Взломали сайт. Где и как искать дырку?

Взломали пару сайтов на Эво. Один древний, на 1.0.6 еще, другой на самой актуальной на прошлую весну версии Эво. Общего между ними разве что AjaxSearch и eForm с Wayfinder. И + само-собой Дитто и все, что в комплекте с установкой идет. Ну может завтра скину сайты на локалку и увижу еще чего, но вряд ли. Кажется, на древнем даже вместо поиска Яндекс-поиск. В папку images злоумышленники закинули злотворный файл, который спамил с зараженных много спама и был заблокирован хостингом. Это на древнем. На новом (относительно)
Нашел еще похожую проблему forums.modx.com/thread/91049/
Хотя зараза лежит у меня в другом месте, остальное схоже.
Понятно, что мне теперь обновляться и делать это надо было раньше и все такое… Но где искать брешь? Сайты взломаны практически одновременно и похоже через общую для двух версий дыру. Хочется определить, когда и как эти файлы появились и через какую дырку пролезли. Так то по-отдельности все объяснимо, и на вопрос что делать ответ «обновляйся, и будешь счастливым». Но одновременно… Это массовая атака на какую-то общую дырку? Похоже, самая новая версия и практически дефолтные настройки не гарантия от этой самой атаки.

61 комментарий

avatar
Мне сегодня 2 клиента старых переслали письма от хост-провайдеров о взломе. Там стояли старые версии (1.0.6 наверное) похоже какая то общая дыра
avatar
Дыра старых версий. А может еще банальней, словил трояна на свой ПК. Попробуй проверить машину на зверей, чем чёрт не шутит.
  • LNA
  • 0
avatar
Аналогичная картинка на версии 1.0.8 от 3 августа

Появился в папке cacheimg в одной из подпапок, где создаются миниатюры phpthumb от Agel_Nash (хотя может это и несущественно) файл page.php аналогичного содержания
и другими цифрами/буквами

Плюс в нескольких уже существующих файлах похожие строки дописались в начале файла, в частности в файлах
/manager/processors/login.processor.php
/manager/processors/duplicate_content.processor.php
и ряде других как в mcpuk, так и в assets-папке с таким дописанным eval-ом в начале файла.

Версия достаточно старая, у клиента логов на хостинге чтоб посмотреть откуда это нет. Но похоже на дыру незакрытую, которую надо бы найти.
Комментарий отредактирован 2014-09-04 14:31:26 пользователем Dmi3yy
avatar
Плюс вот такая ерундень на том же сайте в версии 1.0.8 выше корня сайта в файле rn6n7y.php
Комментарий отредактирован 2014-09-04 14:31:50 пользователем Dmi3yy
avatar
а какой хостинг? для интереса.
avatar
Хостинг Зенон Н.С.П. (ну какой дали)))
Поскольку код идентичный, то либо у всех остальных тоже этот хостинг и там дыра, или это дырка обнаружилась в модх.

Если у кого-то есть доступы к логам с подобной штукой — давайте вместе посмотрим — разберемся через что лезет :)
Комментарий отредактирован 2014-08-08 19:45:31 пользователем webber
avatar
У меня на HTS такая же беда
avatar
Пля! Такая же беда! Один сайт засран капитально!
Везде вот такие вставки
Плюс один файл вообще весь зашифрован. Короче где-то дыра глобальная. Версия причем не старая была. Ну может с пол года. Хостинг TimeWeb. Просканил сайт айболитом и ах… ел…
Давайте скинемся AgelNash на новую машину, пусть найдет дыру… памммааггиииттееее…
Комментарий отредактирован 2014-09-04 14:32:19 пользователем Dmi3yy
avatar
Отпишитесь еще пожалуйста сайты украинские или российские взламывают или и те и другие?
avatar
Российские. Хостинг екатеринбургский. Вирус на компе маловероятен т.к. сайты управлялись разными людьми и я на них уже давно не заходил. Ну т.е. вирус должен залезть на разные компы.
Комментарий отредактирован 2014-08-09 06:26:19 пользователем MisterN
avatar
1.0.8 — взломаны три проекта
Хостинги: sweb.ru и ruweb.net
1. Сливаю все на локальный сервер
2. Лечение www.revisium.com/ai/
3. Обновление системы до последней версии


