Czasem komunikaty o błędach w przypadku awarii ujawniają za dużo informacji, rzadko jednak można w nich wyczytać hasła do kilku kluczowych baz danych wraz z ich adresami. Przydarzyło się to właśnie następcy Kinomaniaka.
Serwis Kinoman.tv kilka godzin temu przywitał swoich użytkowników niecodziennym wyglądem. Zamiast listy najnowszych przebojów kinowych zobaczyli oni duży fragment kodu źródłowego głównej strony. Wygląda na to, że prosty błąd administratorów naraził ich na ryzyko ujawnienia danych wszystkich użytkowników.
Miejsce się skończyło
Z treści pojawiającego się do tej pory komunikatu możemy wywnioskować, że główną przyczyną awarii był brak miejsca na dysku serwera, powodujący problemy z zapisem logów.
Warning: file_put_contents(): Only 0 of 2227 bytes written, possibly out of free disk space in /data/www/kinoman.tv/system/classes/Kohana/Log/File.php on line 90
Nie wiemy, czy to, co dzieje się dalej, jest standardową funkcją frameworku Kohana, z którego korzysta serwis, czy wymagało to specjalnej konfiguracji (aktualizacja: w komentarzach wskazujecie, że ktoś zapomniał przełączyć framework z trybu deweloperskiego na produkcyjny), ale pod komunikatem pojawia się spora porcja kodu źródłowego, w tym parametry logowania do kilku baz danych.
Fragment komunikatu o błędzie wyświetlanego na stronie
Dane uwiecznione na zarzucie ekranu to tylko część ujawnionych informacji. Wszystkim użytkownikom serwisu radzimy zmienić hasło (gdy tylko administrator zwolni trochę miejsca na dysku) a administracji polecamy rozważenie innej konfiguracji komunikatów o błędach.
Za informację o zdarzeniu dziękujemy użytkownikowi Wykopu digestive oraz Piotrowi.
Komentarze
Ktoś nie przestawił Kohany z trybu developerskiego na produkcyjny, whoops.
W takich sytuacjach okazuje sie, ze dobrze jest ustawic ograniczenia dla adresow ip z ktorych mozna sie logowac. wtedy nawet majac dane dostepu do db nikt ich nie wykorzysta. admin dzieki temu ma czas na zmiane danych do logowania i moze profilaktycznie zresetowac hasla.
Swoją drogą serwisy logują się do wszystkich baz przez użytkownika 'root’? :)
Najprawdopodobnie tak ;)
hehe a to nieprzyjemna wpadka :)
I co dalej mam wykupione konto WiP na cały rok czy to strace