paFiledb Integration - общие вопросы

[Iftin]

Gosudar
functions_pafiledb.php
я теперь исправил по твоей заметке. =)

[Gosudar]

ок.
что правил? Народу расскажи.

п.сы.
functions_pafiledb.php

Код: Выделить всё

require_once($phpbb_root_path . 'pafiledb/modules/pa_' . $module_name . '.'.$phpEx);

$module_name не фильтруется нигде, а подключается...
перед добавить:

Код: Выделить всё

// CHECK
if( !file_exists($phpbb_root_path . 'pafiledb/modules/pa_' . $module_name . '.'.$phpEx) )
{

            $message = "Access Denied.";
            $message .= " wrong action - module_name";
            message_die(GENERAL_MESSAGE, $message);
}
// CHECK

[Siava]

Gosudar
У меня вот такая инструкция всё время была, но твоя более разумная и компактная Спасибо.

Код: Выделить всё

if ($module_name!=(('category')or('file')or('viewall')or('search')or('license')or('rate')or('email')or('stats')or('toplist')or('user_upload')or('post_comment')or('mcp')or('ucp')or('main')))
{
    die('Hacking attempt');
}

[rxu]

$message .= " wrong action - module_name";

Наверное, всё таки

Код: Выделить всё

$message .= " wrong action - $module_name";

[Gosudar]

rxu возможно, но тогда $module_name всё таки нужно отфильтровать , кто знает что там напишут ?

пы.сы. всё таки нужно этот мод подбить под итсправление уязвимостей, чтобы ломали поменьше, а то народ привык к старой оригинальной версии.

Jovani, Siava и все-все кто модифицировал pafiledb Вы где? Что думаете?

[rxu]

Резонно. Тогда может всё-таки просто die('Hacking attempt');
Хотя - не принципиально.

[Iftin]

Gosudar
я только за. сделать нормальную версию и поддерживать. так как других альтарнатив нет этому моду.

[Gosudar]

Ну почему? есть альтернатива, но это другой вопрос.

Вот когда-то переделывал fcheker для этого мода, может пригодится кому.
Выдрано из аттач-мода.
из багов - может удалить удал.скриншоты и могут быть проблемы с кэшем самого мода, но у меня всё работало.

[ProniK]

Ребят подскажите где адрес скорректировать
у меня всё работает, а картинки(скриншоты книг не отображаются).
Почему-то кривой адрес:
http://bikovo.ru/./pafiledb/images/scre ... ii_793.jpg

вместо:
http://bikovo.ru/phpBB2/pafiledb/images ... ii_793.jpg

Помогите пожалуйста

[RedNaxi]

сегодня на e-mail пришло от техподдержки хостера:

На Вашем аккаунте 965p.org Администратором зафиксировано устойчивое превышение лимита
на использование системных ресурсов, выделенных Вашему виртуальному серверу в соответствии
с Договором и нашими Правилами.

Очень много запросов подобного типа:

GET /pafiledb/includes/kl.exe HTTP/1.1

Это Вам не рапидшара.

Папка pafiledb была "занулена" до выяснения обстоятельств

В случае, если Вы не примете соответствующие меры по предотвращению превышения лимита на использование системных ресурсов - мы будем вынуждены приостановить Ваше обслуживание в соответствии с договором до принятия мер с Вашей стороны по предотвращению превышения лимита на использование системных ресурсов.

с чем бы это могло быть связано?

[Iftin]

а этот файл разве должен быть в той папке? kl.exe

[RedNaxi]

вот мне тоже кажется что не должен. и вроде как его там и не было:)
но хостер занулил папку и проверить есть он там или нет нет возможности:(
еще по логам часто замечаю запросы

*
/pafiledb/images/icons/Newcard_248638.scr
Http Code: 403 Date: Oct 26 04:49:35 Http Version: HTTP/1.1 Size in Bytes: -
Referer: http://by108w.bay108.mail.live.com/mail ... ure=pt-BR&
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

такого файла там тоже нет:)
но видимо кто то усердно на него ссылается...
изредка параллельно этому файлу запрашивается еще фавикон...

сейчас написал хостеру. посмотрим что ответит

Добавлено спустя 29 минут 6 секунд:

самое интересное что эти

=pt-BR&

португальцы и бразильцы генерируют мне кучу трафика, для каждой страны - в два раза больше чем для россии,
а у /pafiledb/includes/kl.exe просмотров больше на порядок чем у login.php
хз что такое=\
буду разбираться...

[Iftin]

странно.. это скринсейвер .scr если мне память не изменяет раширения файла .scr

хостер пусть снимет с нуля.

[RedNaxi]

я знаю что это скринсейвер:)
жду когда снимут с ноля, посмотрю может и правда эти файлы там лежат... если лежат-надо будет узнать откуда они там взялись:)

[Siava]

RedNaxi
А логи почитать пробовал?