— В одном случае найден «левый» плагин.
Что характерно: в списке плагинов его не было, обнаружил на странице «Порядок вызова плагинов».
Комментарий отредактирован 2014-08-09 09:24:54 пользователем kalina
avatar
Так что, ни у кого даже доступа к логам на хостинге нет, чтоб узнать через что и куда оно лезет? Или просто констатировали и разошлись?))))
avatar
Доступ к логам еще как есть. Первые строчки выглядят так

146.185.239.40 - - [08/Aug/2014:00:01:26 +0600] "POST /assets/images/44ef28a35.php HTTP/1.0" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0"
46.4.12.20 - - [08/Aug/2014:00:02:03 +0600] "GET /robots.txt HTTP/1.0" 200 460 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)"
46.4.12.20 - - [08/Aug/2014:00:02:06 +0600] "GET /??-??????????????-??????-????????.html HTTP/1.0" 200 14008 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)"
46.4.12.20 - - [08/Aug/2014:00:02:11 +0600] "GET /???-??????-????????.html HTTP/1.0" 200 4658 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)"
46.4.12.20 - - [08/Aug/2014:00:02:13 +0600] "GET /?????-????-??????????????-??????-????????.html HTTP/1.0" 200 4658 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)"
46.4.12.20 - - [08/Aug/2014:00:02:15 +0600] "GET /??????????-??????-????????.html HTTP/1.0" 200 4658 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)"
146.185.239.40 - - [08/Aug/2014:00:02:14 +0600] "POST /assets/images/44ef28a35.php HTTP/1.0" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0"
91.211.105.88 - - [08/Aug/2014:00:03:22 +0600] "GET /assets/galleries/8/getImage.jpg HTTP/1.1" 200 99996 "

И далее не сильно разнообразно. Между вроде как обычных рядовых посещений — обращение к зараженному 44ef28a35.php Я ж говорю, как почистить вижу. Не знаю, как дырку найти в которую пролезли. Обложился разными тематишными материалами про то, как вести себя, если заразили. Как досмотрю — полезу в архивы логов, чтобы смотреть, когда хотя бы файл появился.
avatar
146.185.239.40 - - [08/Aug/2014:00:01:26 +0600] "POST /assets/images/44ef28a35.php HTTP/1.0" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0"

