Сообщение от
strelok20094
↑
Мб я пенек, но Auth failed from IP
Работает это не везде. Похоже с какой-то версии запросы на localhost без авторизации по-умолчанию выключены и таких серверов все больше. Я все это разбирал больше года назад. Сейчас больше не нужно и выложил.
Сообщение от
pas9x
↑
Баг-репорт кривой. Непонятно в какой именно панели. Lite или Pro. Непонятно как воспроизвести проблему.
Работало и на лайт и на про.
Сообщение от
pas9x
↑
Тестировать надо не на какашке мамонта а на нормальной версии. Четвёрные версии isp-панелей давно устарели, лицензии на них купить невозможно и вымирают они очень быстро. По моей статистике, из 8000 vps'ок ispmgr4 установлена всреднем на 10-20 виртуалках. В основном четвёртые версии панелей сохранились у хостеров, но сейчас на них работают только говнохостинги, которые даже не думают обновляться.
Если только за год все не обновились. На 4 версии все брали пожизненные лицензии и когда появилась 5-ая версия никто не хотел покупать заново. Пятерка вышла уже давно, но чуть больше года назад я собирал инфу по панелям на сотнях тысяч серверов. Чекая лицензию по запросу
http://lic.ispsystem.com/ispmgr.lic?ip= . Так вот из найденых isp, пятерка была у меньше 5 процентов. И я не думаю что за год изменилось настолько.
Сообщение от
pas9x
↑
Это бред сивой кобылы. Сам процесс ispmgr, конечно, работает под рутовым аккаунтом. Но при авторизации (например методом authinfo) панель делает su на авторизированный аккаунт. Но это не значит, что любому api-запросу на 127.0.0.1 панель назначит высший уровень доступа. 127.0.0.1 для ihttpd ничем не отличается от любого другого айпишника в паблик-интернете.
Возможно ты путаешь вызов api-функций по http с их вызовом через консоль.
Я нигде не писал, что по любому запросу на локалхост панель выдаст права рута. Я писал что она обработает запрос с правами того пользователя от которого отправили запрос. Php скрипт с банальным file_get_contents("
http://127.0.0.1/manager/ispmgr?out...nfirm=[pass]&func=usrparam&elid=[user]&sok=ok"); запускаем любым пользователем и этому пользователю установится новый пароль.
Сообщение от
pas9x
↑
Напиши более подробно как воспроизвести проблему и протестируй дыру на пятой версии с указанием типа панели к которой выполняются апи-запросы (Lite/Business/Node). Баг-репорт под четвёртую панель настолько-же актуален, насколько сейчас актуален баг-репорт под win98. Если под рукой нет пятой панели - могу в ЛС скинуть рутовый доступ к тестовой виртуалке с нужной версией панели.
Как воспроизвести подробнее, если это примеры из старой документации? Это же не ошибка в софте которую пропустили разрабы, это проблема архитектуры. Отбрось вордпресс и отправь запрос к панели 4 версии. На 5-ой версиии было так мало панелей, что возится с ними было нерентабельно. Читай выше про распределение версий, что ты несешь про win98.
Чтобы запустить все это массово нужно собрать много информации. Базу ip с панелями и списки доменов на этих ip. Прочекать их на вордпресы. Найти существующую стараницу в блоге, чтобы сделать pingback. Отправлять кучу запросов по этим данным, чтобы выяснить от какого пользователя работал php и по какому адресу была панель. Думаете если все было так просто я бы выложил это?
Вот здесь можно увидеть что бывает когда запускаешь массово:
http://searchengines.guru/archive/in.../t-903583.html
Тогда и пофиксили запросы от пользователя веб-сервера(
http://forum.ispsystem.ru/showthread.php?28944-Changelog-для-ISPmanager-4), только проблема была шире.