Взломали сайт

[Venter]

1 минуту назад, Dimasscus сказал:

ну как и опенкарт в принципе

да. если правильно использовать движок то всё будет гуд и проблема взлома может прийти только от хостера. Допустим те же модификаторы в опекнкарте, при создании сайта сделал что надо, а потом просто взял и нафиг отключил загрузку и тд по модификаторам, когда надо ключил. кто то может скажет мол а че постоянно лезть в код то вкл то выкл, ну так ответ будет - если проще возиться со взломаным сайтом то пожалуйста

[esculapra]

Кстати, опенкарт очень неплохо защищен. По статистике атак я заметил, что идет поиск по вордпресс - эта система дырявая!

[esculapra]

if (is_file('scan.php')) {
    require_once('scan.php');
}

это в индексном файле

а сама проверка (извините, но я ипользовал на этапе разработки джумловкий код)

        public function checkSecuryAdmin(){
                   $value          = JRequest::getString($this->secury_key);
                 
                   if($value !=$this->secury_val ) return false;
            
                 return true;  
        }

В ближайшее время сделаю по стандарту опенкарт.

Змінено 15 грудня 2021 користувачем esculapra

[esculapra]

22 минуты назад, Dimasscus сказал:

ну как и опенкарт в принципе

Полнотью согласен!!! Кстати, на ВП используется компонент fabric - почему-то дьвиная доля атак приходится на него.

[Yoda]

Опять развели флуд на голом месте.
 

Все проблемы со взломами решаются несколькими простыми методами:

 

1 - сервер не может выполнить ничего в мир кроме index.php в корне и в админке.

2 - сервер не реагирует на запросы в строке бразуера вида ../ и еще на вагон потенциальных уязвимостей, которые можно воткнуть в строку браузера или заслать в POST DATA,  также SELECT() SLEEP RANDOM и так далее не пролазит в POST B GET.

3 - на сервере отключен вывод ошибок и доступ к логам.

4 - доступ в админку, phpmyadmin, в панель управления сервером ограничена по ip.

 

Ломайте, переломайте, обломайтесь.

 

И давайте без холиваров, про соседние взломанные сайты, кривые модули. Я говорю о ситуации, когда кроме opencart нет больше ничего в аккаунте и все модули куплены легально.

В 99% случаев, очень долго и нудно можно разбираться как и через что ломают, намного проще построить железобетонную стену, через которую могут прорваться не только лишь все.

[Venter]

48 минут назад, esculapra сказал:

эта система дырявая!

пруфы есть???? я более 7 лет с фреймворками работаю и cms, и не встречал у чистого вп подобного

[esculapra]

1 час назад, Venter сказал:

пруфы есть?

легко.

[esculapra]

4 минуты назад, esculapra сказал:

легко.

Вобщем сейчас атак мало - на скрине видно, что 2020 ваще не пробовали.

А ранее были ежедневно.

 

Змінено 15 грудня 2021 користувачем esculapra

[esculapra]

нужно доработать, т.к. не все статичные определяет.

[Shureg]

2 часа назад, esculapra сказал:

На шаред-хотинге бэк открывает доступ ко всей системе (чужие сайты в том числе) - я на локалке проверял.

Чего-то мне это классику напомнило: "О, вы слышали Карузо?! – Нет. Мне Рабинович напел" 

Зачем вы так целеустремленно демонстрируете свою дремучесть.  Уж поверьте, на правильно настроенном сервере ни к каким чужим сайтам вы доступа не получите.

[esculapra]

Честно, не сам я все придумал - посмотрел компонент для джумлы, скачал ос e[tбщедоступную библиотеку, переделал view EXTJS на JQUERY. Да, выежился - использовал Smarty - просто тогда он мне был ближе, - сейчас и nwig не проблема. Если такая система нужна (это не совсем модуль, а реально система защиты), то будет в ближайшее время. И пробная версия тоже будет.

[openprice]

27 минут назад, esculapra сказал:

легко.