так это уже последствия, т.к. файл /assets/images/44ef28a35.php уже существует (ответ 200, т.е. ОК). Надо искать когда он первый раз появился через какие запросы к каким файлам по логам.
avatar
Судя по ip спамщика, это тот же вредитель, что и в этой теме.
modx.im/blog/2226.html Но версия у меня гораздо выше.
Досмотрю семинарчиг — полезу в логи.
modx-forum.ru/topic/426-ataka-na-fail/
Комментарий отредактирован 2014-08-09 11:54:38 пользователем MisterN
avatar
Общего между ними разве что AjaxSearch и eForm с Wayfinder. И + само-собой Дитто
Вот она термоядерная смесь: eForm и Ditto.
avatar
Вы серьезно? eForm так сильно уязвима?
avatar
Да, я серьезно. eForm + любой сниппет с возможностью выполнять произвольный код = огромная угроза. Ditto позволяет это делать через параметр filters смотреть тут, а eForm или любые другие формы сохраняющие введенные ранее данные — позволяют запустить любой сниппет.
avatar
Самый ранний лог архива похоже от 4-го августа, начинается в 00 и первый POST в нем:
в docid_113.pageCache.php та же картина
Вот как-то так. Файлов в кэшевой папке и гэлери уйма.
Права на папки cache и galleries — 755
В принципе, по этой инструкции можно и вольнее efimov.ws/main/develop/modx/hosting-modx.html
Ну как то так. Завтра буду думать что с этим делать и узнавать у хостера, нет ли логов раньше.
Комментарий отредактирован 2014-09-04 14:33:25 пользователем Dmi3yy
avatar
Ну это все к сожалению тоже следствия, т.к файл уже создан. Осталось понять чем и откуда он создан, а для этого нужны более ранние логи :)
avatar
И чего, ни у всех чтоль логи не достаточно длинный? Народ, что у вас?
Ну да ладно, основной вопрос — как жить дальше. От следствий то мы сайт очистим, обновить-то обновим, но будем ли мы после этого спокойны и главное сильно ли нас спасет от следующей атаки. Так то на сайте по логам часто простукивают админку джумлы.
Борисов писал о SHK EVO blog.agel-nash.ru/2013/11/eval-in-shopkeeper.html Ну ладно, что описано, то можно закрыть, но много ли в SHK еще подобных нехорошестей? На сколько я знаю, на эво реальных альтернатив шопкиперу как народному магазину не появилось? Может стоит перейти тогда на Рево? Но его медленность-прожорливость… И опять же, удобнее всего менять на рево опять на SHK. Но на сколько он менее уязвим и закрыт в плане дырок? Я как-то Наумкину доверяю. Не могу судить о безопасности его магазинов объективно, но чуйствуется, что он не должен был оставить вопрос безопасности без внимания. Но понятно, что «чуйства» не лучший ориентир.
А еще понятно, что во всех папках с картинками будет запрещено выполнять файлы php likbezz.net/viewtopic.php?f=16&t=175
Попробую по-запрещать функции нехорошие… Типа eval.
Пройдусь по рекомендациям Ершева ershov.pw/blog/modx-revolution/how-to-protect-modx-revolution-from-possible-hacks
ssl? Тоже можнО.
Что еще можно сделать для безопасности? Я слышал, в рево можно отключить @EVAL, но не вспомню, где слышал и не пойму как отключать.
avatar
Еще можно обратиться к специалисту за аудитом безопасности на платной основе. Попробуйте к Agel_Nash, если согласится. Я когда-то обращался, выявил мне кучу проблем.
avatar
Ну это само собой можно и нужно. Но речь же о простых легковоспроизводимых действиях, которые делать можно и нужно. Если бы эвал в принципе была отключена, то хакер хоть чуток, но обломался. И то радость. Учитывая, что атака очень возможно и автоматизированная, то хакер сильно обломится.
avatar
Если бы Agel_Nash не трепался в интернете об уязвимостях modx, проблем бы не было. Единичные взломы бывают всегда, но массовые — только после его публикаций о найденной уязвимости. Спамеры же гуглом ищут.
avatar
Незнание — блаженство? :)
можно подумать официальные патчи не раскрывают суть уязвимостей
avatar
Если что, я про дырки в MODX стал рассказывать только после одной из публикаций на офф. сайте, что этот двиг мега неуязвим. Так что можно сказать моя миссия выполнена.
avatar
Артем, думаю, вы не правы и вам следует извиниться перед Евгением, негоже на пустом месте делать такие обвинения. Все взломы, которые произошли в последнее время, включая и мои сайты, произошли исключительно по вине тех, кто занимается поддержкой этих сайтов и не обновил вовремя движки. Посмотрите, кругом речь идет о версиях начиная с 1.0.6. А вот вам информация о всех дырках MODX, причем, заметьте, все подробно и в свободном доступе. Какой смысл взломщикам отслеживать блогера, когда и так все выложено на блюдечке? А сайтов на старом движке до сих пор в сотни или тысячи раз больше чем на последней версии.
