Jump to content

skyline72

Members
  • Content Count

    38
  • Joined

  • Last visited

Everything posted by skyline72

  1. Salve a tutti, sto avendo non pochi grattacapi con un hosting perchè vengo bannato per aver utilizzato in una query il comando UNION che a loro dire non viene usato in Joomla (il sito è realizzato con questo CMS) , e io mi ritrovo a non poter sfruttare e personalizzare il sito come più mi serve per le loro policy di sicurezza così restrittive. Ma funziona così su tutti gli hosting web condivisi ? Stavo pensando visto che già pago un server dedicato su windows , secondo voi è troppo incasinato metterci su una virtual machine tipo wmware e farci girare un linux per hostarci il sito così ho la liberta e posso farci il cacchio che voglio ? grazie Saluti
  2. eh già :| Cmq alla fine sono riuscito nel mio intento, ha aggirato il problema indirizzando il componente su un file php dove eseguo la call alla sproc al cui interno uso la famigerata union select ;) <--- azz non è che mi banna pure questo forum ? possibile sql-injection in arrivo ? ahahahah :D
  3. Ma siamo sicuri che il ban sia imputabile a mod_security ? L'assistenza faceva riferimento ad entry sul firewall del tipo : Last Activity Type Level Source Destination Attack ID Severity Status Message 2011-08-10 10:24:37 ips alert 87.xx.xx.xx 81.xx.xx.xx 4538 critical dropped custom: phpfileinclusion_exploit_joomla8 Come si spiega che vengo bannato su tutti i siti hostati su joomlahost ? Il mod_security dovrebbe al massimo bannarmi sul mio dominio no ? A me l'unica risposta che viene è che ci sia un qualche router/firewall a monte che rileva l'attacco e banna l'ip su tutto.
  4. No il ban parte se scrivi "UNION SELECT" l'ho appena provato e mi ha bannato. Scrivendo solo UNION non vengo bannato :|
  5. assolutamente , non ci penso neanche a dargli 60€ al mese !
  6. eh si, d'altra parte sono stati categorici, o usi il joomla senza union oppure ti prendi un hosting dedicato :|
  7. Mmm non so se ho fatto correttamente, ho provato a mettere quei due comandi all'inizio di .htaccess, ma il sito è andato giù completamente con questi errori : The server encountered an internal error or misconfiguration and was unable to complete your request. Please contact the server administrator, webmaster@certificates-analysis.com and inform them of the time the error occurred, and anything you might have done that may have caused the error. More information about this error may be available in the server error log. Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request. forse ho sbagliato posizione dove mettere le istruzioni ?
  8. Però l'assistenza parlava di blocco a livello di firewall non di mod_security di apache, altrimenti scusa non mi avrebbero potuto semplicemente dire di disabilitarlo come hai fatto tu ? Fra l'altro quando vengo bannato non accedo più a nessun sito hostato su joomlahost non solo sul mio dominio, questo mi fa pensare a qualcosa che sta a monte di tutto, no ? Cmq provo , speriamo bene ! :)
  9. ahahah e magari gli esempi erano tutti sull'uso della union :D Cmq scherzi a parte converrai con me che non è modo di fornire un servizio senza sapere a priori che adottano questa politica così restrittiva, cioè un pò ti girano le palle quando poi ti accorgi che non puoi fare semplici operazioni.
  10. Si beh diciamo che è un'aggiramento del problema, il fatto è che rimango sempre con la paura che se scrivo qualche cosa che a loro non piace in un semplice articolo questi mi bannano, chissà infatti su cos'altro hanno messo controlli ! :(
  11. Mmm ci avevo pensato ma non credo possa andare bene, mi serve proprio la union perchè mi serve che il result set sia qualcosa del tipo : Data , Valore1 , Valore2 , Valore3, Valore4 2011-01-01 , 1000 , NULL , NULL , NULL 2011-01-02 , 1001 , NULL, NULL, NULL ... ... 2011-08-11 , 2000 , 1200 , 1300, 1400 cioè mi serve che nel result set mi faccia vedere tutti i valori della colonna Valore1 anche se nelle altre non è presente niente (NULL), altrimenti poi i grafici non vengono fuori correttamente. Fra l'altro utilizzare la sproc è molto meglio nel mio caso perchè la manutenzione è più semplice , spesso infatti devo modificare la query e mi tocca rientrare e cambiarla su tutti gli articoli, con la sproc farei una modifica unica lato server e sarei a posto ;) Adesso sono riuscito con un piccolo script php a farmi restituire i dati dalla sproc http://www.certificates-analysis.com/files/Test_StoredProc2.php solo che mi sa che devo andare a modificare il componente per fargli digerire sta cosa (e non sono assolutamente un esperto di php), vabè ce provo ! ;) Grazie per l'aiuto cmq ! :)
  12. La testa di Alessandro è salva, infatti funge ! :) http://www.certificates-analysis.com/files/test_union.php
  13. E' la prima che hai detto , vengo bannato non appena l'articolo viene salvato ! :(
  14. Per fare chiarezza, utilizzo un componente che si chiama flashchart che in pratica permette di inserire del codice negli articoli per tirar su dati dal db in modo da visualizzarli come grafici flash con codice del tipo {flashchart sql="select * from bla bla bla" /flashchart} , questo viene passato al componente che semplicemente prende la query come parametro ne fa il parsing e la esegue per prendere i dati dal mysql. Quello che succede e che non appena premo 'Apply' per far accettare le modifiche all'articolo di joomla, vengo bannato instant, per cui quel codice non riesce manco ad essere eseguito ma in qualche modo viene controllato il contenuto dell'articolo e da li il loro firewall/router si accorge che c'è la union select e banna l'ip al volo. Secondo me a sto punto anche se in un articolo scrivo "Union select" mi bannano, non vedo altra spiegazione anche se boh mi pare assurda come cosa. Magari paradossalmente uno script php non viene controllato allo stesso modo, non vorrei cmq riprovare perchè rischio di vedermi sospeso del tutto il servizio per ripetuti tentativi di attacchi al loro sistema di sicurezza. :|
