Перейти к содержанию
ArtemPitov

Критическая уязвимость в дополнениях!

Рекомендуемые сообщения

Есть вобщем целая пачка дополнений одного автора — не спрашивайте какого, пока не скажу.
Ваша магазин никогда не был настолько уязвим, скажем так, по моим друзьям у которых стоит подобный модуль, пароль от ftp  я получил за 5 секунд.

Что делать дальше с фтп — я думаю не надо рассказывать. Сначала угоняется ваша база и переводиться удаленно на другой сервер. Потом, когда у вас не будет бекапа, удаляются все данные, и у вас не остается ничего. Это самый плохой вариант.

Не очень вариант, если вам просто поселят вирус, или украдут данные о продажах и контакты покупателей.

Еще не очень вариант, ваш магазин может появится на помойках в продаже — как «готовый скрипт магазина с заполненными товарами».

Вобщем вариантов миллион. И я не могу здесь взять и написать кто автор модуля и в чем суть уязвимости, потому что у меня нет прямой связи с этим человеком, он мне не друг, и я не уверен, среагирует он или нет.

Но молчать тоже нельзя.

Недолго думая, на коленке мы слепили сервис проверки этой заразы.

Заходите — пользуйтесь.

Что делать и как устранять — я тоже не могу писать в паблике. В личке, пожалуйста. Если проверка показала, что у вас есть зараза,  показываете что вы реальный его владелец, в меру своих скромных возможностей, скорее всего я вам помогу, в крайнем случае, отправлю к специалисту, который вам эту дыру залатает.

Если кто не верит, но ваш сайт не прошел проверку — пришлите мне его адрес в личку на форуме, я  вам пришлю в ответ ваш ftp-пароль.

Но честно говоря — это полный писец.

Оригинал http://ocshop.info/so-dna-postuchali-ili-novaya-oooochen-kritichnaya-uyazvimost-v-dopolneniyax/

 

ЗЫ://

От себя добавлю, если у Вас даже нет сохранен фтп - это не спасает! Базу можно спокойно стянуть и дальше вы знаете что можно ...

 

UPD

Дополнения с пробоем в безопасности не продаются на форуме 

  • +1 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для каких версий движка актуально?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, deim сказал:

Для каких версий движка актуально?

для всех 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Фуф. Слава богу все в порядке. Но вот вопрос. Как узнать о каких дополнениях идет речь? Дабы не установить эти дополнения в будущем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В первой теме указано, что данные дополнения сняты с продажи на форуме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, skylin371 сказал:

Как узнать о каких дополнениях идет речь? Дабы не установить эти дополнения в будущем.

Через рассылку (нормальные площадки уведомляют покупателей о таких проблемах). Также обращайте внимание на подобные плашки.

Изменено пользователем michael
  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, michael сказал:

Через рассылку (нормальные площадки уведомляют покупателей о таких проблемах). Также обращайте внимание на подобные плашки.

Ну тут  это скорее пиар акция с онлайн проверкой на то, кто поведется на данные заявления и рассылку + реклама стороннего ресурса .   

Это как в  лохотронах - у кого цифра совпадет 3.7, или 9 тот Выиграл приз :  - далее по тексту .   Хотя  люди и достойные об этом пишут, но методы к сожалению у них .....    

Какими бы благородными порывами не прикрывались это уже 100% получение личной выгоды в репу :)) 

  • +1 4

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так как я за автора статьи не в ответе, у меня нет никаких личных договоренностей и корыстного умысла и у меня самого были терки с этим "автором" я могу сказать одно

НЕ берите у этого человека ничего и половина счастья обеспечена)

 

Почистил топик и убрал данные "виновного"

Так как могут быть сотни сайтов с этой проблемой и у этих сайтов могут возникнуть проблемы

Изменено пользователем Blade

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, byba сказал:

Ну тут  это скорее пиар акция с онлайн проверкой на то, кто поведется на данные заявления и рассылку + реклама стороннего ресурса .   

Это как в  лохотронах - у кого цифра совпадет 3.7, или 9 тот Выиграл приз :  - далее по тексту .   Хотя  люди и достойные об этом пишут, но методы к сожалению у них .....    