avatar
Теоретически, исправлять ошибки, конечно, нужно. Практически, массовый взлом через ForgotManager начался после соответствующих публикаций. То же самое с index-ajax. Если сейчас Agel_Nash напишет подробно про взлом через eform или дитто, через неделю будут взломаны тысячи сайтов, которые до этого благополучно работали годами. То есть все эти исправления-улучшения по факту усложняют жизнь.
avatar
Любой прогресс так или иначе связан с ломкой старого :)
Но почему вы не допускаете и другой вариант, что как только появляется сообщение о взломе, люди начинают более пристально проверять свои сайты и многие находят посторонние файлы. Но спросите их, когда они в последний раз это делали? Вот таким образом и создается массовость, но реально отследить дату взлома не всегда представляется возможным. И сколько еще тех, кто не проверял или просто не знает как это делать?
avatar
А сколько тех заказчиков, кто просто откажется от modx в пользу joomla и никакие доводы что там еще дырявее не воспримет? Этот аспект не учитываете? :))
avatar
Когда лет 10 назад я работал продавцом в компьютерном магазине, мне объяснили такую вещь:
если я не могу продать ту технику, которую хочу, то значит я плохо рассказывал о минусах той техники, которую я не хочу продавать. Если после покупки клиент остается недоволен — значит во время продажи вы у него не сняли всех сомнений. Учитесь работать с возражениями!
В вашем случае я могу порекомендовать только одно — забить на клиентов которые вам не доверяют. Если они выбрали вас и движок с которым вы работаете — значит они должны вам доверять. Если же клиент у вас спрашивает почему не Joomla, вы должны быть способны адекватно ответить почему. Если же клиент сам решает выбрать Joomla — то вам должно быть побоку. Послушайте мое интервью для Владимира Камуза. Я там рассказываю как именно я пришел к MODX — это было осознанный и длительный выбор. Выбор думающего программиста, а заказчик как правило ничего не смыслит в программировании. Так чего он тут надумать/навыбирать может? Это равносильно тому, что вы придете к нему в магазин и начнете говорить как расставить прилавки и в какой цвет перекрасить логотип. При чем говорить это не с точки зрения психологии/маркетинга, а с точки зрения вашего личного восприятия.
avatar
взломаны тысячи сайтов, которые до этого благополучно работали годами. То есть все эти исправления-улучшения по факту усложняют жизнь.
Как когда-то сказал Игорь (автор http://modx.ru), MODX это неуловимый ДЖО. Но если бренд MODX (я не говорю сейчас конкретно про Evo, т.к. топики у меня и про Revo бывали) выходит на новый уровень. То может быть он уже перестал быть этим самым ДЖО и дело далеко не в моих топиках? Или все тут присутствующие согласны с тем, что MODX крут только лично для них, но не для окружающих?
avatar
И все-таки, насколько безопасен/не безопасен, дыряв/надежен REVO SHK?
avatar
Согласен с Temus .
Одно дело — ввел в гугл «взлом modx» и сразу получил инструкцию, а другое дело — ковыряться в тысячах коммитов отслеживая цепочки по ликвидации каких-то дыр (о которых еще надо сначала узнать). Это абсолютно разные трудозатраты и второй способ значительно менее эффективен (а значит и значительно менее распространен), особенно с точки зрения массового использования.
avatar
Могу сказать однозначно — в моем случае MODX взламывался скорее всего не целенаправлено и не факт что это произошло именно через те уязвимости, про которые можно найти в гугле. Это только ваши домыслы. Но виновного вам это почему-то не мешает назначить :) Ну обидите вы человека своими нападками, вам легче от этого станет? Или взламывать будут меньше?
Дырка известная всем перестает быть дыркой. Дырка про которую знают единицы — бесценна для взломщика.
avatar
Умалчивание о найденных уязвимостях приносит больший вред, чем огласка. Тот кто этого не понимает, не видит дальше своего носа.
avatar
Никто вроде никого не обижал и не собирался. Или теперь любое высказывание собственного мнения которое отличается от мнения кого-то другого будем считать «обидным»? :)))

