nem tálalok megoldást erre, akkor ezt fogom alkalmazni:
http://drupal.org/node/17620
<?
echo "This page runs a script that clears the main cache.
";
db_query("DELETE FROM {cache} WHERE 1");
db_query("DELETE FROM {cache_filter} WHERE 1");
db_query("DELETE FROM {cache_menu} WHERE 1");
db_query("DELETE FROM {cache_page} WHERE 1");
db_query("DELETE FROM {cache_views} WHERE 1");
db_query("DELETE FROM {watchdog} WHERE 1");
echo "It's clear now.
";
?>
csak nem tudom, hogy mennyire egészséges minden egyes látogatónál törölni ezeket a dolgokat.
Ezzel én is szembesültem,
Ezzel én is szembesültem, erre találtam egy modult is:
http://drupal.org/project/cleaner
Egy év után az egyik log nőtt meg 80megásra, akkor akadtam rá.
De akkor sem értem, hogy az autocomplete taxonomyba hogy szólhat bele a log.
az első problémát
az első problémát megoldottam, ami megoldásra sarkallt, hogy az avast támadó kódnak azonosította az oldalam regisztrációját, az egyik javascriptre mutatott ami az avatar crop könyvtárában csücsült. Linux alatt ezt nem vettem észre..., sajnos ezt a hibajelzést azóta se küldték el nekem. Amit tehettem letöröltem az avatar crop modult, töröltem a logokat, most jónak tűnik a rendszer.
Az avatar crop-ból a legfrissebb volt fent, megnéztem törlés előtt az md5-öket az eredeti fájlokkal, de nem voltak módosítva. Adatbázis tábla meg nem volt hozzá, így ismét csak tanácstalan vagyok mi lehetett a baj.
Mindenesetre a törlés megoldotta, de csak a vírusjelzést.
A taxonomy kiegészítésekor sajnos továbbra is megjelenik a belinkelt kép.
nézegettem az olvasottsági