 

 о, боги

какая же это чушь

на кого это вообще рассчитано?

 

[esculapra]

1 минуту назад, Shureg сказал:

Уж поверьте, на правильно настроенном сервере ни к каким чужим сайтам вы доступа не получите.

Да ладно! - я ставил бэк на хостинг и поднимался к другим сайтам (сугубо в качестве эксперимента!). Могу скинуть в ЛС уже раскодированный бэк (в качестве эксперимента!) - я тебе доверяю.

[Venter]

35 минут назад, esculapra сказал:

легко.

что легко то??? вы показали только атаки, а за свое что он дырявый ничего не сказали, ну и внимательно читаем выше что писал, модулей на вп куча бесплатных вот в этой кучи есть как раз таки дырявые МОДУЛИ а не сам вп

короче, проехали.... бесполезно что то писать

[esculapra]

6 минут назад, Venter сказал:

вы показали только атаки, а за свое что он дырявый ничего не сказали

Я показал адреса атак - неужели не видно, что шныряют по wp? Так я и не сказал, что сама СМС WordPress дырявая - на опенкарте тоже много дырок в варезных модах.

Змінено 15 грудня 2021 користувачем esculapra

[Shureg]

30 минут назад, esculapra сказал:

легко.

И чего вы своими скринами хотите показать? Ваш бесполезный скрипт?

Вы удивитесь, но атакуют все сайты. И атак гораздо больше, это скрипт у вас полуслепой и их не все видит.
Однако большинство сайтов прекрасно выживают без вашего антихакера. 

Вы боретесь с уязвимостями времён мамонтов, давно закрытыми. Атаки на них спамят мамкины хакеры, в надежде найти полузаброшенные сайты на каком-нибудь вп3 или джумла 1.5. И иногда находят, да. 
Для сколько-нибудь свежих сайтов и серверов ваш скрипт бесполезен, и без его блокировок ничего бы не прошло.

[Shureg]

10 минут назад, esculapra сказал:

Я показал адреса атак - неужели не видно, что шныряют по wp?

Логически размышлять не пробовали?

Взломщики ищут путь к админке, чтобы подбирать пароли,. Открытые для прямого чтения(криворукими настройщиками) файлы конфига. Не удаленные пользователями-разгильдяями файлы установки. и т.п.
Вы увидели, что в первую очередь они проверяют стандартные пути вордпресс. Ещё бы, ведь из трёх cms  в инете две - вп.
А теперь расскажите, как из этого факта вы сделали вывод об уязвимости вп?

Змінено 15 грудня 2021 користувачем Shureg

[esculapra]

2 минуты назад, Shureg сказал:

И чего вы своими скринами хотите показать? Ваш бесполезный скрипт?

Вы удивитесь, но атакуют все сайты. И атак гораздо больше, это скрипт у вас полуслепой и их не все видит.
Однако большинство сайтов прекрасно выживают без вашего антихакера. 

Вы боретесь с уязвимостями времён мамонтов, давно закрытыми. Атаки на них спамят мамкины хакеры, в надежде найти полузаброшенные сайты на каком-нибудь вп3 или джумла 1.5. И иногда находят, да. 
Для сколько-нибудь свежих сайтов и серверов ваш скрипт бесполезен, и без его блокировок ничего бы не прошло.

Не собираюсь полемизировать. Однажды у меня взломали сайт - я поставил скрипт - все, хакеры досвидос! Да, поломали низшую версию опенкарт (вроде 2 - уже не помню). Я же никому не навязываю, а просто констатирую факт - ко мне больше не лезут часто (получают переход на  порносайт). Короче, я не собираюсь спорить!

[buslikdrev]

8 минут назад, Venter сказал:

вот в этой кучи есть как раз таки дырявые МОДУЛИ а не сам вп

https://wordpress.org/support/wordpress-version/version-5-5-2/

Благодарим Алекса Конча из группы безопасности WordPress за их работу по усилению защиты запросов на десериализацию.