А для обсуждения закрытия дырок есть другие места. Или вы думаете что эти дырки сами закроются по мере их обнаружения, а не разработчиками? А если закрыть их могут только разработчики, то зачем про это сильно распространяться перед «васей-петей-димой», которые к ним все равно отношения не имели и иметь не будут?
А уж говорить об этих дырках на виду у потенциальных заказчиков (которые при выборе системы модх входят в гугл, вводят фразу «модх безопасность» и видят кучу сообщений о «дырках» не вдаваясь в подробности версий и того, что эти «дырки» уже закрыты") — это прямой путь к потере таких заказчиков.

В общем, ваша логика мне не очень понятна, как и тяга кого-то защитить от придуманных вами же якобы «обид».
Комментарий отредактирован 2014-08-10 20:56:00 пользователем webber
avatar
Я не придумывал «обид», я допустил возможность, что некоторые фразы могут быть обидными, не передергивайте :) Ничего личного, простой обмен мнениями.
avatar
А если закрыть их могут только разработчики
А если даже сами разработчики в этом не видят ничего критичного?
avatar
Вообще-то, о дырявости движках судят по массовым источникам типа http://www.securityfocus.com/ или http://www.exploit-db.com/. А крупные движки сами шлют багрепорты на SecurityFocus.

Получается интересная штука: информация об уязвимостях в движках, которые не строят свой пиар на безопасности находится в одном месте и никому в голову не приходит записывать туториалы, т.к. и так понятно, что бага есть. В то время, как MODX (а именно разработчики) активно отказываются воспринимать багрепорты (не сочтите меня голословным, но факт есть факт. Несколько моих багрепортов подряд активно игнорят или еще неприятнее — вообще выдают за багрепорты других людей).

Да, мои посты попортили кому-то жизнь, т.к. их сайт повзламывали. Но именно после этих постов и начинались массовые взломы, затем багрепорты от сторонних людей и как следствие — фиксы. Или вы действительно считаете, что, лучше было бы, если бы очевидные баги оставались в ядре, а разработчики бы и дальше гнули пальцы?

Вы меня хоть трижды сделайте крайним, я все равно считаю, что поступил правильно, т.к. можно именно после моих действий хоть кто-то начал думать про безопасность работая с этим движком. А вообще, если окунуться в историю (тут могут вспомнить только человека 3-4 с нашего сообщества), у меня с Безумкиным когда-то был спор, что в xPDO есть sql-injection. И что? Бага нашлась, хотя меня активно называли дуралеем, минусовали и ржали, что PDO + SQL-injection — вещьи не совместимые. А то, что PDO и xPDO вещи разные — никто даже и думать не хотел. Точно так же было и про весь движок в целом. Тут думали глобально про 2 баги: Sql-injection и XSS. А по факту что получили? Eval и LFI. Вот и думайте стоило мне поднимать бучу и привлекать внимание общественности к этому вопросу или нет.

А если серьезно и меркантильно подходить к вопросу, то почему я должен бесплатно и анонимного кому-то что-то делать? Разработчики MODX пиарят свое имя. За багрепорты и PR говорят спасибо. Но когда в один прекрасный момент тебе разработчики в Skype пишут такое:
JC: dude
JC: go fuck yourself
JC: you want a war
JC: I'll give you one

при чем через пару дней после твоего же критичного багрепорта на который поступил ответ в стиле «это не критично». При чем такой ответ я получаю каждый раз после свое багрепорта! ПОЧЕМУ? ПОЧЕМУ БЛЯДЬ я должен работать еще с этим движком и любить его? Помогать делать его лучше? Нахуя мне это нужно?

