|
mrotta 423
| Posté : 22-09-2007 18:33
Vu le nombre de sites touchés, je ne pense pas que cela vienne d'un module.
Sur ce site je n'ai que le wiki, que je suis sans doute un des seuls à utiliser.
Le problème doit être dans NPDS lui même. un trou de sécu que l'on a pas trouve ? |  Profil Citation
|
|
boul 36
| |
abbal 3
| Posté : 24-09-2007 12:41
Re,
Encore un message sans compte utilisateur, sauf que maintenant, il n'y a plus de trace comme la première fois d'une ouverture de page de mon site (car j'ai un code en bas de toutes les pages qui enregistre les adresses IP, l'heure de connexion)
|  Profil Citation
|
|
Jireck 8427
| Posté : 24-09-2007 23:22
ca commence a se generalisé a moins que le probleme soit existant et qu'il n'arrive que maintenant ...
Je vais voir avec dev ... |  Profil Citation
|
|
Anonyme 19853
| Posté : 25-09-2007 16:40
Il passe par un cpte utilisateur qui n'existe pas : le UID 0 / je pense que les scripts n'ont pas prévus le cas tous simplement.
La correction ne devrait pas être compliquée | Citation
|
|
Anonyme 19853
| Posté : 25-09-2007 20:03
Bjr à tous, je viens de rentrer et découvre tous les messages, je me sens moins seul!
J'avais réfléchi un peu au problème et j'avais aussi pensé la piste UID 0, cela me semble être une bonne piste...
Qu'en pense Dev? | Citation
|
|
Jireck 8427
| Posté : 25-09-2007 22:27
tres occupé par son job je pense ...
Si j'ai le temps je regarderai |  Profil Citation
|
|
Anonyme 19853
| Posté : 26-09-2007 09:41
En attendant que les spécialistes aient un moment pour regarder cela, j'ai créé dans la table users un uid 0 et lui ai affecté un mot de passe. | Citation
|
|
Jireck 8427
| |
Jireck 8427
| Posté : 26-09-2007 11:32
mais ca me semble plus compliqué que cela ou plus fort que moi....
uid 0 n'existe pas donc normalement il ne peux pas ramener un password d'une ligne qui n'existe pas ...
c'est plus plus compliquer... |  Profil Citation
|
|
Anonyme 19853
| Posté : 26-09-2007 12:45
C'est sûr, c'est plus compliqué...
J'espère cependant que ma manip évitera l'infection (pour un moment!) | Citation
|
|
Anonyme 19853
| Posté : 26-09-2007 13:31
la piste de remplir la base avec un UID=0 + mot de passe est pas idiote | Citation
|
|
developpeur 24581
| Posté : 26-09-2007 21:41
je cherche depuis la découverte de ce type de faille de spam (car ce n'est pas du piratage). En fait je pense à une faiblesse d'une fonction garantissant que le user connecté aux forums ... est bien un membre.
Je test actuellement ce que cela donne. L'idée de créer un membre avec comme UID=0 et un mot de passe devrait aussi bloquer ce type de spam.
Arrenan : tu peut confirmer ?
A suivre - rapidement |  Profil E-mail www Citation
|
|
Anonyme 19853
| Posté : 26-09-2007 23:19
Merci dev, la mesure que j'ai prise donne pour le moment satisfaction | Citation
|
|
Anonyme 19853
| Posté : 27-09-2007 18:35
la (en fait les) fonctions en cause sont je pense dans le fichier functions.php :
- function get_userdata_from_id($userid)
- function get_userdata($username)
En fait il faut simplement remplacer les 4 lignes
$userdata = array("error" => "1");
par
forumerror('0016');
arenan - si tu fait cette modif (se serait cool) il faut supprimer le UID=0 car cela fait double emploi
Merci par avance de vos tests / Dev en anonyme | Citation
|
|
Aller à la page : [ 1 | 2 | 3 | 4 | 5 | 6 | 7 ] |