Какими бы благородными порывами не прикрывались это уже 100% получение личной выгоды в репу :)) 

Согласись ты так говоришь из за личной неприязни к автору того топика ?

Я лично видел как вчера за 5 сек отобразились все доступы, логи и пароли

И могу подтвердить что то что я видел имело место быть

А коммерческая выгода ? Да ну о какой выгоде может идти речь, если ни кто ни у кого не просит денег, а просто преподносит как данность и факт ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Blade сказал:

Согласись ты так говоришь из за личной неприязни к автору того топика ?

Я лично видел как вчера за 5 сек отобразились все доступы, логи и пароли

И могу подтвердить что то что я видел имело место быть

А коммерческая выгода ? Да ну о какой выгоде может идти речь, если ни кто ни у кого не просит денег, а просто преподносит как данность и факт ?

Какраз наоборот  лично к автору того топика у меня глубокая приязнь и уважение  как человека и как профессионала. Непонятено только как  его втянули  в интригу, а не в открытое заявление. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, byba сказал:

Какраз наоборот  лично к автору того топика у меня глубокая приязнь и уважение  как человека и как профессионала. Непонятено только как  его втянули  в интригу, а не в открытое заявление. 

Я историю не знаю.Кто кого куда втянул...

от себя могу сказать, что потому что я знаю - никто никого никуда не втягивал. А то что у него есть тяга к честности, ответственности и прочим мастхэв качествам разработчиков/авторов и их ответственности перед клиентами это факт

Вот кто нибудь бы кроме него, пусть и с матами так же писал о многих проблемах. А не искали подвохи и алчную составляющую. И всем стало бы лучше и светлее  )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Blade сказал:

Я историю не знаю.Кто кого куда втянул...

от себя могу сказать, что потому что я знаю - никто никого никуда не втягивал. А то что у него есть тяга к честности, ответственности и прочим мастхэв качествам разработчиков/авторов и их ответственности перед клиентами это факт

Вот кто нибудь бы кроме него, пусть и с матами так же писал о многих проблемах. А не искали подвохи и алчную составляющую. И всем стало бы лучше и светлее  )

Возможно и так, что я сам проецирую собственную сущность туда , где ничего такого и нет .  Но непонятно почему бы это просто не объявить людям без левой рассылки со ссылкой на сомнительную проверку.  Мы же прекрасно понимаем, что по данной рассылке будет отслеживаться конверсия и т.д.   То  так сказать оборотная сторона медальки , и лучше она будет высказана, чем  у каждого в подкорке останется зашитой. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, byba сказал:

Возможно и так, что я сам проецирую собственную сущность туда , где ничего такого и нет .  Но непонятно почему бы это просто не объявить людям без левой рассылки со ссылкой на сомнительную проверку.  Мы же прекрасно понимаем, что по данной рассылке будет отслеживаться конверсия и т.д.   То  так сказать оборотная сторона медальки , и лучше она будет высказана, чем  у каждого в подкорке останется зашитой. 

 

тут я немного завис)

не знаю что сказать если честно

думаю что все ответы можно получить в том топике и как мне кажется они будут честными

Изменено пользователем Blade

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, Blade сказал:

тут я немного завис)

не знаю что сказать если честно

та да,  уверен, что это только мои "тараканы"   потому признаю , что мнение мое "Притянутое за уши" .  А сами ребята молодцы  - уязвимость обнаружили и всех оповестили. 

Изменено пользователем byba

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в любом случае, то что например написал я выше точно не связано с конверсиями и т.д.)

после того как я поставил его модуль, через два дня абсолютно случайно обнаружил кучу лишних файлов на сайте, от которых антивирь орет только увидев архив

стал искать в гугле по запросу....афигел сколько тем про сайт упал, вирусы и прочее от этого автора

поэтому логика моя проста - я лично никого не знаю, но желать незнакомым людям горя я не хочу

поэтому и предостерегаю их от возможных проблем где только могу

и это не связано с корыстью, тут кто как хочет так и поймет

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Blade сказал:

в любом случае, то что например написал я выше точно не связано с конверсиями и т.д.)

