Legosp Forum
Shop-Script "Legosp" => Общие вопросы => Тема начата: Drifter-B от Января 09, 2014, 03:58:31 pm
-
Всем доброго времени!
За сутки я сам и администратор другого сайта (который я делал) получили письмо примерно следующего содержания:
"Мы взломали ваш сайт см. скриншот. Если Вы не хотите чтобы мы закрыли его навсегда,переведите 1000р на этот яндекс счет..."
актуальный скриншот админки прилагался.
Мой сайт http://biser-busina.ru/ движок Lego 5.0.2
Другой http://trattoria-tula.ru/ движок Lego 6.1
Кто нибудь знает как бороться с этой уязвимостью, кроме блокировки админки по IP?
-
Поменял, спасибо.
Пожалуйста сообщите, когда разберётесь, нужно-ли ещё что-то сделать...
-
такая же сегодня была проблема.
-
такая же сегодня была проблема.
И как решил?
-
Всем доброго времени!
За сутки я сам и администратор другого сайта (который я делал) получили письмо примерно следующего содержания:
"Мы взломали ваш сайт см. скриншот. Если Вы не хотите чтобы мы закрыли его навсегда,переведите 1000р на этот яндекс счет..."
актуальный скриншот админки прилагался.
Мой сайт http://biser-busina.ru/ движок Lego 5.0.2
Другой http://trattoria-tula.ru/ движок Lego 6.1
Кто нибудь знает как бороться с этой уязвимостью, кроме блокировки админки по IP?
Не скажу насчет 5.0.2 - давно это было
для 6.1 обновите из сегодняшнего релиза access_admin.php
это единственное что нам пока удалось определить - ведем расследование
улыбнуло :)
-
Отправил письмо, скриншот и номер счета в поддержку яндекс-денег. Сказали спасибо и что примут меры. Надеюсь, что счет его все же заблокируют :)
-
Но ведь и новый счет он сообщит тому у кого пытается деньги вымогать, а значит можно снова отправить весточку яндексу (дело-то секундное). Если злоумышленник не может получить деньги, то к чему тогда вся эта затея с письмами "счастья" :) Так что ему тоже можно подгадить, а если там у него были кое-какие копейки, то вдвойне приятно :)
-
Кстати, а как быть с пятой версией? Для нее есть корректный файл access_admin.php ?
-
Рекомендую в настройках сервера временно заблокировать пользователей с IP 37.9.53.131 и 188.64.170.222 до дальнейшего выяснения всех обстоятельств.
-
"орлы" расшифровали это: bb2a4974d7aca7da8735c70371361c0f
-
Кстати, а как быть с пятой версией? Для нее есть корректный файл access_admin.php ?
Не напрягаться ;)
-
"орлы" расшифровали это: bb2a4974d7aca7da8735c70371361c0f
это дело не хитрое, главное вовремя устранить :)
-
после замены файла, необходимость отпадет.:)
-
Кстати, а как быть с пятой версией? Для нее есть корректный файл access_admin.php ?
Не напрягаться ;)
Что значит не напрягаться? Если у меня сайт на пятой версии работает. И что значит "орлы" расшифровали это: bb2a4974d7aca7da8735c70371361c0f
Ведь пароль мы меняем после установки движка. Значит его можно тупо скопировать из файла и расшифровать? Как быть тем людям, которые в этом вообще не разбираются?
-
... Как быть тем людям, которые в этом вообще не разбираются?
Не напрягаться :) ;) и следовать рекомендациям разработчиков :)
-
Не напрягаться :) ;) и следовать рекомендациям разработчиков :)
[/quote]
Каким рекомендациям? Ну заменил я файл access_admin.php в шестой версии движка, а что делать с сайтами на пятой версии? Только не надо говорить про переходе с пятерки на шестерку. Там все уже переделано под функционал конкретных проектов и прекрасно работает. Да и шаблоны именно под пятерку сделаны.
-
А сюда поправленный файл для 5.0.2 прилепить можете? Ну чтобы все могли скачать, у кого старый движок. Так же проще вроде...