Опять вспомним историю и запрос «взлом MODx». Находим видео. Это видео было снято с разрешения того же самого безумкина в ответ на на один из первых моих багрепортов, чтобы показать степень критичности самим разработчикам. Почему не YouTube? Ответ прост! За одно из моих видео в таком же стиле на мой аккаунт наложили санкции из-за того, что какой-то даун посчитал, что видео доступное по ссылке может нанести вред окружающим. ИМХО ребят, все мои публичные посты о багах это лишь призыв смотреть шире.
avatar
К этому всему могу добавить, что отношение авторов MODX к пользователям их системы уже давно вызывает массу вопросов.

На данный момент лично я просто перестал с ними общаться — незачем. Есть глюк — ищу способ как его обойти своими силами. Не могу — тогда шлю PR на GitHub, и может быть, когда-нибудь, его кто-то добавит в код, на что я не сильно надеюсь.

Раньше, насколько я знаю, про все уязвимости Евгений сообщал сначала в MODX LLC, а в публичный доступ они попадали только после ответов «это не уязвимость». Если бы отношение было другим — были бы своевременные заплатки, а не демонстрации взлома рабочих сайтов. Кстати говоря, своими глазами я видел как эти «не уязвимости» работали и на modx.com.

На мой взгляд, за такую работу нужно премии давать, а не писать гадости в Skype.
avatar
Прочитал все комменты и хочется добавить следующее. Считаю, что именно благодаря статьям, в которых рассказывается о тех или иных дырах и разжёвывается откуда и что взялось люди (кому это надо) становятся образованнее и это ведёт к повышению общего уровня безопасности, а не к «тысячи сайтов взломали после публикации». Жить в незнании не значит жить в безопасности. Говорить, что если б не публикации!!!, это все равно, что утверждать закрыв глаза, будто ты невидимка, раз сам не видишь людей вокруг. Взломы сайтов не вина школо-хакеров, которые сделали всё по статье — они так же образовываются. Это вина ленивых людей, которые не следят за актуальностью ПО. Я сам очень ленив и если бы не статьи говорящие об уязвимостях, которые являются катализатором, я бы и дальше даже не думал что-то изучать и развиваться и в итоге, 14-летний школьник будет знать больше меня, а моя ценность как специалиста просто упадёт до 0!
Ну и как итог… чем больше гласности, тем быстрее закрываются дыры и тем больше знаний приобретают люди, что соответственно рано или поздно приведёт к тому, что дыр практически не останется.
avatar
рано или поздно приведёт к тому, что дыр практически не останется
вебу уже много лет, а дыр все только больше ))
Взломы сайтов не вина школо-хакеров, которые сделали всё по статье — они так же образовываются
Еще как вина, еще как УК (тут ваша страна) =)

И по поводу мифов:
Правда, что зам миф про школо-хакеров? Типо сайты ломают только школьники, а получив пинка от школы и завершив учебу — становятся на путь истинный? ))

И вопрос по делу: что делать с расширениями, которые уже давно не разрабатываются их авторами, а используются они повсеместно и тут находится уязвимость в их коде. Патча можно не ждать, написал почему, но уязвимость уже всем известна, а владельцы сайтов знать не знают об этом, чтобы нанять программиста для закрытия дырки. Как быть в таком случае? И что здесь: больше вреда или пользы от публикации уязвимости?
avatar
что делать с расширениями, которые уже давно не разрабатываются их авторами
выявлять, исправлять, выкладывать в паблик.
avatar
всегда бы так
но проблемы остаются и я уже написал в предыдущем коменте почему
avatar
Учитесь продавать доп услугу: поддержка и сопровождение сайта в которое входит своевременное обновление движка.
avatar
дык, этому нужно всем учиться…
avatar
Если бы мне, как заказчику предлагали такую услугу, то послал бы вместе с движком: Понимете, движок дырявый и я буду приходить к вам и за деньги ставить заплатки. В целом это беда всех бесплатных движков.
avatar
О том и разговор. Все эти призывы к обновлению/обслуживанию — на 90% не более чем фантастические расказы о том, что «неплохо было бы, если бы..». С рассказами о том, что «движок дырявый и я его буду чинить за ваши деньги» чаще всего будешь заказчиком послан. С другой стороны — сломают — начнет заказчик ныть, что ему бесплатно должны чинить, раз такой движок поставили дырявый (мол надо было ставить другой, чего мы подсунули и так далее).