после того как я поставил его модуль, через два дня абсолютно случайно обнаружил кучу лишних файлов на сайте, от которых антивирь орет только увидев архив

стал искать в гугле по запросу....афигел сколько тем про сайт упал, вирусы и прочее от этого автора

поэтому логика моя проста - я лично никого не знаю, но желать незнакомым людям горя я не хочу

поэтому и предостерегаю их от возможных проблем где только могу

и это не связано с корыстью, тут кто как хочет так и поймет

поддерживаю на все 100 дело нужное  в рамках всего сообщества  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, byba сказал:

Но непонятно почему бы это просто не объявить людям без левой рассылки со ссылкой на сомнительную проверку. 

Что обьявить? Вот есть такой модуль, вот так можно получать данные, школьники - действуйте. Так что ли? Сказал бы напрямую, что за модуль - заходишь в тему поддержки этого модуля и берешь себе все сайты)) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) Мня не волнуют личная не приязнь к автору или какая то демагогия по поводу правильности. Если проблема, сделали объявления, рассылка будет позже. 

2) Пиар? Да! Нет чем заняться, если Вы не прошли проверку, бросьте мне сайт в ЛС я покажу какой пиар, прямо с вашими конфигами

3) Автора и дополнения никто называть не будет до того времени пока не решится этот вопрос, а кто знает не советую тут писать...

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем Алоха.

Попробую ответить сразу на все вопросы.
 

1. Мокрая репутация у автора - и те кто его модули юзают - сами виноваты.

2. Но не до конца так как в 90% случаев его мод нагребли все пользователи Opencart Russia, которые "сами с усами", и чисты опенкарт -наше все, и сеопро - это не очень. В итоге когда пользователи делали магазин на их сборке. А нормальное сео реализовать никак - и выход один. И несмотря на подмоченную не раз репутацию - он у них отлично прижился, так как его дополнение было жизненно необходимо.

3. В принципе использовать дополнения с автообновлением с чужого сервера - это плохо. Ладно в Ioncube может быть дыра. Но сервер могут захватить пришельцы и подменить код файлов. И тогда вы получаете у себя вкусняшки, на которые сами же и подписались.

4. Почему мы поступили таким образом, а не делали рассылки по тихому либо еще как-то. Есть много людей, которые не читают рассылки. Во первых Динокс обновлеят форум и ему не до этого. По своим ресурсам и на Liveopencart, вчера рассылка пошла сразу же, как был готов чекер уязвимости. В целом нужна была шумиха, для того чтобы вебмастера проверили своих подопечных. Плюс многие владельцы магазинов меняют фтп и проверить в лоб не получится. Я нашел по своим подопечным 4 магазина с этой гадостью, просто перебирая домены из папки client. Также чекер не собирает никаких даных. Там нет даже счетчика аналитики или метрики. Если кто не верит - могу показать независимому авторитетному человеку исходные файлы, лог фтп и дату создания/изменения, чтобы не быть голословным.

5. Пиар. Да наверное пиар моему блогу - это хорошо и я не отрицаю. Но - это не очень тема для пиара, если кто подскажет, как более правильно поступить в этой ситуации, и еще громче донести до сообщества подобную проблему,- готов выслушать предложения.

6. Финансовая сторона вопроса. Я знаю, что за свой труд, человек который нашел уязвимость просит у автора благодарочку. При чем не малую. Но позвольте господа. А как иначе. У тебя нашли дыру в твоем коде. Ткнули тебя носом. Спасли 1000+ магазинов от уязвимости. Это я считаю существенное действие и должно быть оплачено.
С нашей стороны - мы не требуем денег за помощь, но опять же, в решении вопроса участвовало несколько человек, отрывалось от своих дел, занималось этими проблемами. Их труд я считаю должен быть оплачен. Даже википедия просит денег за свое существование. Так что ваши донаты, будут приятны всем участникам процесса.