-
Спасибо
-
Взлом? ахаха, все-таки кто-то не поленился и воспользовался бэкдором разработчиков. Разработчики! Вы бы хоть на оф.сайте что-нибудь написали тиа: в версях 5.х - 6.х найдена уязвимость, срочно проделайте следующие действия.... и т.п. А то сколько пользователей ваших сборок на форуме не зарегестрированы, тем более сейчас, когда вы обязываете оставлять ваш копирайт, нати сайт на legoSP вообще не составляет труда. Лично я, однажды счкачав новую версию лего и увидев эту строчку, вашими сборками не пользуюсь.
-
Лично я, однажды счкачав новую версию лего и увидев эту строчку, вашими сборками не пользуюсь.
Ну.. зная другую скважину для "ключа", чего бы не поменять "замок", или все так печально?..
-
Дело не в "ключах" и "замках", а в отношении разработчика к безопасности своего продукта. Если программист не задумываясь о последствиях оставляет в коде "дверь", которой может воспользоваться любой школьник имеющий базовые знания в программировании, то какой вывод можно сделать о безопасности кода этого программиста.
-
Я не писал о том, что md5 придумали школьники, а о том, что ваше условие для входа в админку может использовать любой школьник. Вы введите в любом поисковике md5 и вы получите массу ссылок для дешифрования хэша md5. Вы эту сорочку не 5 лет назад вписали, а пару лет назад. В это время сайты для дешифровки md5 уже существовали. И у 95% CMS такие явные условия для входа в админку вменяемые программисты не оставляют. Скачал сборку, скопировал строку из очевидного файла, вставил в поле на сайте для дешифровки md5 и получил вход в админку для всех сайтов на legosp. Думайте о том что делаете, многие люди связывают с вашим движком свой бизнес и своих клиентов.
-
Согласен с Вами на все 100%. Этому есть место. Но:
... может воспользоваться любой школьник имеющий базовые знания в программировании
для этого, как минимум нужно разбираться в данном скрипте.
Я не пытаюсь и не пробую защитить создателей данного продукта, но если были где проблемы, всегда вопрос был решаем.
Нет смысла "громогласить" о проблеме, как о "резонансной сингулярности", её надо устранять. И лучше по тихому. :)
-
Поймите я не пытаюсь унизить разработчика. Я пытаюсь объяснить ему, что нужно думать о том, что много людей зависит от его разработок. И если у разработчика еще осталась совесть, то во все трубы надо звонить о том, что он накосячил и исправлять свою ошибку.
-
Ну, думаю и надеюсь, этим и займутся.
зы// отождествлять, наводить панику, это лишнее. сознательные, примут.
-
для этого, как минимум нужно разбираться в данном скрипте.
Для этого не нужно разбираться в скрипте, файл - access_admin своим именем сам за себя говорит, а условие, которое в нем прописано вообще клад для всяких "мегахацкеров"
-
Для этого не нужно разбираться в скрипте, файл - access_admin своим именем сам за себя говорит, а условие, которое в нем прописано вообще клад для всяких "мегахацкеров"
ну и у каждого есть возможность изначально его переименовать :)
-
ну и у каждого есть возможность изначально его переименовать :)
[/quote]
:D :D :D
-
кто будет совершать какие-нибудь действия, когда все уверены, что все в порядке
-
Осторожные и предусмотрительные - да. Другие, надеюсь, иногда посещают этот форум и воспользуются рекомендациями.
А есть альтернативы для всеобщего-массового манту?
-
А есть альтернативы для всеобщего-массового манту?
Ну хотя-бы на оф.сайте выложить ахтунг со всеми разъяснениями. Честно говоря, мне вообще непонятна политика разработчиков. Безопасности уделяется очень мало внимания. Уже давно пора перенести админку в отдельную папку с рандомным именем, задаваемым при установке. Про префиксы к базе данных я вообще молчу, они как 10 лет назад были SS, так и остались.
-
Ничего не скажу за оф.сайт, за политику и поведение создателей, но если не ошибаюсь, то вроде КАГБЫ файлы доступа к админке есть возможность переименовывать при инсталяции.., но и там пока есть косяки(как понял с самим администрированием).
-
там пока есть косяки(как понял с самим администрированием).
к сожалению есть...