此次抽风的原因:Discuz Bug!
- nApoleon我只想说,Discuz你在每一次升级,功能增加的同时,能不能把稳定性先给完善下?各种大小Bug不去解决那就是在给定时炸弹增加爆炸威力,终有一天会变成原子弹!
- X_silicon- -好了就好咯
- wsn911好了才是真的好
- 198714根源在这里。。
- oceanstar观察一段时间吧。。。
如果能稳定下来,那就是dx的问题没错了。。 - nApoleon现在的问题不是服务器性能或者增加服务器数量可以解决的,只要网站继续依赖Discuz,那么这个定时炸弹就永远存在,什么时候爆炸,爆炸的威力有多大,我们只能听天由命!
- liji116啊,前排
终于好了@@ - shenshenzq感谢各位大大,让我又能上CHH了。*/-22
- sexybat刚在正在浏览帖子 突然出现数据连接失败、 后来查看老大微博才知道、、
- nApoleon...............你当CHH是php程序开发网站么...
- 梦伊幽蓝好了吗?
- geekmvp以后是不是还要开始SHOW程序开发了勒~~~*/-93
- yinfuchen爆炸威力 50000000吨 当量*/-49
- yinfuchen怪不得 我一回复 就三条
- shuitiandao论坛不是有程序员吗,难道都是玩c++或者c#的,没有人搞php的吗,有的话编一个吧,给轮大解决一下实际问题。只是建议,没别的意思。
- 键盘左下角原来,真相是这样
- City*/-93*/-93
- www4972811反正不是第一次,不必要的解释
- xiaohui8307Powered by Discuz! X2
powered 这个词很给力 - DreistaDiscuz太不稳定了……
- Asura貌似回档了,
- oceanstar没有啊
- UOoOU好了就是好,进来感觉变快了哇,第一次顶贴哇
- pc_it*/-15dz跟了跟了tx后 各种bug
- 费费恢复了就好^ ^
- mcy9569大姨妈过地挺快嘛*/-93
- qlqsh我不知道是否系统强制要升级。。。
以前的经验,新推出的版本不要用,用上一版本的最后一版。。。 - hcy198950625终于好了
- Mclarenstar大家好才是真的好 从昨天晚上没的干 各种无聊
- jacket64总算好了 好开心 一天不上chh就感觉浑身不舒服
- fevaoctwh没有bug哪来动力升级……怎么吸引眼球……
- shonmlyGZ也经常出问题.
- xuran007没事,慢慢的大家就习惯了……
- tianshi1987其实这个的确是这样,升级是为了完善原先的问题,但是在升级的同时也会产生新的问题,的确DIS系统不可能很完全的测试完每一个系统。
- fokker2518申请个ROH徽章
已在那帖回复了 - st0ck58月底 Nginx 爆了大漏洞的~
Nginx %00空字节执行任意代码(php)漏洞
2011-08-27 20:07
Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码
影响版本:
nginx 0.5.*
nginx 0.6.*
nginx 0.7 <= 0.7.65
nginx 0.8 <= 0.8.37
In vulnerable versions of nginx, null bytes are allowed in URIs by default (their presence is indicated via a variable named zero_in_uri defined in ngx_http_request.h).
Individual modules have the ability to opt-out of handling URIs with null bytes. However, not all of them do; in particular, the FastCGI module does not.
一.老肉鸡变新肉鸡
大家应该还记得80sec发的nginx文件类型错误解析漏洞吧
http://www.80sec.com/nginx-securit.html
漏洞的利用方式是:
/test.jpg/x.php
临时解决方案是:
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
而新漏洞的利用方式是:
/test.jpg%00.php
对应fastcgi_script_name的匹配正则,我们会发现是匹不到这个漏洞的,所以非常杯具,以前被老nginx漏洞黑过的肉鸡还能被重新黑一次。
二.准确识别这个漏洞的方法.
一般这个漏洞需要在能够上传文件的应用中才能被利用,所以论坛首当其冲,象discuz论坛的两个文件就能非常方便的识别这个漏洞。
1.爆出PHP语法错误。
2.吃掉CGI #注释的第一行。
<*参考
https://nealpoole.com/blog/2011/ ... -versions-of-nginx/
解决方法:升级Nginx - dilbret摸死O帝,辛苦了
- duduhappyly我看到这个头型的时候小激动了一下
- PTMD以前架论坛是用国外的 phpBB 的,后来贪图方便和插件多所以转到 Discuz,然后才明白老外开源项目管理方法的好...... 光是程式码指引的严谨度就已经是天与地的分别,执行也很好。
*/-91 - nApoleon没错,就是这道理.国内很多程序/软件,比如手机MIUI,软件遨游等等,其实都是给懒人用的,不开源,预装各种插件,让大家装上之后直接可以用,但其实bug一堆,跟国外开源自行安装插件比起来真的是一个天一个地.
- luruijingrog的徽章吧 啥叫roh
- 372959151哎哎~~~~~~~~~~~~
- BH4RTG好了好了!
- amthbCHH终于恢复了 */-22
- lth840419show代码?
- 默佑难怪很多网站都是自己修改DX程序
- 2287732怎么和我们的BOSS系统一样,升级后也会出现新问题。
- mianmian如果不是强制升级(像chrome一样),还是不要那么着急升级吧。
- shutudeDZ的官方论坛我去看过
bug版一堆报告bug的没人解决 - tommyli219以前收藏夹的交易区连接用不到了,要先输入网站域名才能进,起初还以为服务器又DOWN了。