А вот наличие готовых рецептов взлома в открытом доступе — это прямой призыв к любому начинающему «хакеру» — «пойди, взломай, поржем вместе» ))
avatar
Само существование дыр есть призыв пойти и поржать вместе. Конечно, плохо, что хакер может узнать о дырах. Но еще хуже если я буду сидеть с иллюзией безопасности, ящитаю. Дырку можно и самому аккуратно прикрыть.
В формулировке «движек дырявый» конечно заказчик пошлет нахер. Но на сколько она корректна? Разве в платных движках не находят дырки и им не требуется обновление? С тем, что modx дыряв можно поспорить. Ведь известные дырки закрываются, по крайней мере Дмитрием на Эво.
sql-инъекции от Борисова таки да, перевернули для меня небо-землю. Я считал, что «PDO + SQL-injection — вещьи не совместимые». Инфа о том, что он в ссоре с разработчиками модх и что его багрепорты не принимаются эт тоже переворот. Неприятно.
Но я все ж таки еще раз спрошу. Разве в платных движках не находят дырки и им не требуется обновление? Или находят реже и их секретят?
Комментарий отредактирован 2014-08-12 10:36:27 пользователем MisterN
avatar
С рассказами о том, что «движок дырявый и я его буду чинить за ваши деньги» чаще всего будешь заказчиком послан. С другой стороны — сломают — начнет заказчик ныть, что ему бесплатно должны чинить, раз такой движок поставили дырявый (мол надо было ставить другой, чего мы подсунули и так далее).
Вас так послушаешь и начинаешь думать, что все клиенты сплошные нытики которым важно качество кода и безопасность. Конечно, если клиенту объяснять, что его сайт дыряв и нужно обновляться за деньги, то возникает куча вопросов. Но когда клиенту объясняют, что в движке найдена уязвимость и желательно бы обновиться. А это ваше время как программиста. То вопросов быть не должно.

Более того, уязвимость в движке — это не недоработка конечного программиста, который реализовывал нужный функционал на сайте. Сколько таких случаев было, когда какой-нибудь производитель выпускал партию телефонов с бракованной прошивкой. Что быть тем, кто уже успел купить? Обновляться самостоятельно, т.к. ПО не попадает под гарантийное обслуживание.

Развиваем ситуацию дальше. Что такое сайт под ключ у большинства веб-студий?
  • Дизайн
  • Верстка
  • Проверка корректности отображения в браузерах
  • Программирование
  • Тестирование функциональности
  • Копирайтинг
  • Наполнение сайта
А вот теперь вам, и многим другим, согласным с вашей позицией вопросы, после которых бред про заказчиков которые отказываются от какой-то CMS из-за каких-то топиков в которых рассказывается про какие-то уязвимости, лично я буду пропускать мимо ушей, если конечно оратор не делает визитки из 3-4 страниц за 1000$

  • В течении какого периода после сдачи проекта разработчик обязуется фиксить баги пропущенные во время тестирования?
  • Клиенту важно удобство админки или все-таки безопасность?
  • Где в этапах разработки «Аудит безопасности»?
  • Кто-то вообще заказывает «Аудит безопасности» дополнительно у сторонних подрядчиков, если так заморачивается про безопасность?

А теперь откройте хабр:
Если я сайт сделал на WordPress неделю назад — я должен его на халяву обновлять? А если пол года/год/два? Популярность этих движков вообще хоть снизилась из-за этих уязвимостей?