Благодарим Дэвида Биновека за исправление, позволяющее отключить встраивание спама с отключенных сайтов в многосайтовой сети.

Спасибо Марку Монтасу из Sucuri за сообщение о проблеме, которая может привести к XSS из-за глобальных переменных.

Спасибо Джастину Трану, который сообщил о проблеме, связанной с повышением привилегий в XML-RPC. Он также обнаружил и раскрыл проблему повышения привилегий при комментировании постов через XML-RPC.

Реквизит Омару Ганиеву, который сообщил о методе, при котором DoS-атака может привести к RCE.

Спасибо Кариму Эль Уэргемми из  RIPS,  который раскрыл метод хранения XSS в слагах сообщений.

Спасибо Slavco за сообщение и подтверждение от Карима Эль Уергемми, метод обхода защищенных метаданных, который может привести к произвольному удалению файла.

И особая благодарность @zieladam, который был неотъемлемой частью многих выпусков и исправлений во время этого выпуска.

 

[esculapra]

2 минуты назад, Shureg сказал:

Взломщики ищут путь к админке, чтобы подбирать пароли. Вы увидели, что в первую очередь они проверяют стандартный путь вордпресс. Ещё бы, ведь из трёх cms  в инете две - вп.
А теперь расскажите, как из этого факта вы сделали вывод об уязвимости вп?

Та при чем тут вп? Моя система прячет вход в админку. - он проверяет 2 переменные: ключ и значение. (типа antibot, 45234)

[Venter]

18 минут назад, esculapra сказал:

Так я и не сказал, что сама СМС WordPress дырявая

 

2 часа назад, esculapra сказал:

По статистике атак я заметил, что идет поиск по вордпресс - эта система дырявая!

 

[Shureg]

7 минут назад, esculapra сказал:

Моя система прячет вход в админку. - он проверяет 2 переменные: ключ и значение. (типа antibot, 45234)

Вы немного опоздали.  Этой системе примерно лет 20, называется htpasswd

[Venter]

9 минут назад, buslikdrev сказал:

при котором DoS-атака может

это не взлом

9 минут назад, buslikdrev сказал:

Благодарим Алекса Конча из группы безопасности WordPress за их работу по усилению защиты запросов на десериализацию.

Благодарим Дэвида Биновека за исправление, позволяющее отключить встраивание спама с отключенных сайтов в многосайтовой сети.

тоже не взлом

10 минут назад, buslikdrev сказал:

Спасибо Марку Монтасу из Sucuri за сообщение о проблеме, которая может привести к XSS из-за глобальных переменных.

Спасибо Джастину Трану, который сообщил о проблеме, связанной с повышением привилегий в XML-RPC. Он также обнаружил и раскрыл проблему повышения привилегий при комментировании постов через XML-RPC.

через XSS в той версии и ниже ничего серьезного не зальешь, так что тоже не взлом

 

я не защитник вп, просто стремно читать всякую ересь, вроде разработчики, а пишут лижбы сказать/написать

[Yoda]

9 минут назад, Venter сказал:

это не взлом

тоже не взлом

через XSS в той версии и ниже ничего серьезного не зальешь, так что тоже не взлом

 

я не защитник вп, просто стремно читать всякую ересь, вроде разработчики, а пишут лижбы сказать/написать

 

Дружище, вп не может быть не дырявый.

 

С тем количеством пользователей, которые юзают вп, он не то что под микроскопом, но там даже перхоть ходит по струнке смирно и вымеряет до сотки шажок стежка на пришиваемом воротничке.

А Zero-Day никто не отменял. Ну смотрите же вы все друзья шире, это айти, тут всегда есть человеческий фактор.

[Venter]

6 минут назад, Yoda сказал:

А Zero-Day никто не отменял. Ну смотрите же вы все друзья шире, это айти, тут всегда есть человеческий фактор.

вот она вишенка на торте. надеюсь на этом доказательства дырявости закончатся