7. Что с этим со всем делать в итоге. Я думаю когда спадет волна и все кто мог проверят свои магазины. Мы сделаем на наших площадках прибитые посты с категорическим наставлением не использовать модули автора. Ну и я подробно распишу чем и как заменить фукнционал, который был нужен людям.

 

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ArtemPitov

  Тему надо было назвать:

Критическая уязвимость ioncube

Я не покупаю модулей с ioncube - мало ли что там автор "спрятал"

Думаю это не первый случай

Наверняка уверен что еще есть "такие" недобросовестные  которые прячут бекдуры в ioncube, как они мотивируют -"дабы наказать варезников", только вот эти бекдуры обнаруживают как раз варезники - нулёвщики и потом ими пользуются

 

Даниэль четко сказал (лично мне ответил) - ioncube в opencart - вне закона

  • +1 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, markimax сказал:

ArtemPitov

  Тему надо было назвать:

Критическая уязвимость ioncube

Я не покупаю модулей с ioncube - мало ли что там автор "спрятал"

Думаю это не первый случай

Наверняка уверен что еще есть "такие" недобросовестные  которые прячут бекдуры в ioncube, как они мотивируют -"дабы наказать варезников", только вот эти бекдуры обнаруживают как раз варезники - нулёвщики и потом ими пользуются

 

Даниэль четко сказал (лично мне ответил) - ioncube в opencart - вне закона

Марк - тут просто, не нравится не ешь!
Никто остальных за руку не заставляет это делать. 
А вот репа авторов - на нее надо обращать внимание. Пока что 19ый в своей политике к авторам впереди планеты всей. А то что на помойке русской сборки держут тех, кого отовсюду погнали. Ну что тут сделаешь.


Кстати отдельно хочу сказать спасибо Артему. Он вчера я так понимаю весь день убил на поиски уязвимых магазинов и предупреждение хозяев.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, markimax сказал:

ArtemPitov

  Тему надо было назвать:

Критическая уязвимость ioncube

Я не покупаю модулей с ioncube - мало ли что там автор "спрятал"

Думаю это не первый случай

Наверняка уверен что еще есть "такие" недобросовестные  которые прячут бекдуры в ioncube, как они мотивируют -"дабы наказать варезников", только вот эти бекдуры обнаруживают как раз варезники - нулёвщики и потом ими пользуются

 

Даниэль четко сказал (лично мне ответил) - ioncube в opencart - вне закона

Марк - тут просто, не нравится не ешь!
Никто остальных за руку не заставляет это делать. 
А вот репа авторов - на нее надо обращать внимание. Пока что 19ый в своей политике к авторам впереди планеты всей. А то что на помойке русской сборки держут тех, кого отовсюду погнали. Ну что тут сделаешь.


Кстати отдельно хочу сказать спасибо Артему. Он вчера я так понимаю весь день убил на поиски уязвимых магазинов и предупреждение хозяев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
11 минут назад, Yoda сказал:

Марк - тут просто, не нравится не ешь!

 

Ой да ладно, что значит "не ешь" ?

Кубирование модулей в opencart - это нарушение лицензии, читаем закона (можешь отправить запрос Даниэлю, он тебе четко ответит. Можешь отправить запрос организации GNU GPL - тоже получишь четкий ответ)
Тогда значит варезникам можно качать модули с варезов ? (ну они же нарушают лицензии, законы, как и авторы закубированных модулей)
Одно дело - нравится, не нравится

Другое - нарушение ЛИЦЕНЗИИ

Законы, лицензии, правила - одни для ВСЕХ
Не имеет значения кто ты пешеход или водитель, ПДД одни для ВСЕХ

 

  • +1 6

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вопрос на засыпку: а обфускация кода - является нарушением? =)

 

я не силен в лицензиях, но как мне кажется в этом вопросе имеет место недопонимание:

одно дело если подменить и кодировать, например, стандартный контроллер движка - это конечно бред

и другое - если кодировать свой собственный контроллер, которым пользуется только собственный модуль, т.е. не нарушая стандартную логику движка

без защиты итог один - получать за свою работу копейки и радовать любителей халявы

  • +1 4

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.