  15. si penso pure io che non è in se il comando union soggetto ad injection ma l'uso che ne può derivare se si attacca al culo di un'altra select che potrebbe causare problemi. Forse hanno avuto in passato questo tipo di attacchi e hanno stroncato alla radice il problema bannando direttamente l'utente che la usa, non saprei , però così non si può personalizzare per niente il joomla e bisogna fare i salti mortali per ovviare a tutto questo. :(
  16. Però se eseguo la stored proc da phpmyadmin mi ritorna il result set , mentre se lo faccio dal componente joomla (o da php) non funge e mi restituisce sto messaggio d'errore strano : PROCEDURE uo8pql2n_ProgettoCertificates.LeggiCertificato can't return a result set in the given context Ad esempio qui ho messo su un test su php per provare sta cosa : http://www.certificates-analysis.com/files/Test_StoredProc.php Boh!
  17. Questa è la risposta finale che mi ha datto oggi il supporto tecnico : Il problema non riguarda solo il primo articolo della lista, ma tutti quelli in cui è presente la stringa UNION select. Tale stringa viene bloccata dal nostro firewall: essa non è parte del codice di joomla, infatti gli altri articoli non presentano problemi (come la home page). Se ha necessità di inserire tale codice negli articoli di joomla, può valutare l'attivazione di un server dedicato,che non presenta blocchi a livello firewall: http://.bla bla bla" si certo e io vado a spendere 60€ al mese per prendere un hosting dedicato perchè loro bannano alla pene di seguigio ! :ciapet:
  18. ah boh non mi meraviglierei che si venisse bannati anche per quello o per altri comandi sql che secondo loro potrebbero essere possibile causa di injection. Mah cmq per il momento sto cercando di aggirare il problema usando una stored proc (magari la chiamo UNION eh? :emoticons_dent2020:) però mi sa che devo usare l'estensione mysqli su php perchè altrimenti non mi ritorna nessun resultset le normali api mysql, uffa che palle ! :(
  19. Mah può anche darsi che il componente invii la query in chiaro nell'url ma sinceramente non lo vedo essendo il tutto trasparente. In pratica io semplicemente scrivo la query sql (con la union) nell'articolo joomla e poi il componente ne fa il parse e la invia al db.
  20. Questo mi rincuora , magari provo a cambiare hoster anche se ovviamente quelli di joomlahost non vogliono restituirmi i soldi del canone annuo perchè potevo farlo solo "prima dell'erogazione del servizio (e l'hosting è stato correttamente attivato e il servizio è correttamente erogato) 'il servizio è stato già erogato". E certo e io che cacchio ne sapevo che non potevo usare normali comandi standard sql prima di provare il servizio ?? Me lo sognavo la notte ? Mah Cmq grazie per i consigli , mo vedo , se riesco a fregarli usando una stored procedure (se il componente joomla me lo permette) allora non tocco niente, altrimenti beh mi sa che cambio aria.
  21. Beh si in realtà ho già installato su quel server uno xampp dove ci gira un piccolo forum phpbb3 e non ho mai avuto particolari problemi, boh devo pensarci su se fare questo passo per risolvere sto problema della pericolossissima UNION ! :)
  22. lol e magari anche le insidiosissime Select !! Ma far girare direttamente joomla su windows la vedo dura, o c'è un modo semplice ? Magari mettendo uno xampp o roba similare ? Anche se xampp lo vedo più come un ambiente per testare siti non per metterli in produzione no ? E il dominio che ora mi punta su joomlahost come faccio a spostarlo al mio server dedicato ?
  23. joomlahost Ah ecco mi sembrava anche a me una cosa strana, io capisco perfettamente che la sicurezza è importante ma bannarmi perchè joomla non usa mai il comando UNION mi pare un pò troppo! Ah ma la cosa più divertente è che quando vieni bannato , a parte che non accedi più a nessun sito hostato su joomlahost quindi bannato non so su quante migliaia di siti, ma non accedi neanche al loro sito di assistenza che è dietro lo stesso router/firewall e ovviamente accetta solo segnalazioni tramite ticket (niente telefono), quindi tocca riavviare il router per cambiarsi l'ip altrimenti nisba. Non oso immaginare chi ha un ip fisso cosa può fare, boh prende la macchina e va li a dirglielo a voce che è stato bannato! :|
  24. Salve, avrei necessità di prendere un server dedicato Windows che dovrà servire solamente per far girare diverse istanze di un programmino che occupa mediamente 5-10Mb di ram a runtime (quindi no web server). Mi volevo orientare sul server dedicato piuttosto che su una vps perchè dovrei condividere il server anche con altri miei clienti e quindi pensavo di virtualizzarlo io, però non so se questa operazione sia complicata o meno. Come budget ho max 100 euro/mese, stavo valutando le offerte di Seflow con i quali mi sono trovato molto bene qualche anno fà quando presi una vps e ho trovato un'offerta per 70€/mese molto interessante. Avete qualche altra idea su altri fornitori validi di server dedicati Windows ? Che tipo di virtualizzazione mi conviene fare , considerando che non ho mai eseguito operazioni del genere, ma che cmq sono nell'ambiente IT ? Grazie Saluti Giacomo
×