А вот наличие готовых рецептов взлома в открытом доступе — это прямой призыв к любому начинающему «хакеру» — «пойди, взломай, поржем вместе» ))
Есть руководства как нужно писать код, а есть руководства как код писать нельзя. Если человек посты с описанием уязвимостей воспринимает как руководство к действию, то я думаю этот человек понимает что УК РФ тоже действует. При чем как правило, показательную порку «хакеров» устраивают именно с новичками, т.к. более матерых сложнее вычислить.

У меня еще много мыслей есть по этому поводу. Но на мой взгляд вы мыслите однобоко и далеко не как менеджер. Но при всем при этом размышляете на темы менеджмента: «двиг уязвим — я теряю клиентов» или же «Двиг уязвим — меня наеХал программист». Попробуйте думать так: «Двиг уязвим — на этом можно заработать» или же «Двиг уязвим — нужно проконсультироваться как максимально обезопасить себя от взломов». Подумайте на досуге об этом.

Уже хотел заканчивать, но все-таки добавлю. Большинство клиентов вообще не просматривают блоги и форумы для программистов/разработчиков. И уж тем более не мониторят сайты типа http://www.securityfocus.com/. От куда им вообще узнавать про уязвимости и необходимость обновляться, кроме как не от конкретного разработчика? И это при всем при том, что кидисы зарабатывающие на взломах мониторят эти сайты регулярно! Вот вы, как программист часто мониторите дырки/фиксы дырок в движках с которыми работаете? Как оперативно вы узнаете о багах и принимаете решение, что нужно срочно обновляться? Так что вы еще должны спасибо говорить тем людям, которые на каждом углу кричат про критическую уязвимость. А не сидеть в танке боясь спугнуть клиента своей некачественной работой. Или быть может она на самом деле не качественная и есть чего бояться, при чем далеко не из-за дырявого движка на котором работает сайт?

P.S. Без обид, в конце был риторический вопрос.
avatar
Боюсь, что это очередная порция фантастики из разряда «если бы да ка бы». А в реале будет вот так — пользователь зайдет на гугл (понятно что на хакерские форумы да даже на хабру зайдет 1-2% всего) и увидит там вот это

Ну а после этого ты и я как производители сайтов на modx никогда и не узнаем, что был такой вот «потенциальный заказчик». Так что все допущения что заказчику можно что-то умно объяснить так и останутся допущениями на случай, если данный заказчик обратиться лично. А вот вероятность этого с каждым подобным публичным обсуждением — снижается :)))
avatar
Либо вам не хватает заказов, либо вы сами ведете беседу из разряда «Якобы да кабы».
Комментарий отредактирован 2014-08-12 12:56:11 пользователем Agel_Nash
avatar
Либо вам не хватает заказов, либо вы сами ведете беседу из разряда «Якобы да кабы»

это ж какую длинную и затейливую логическую цепочку нужно было построить, чтоб из темы про взлом сайта и разных мнений о причинах этих взломов прийти к таким глубоким выводам относительно меня :))))
avatar
Ну наконец-то все прояснилось, GOOGLE — вот главная причина того, что MODX взламывают, а клиенты не заказывают сайты :)
avatar
типТоп, на сайтах я б не останавливался. Грабежи квартир, банков, музеев, падение самолетов и поездов… Все это из-за гуглА. Ну действительно, не смотря на охрану грабежи происходят и ни кто не отказывается от покупки техники, когда узнает, что для профилактики аварий ей нужно тех. обслуживания.
А вообще, я скоро буду топать ногами и звать модераторов. Как автор темы, я хотел бы, чтобы здесь обсуждались совсем другие вопросы.
Например, преимущества платных движков над бесплатными, если они есть.
Мы решили перейти таки на рево и у меня таки мучения что выбрать. Вроде как интересно попробовать магаз Наумкина и у магазина очень не популярного здесь амбасодора свои привлекательные моменты. А с другой стороны, проще всего перейти на SHK. Большую помощь в этом мне бы оказал совет
И все-таки, насколько безопасен/не безопасен, дыряв/надежен REVO SHK?
Ну и мне также хотелось бы, чтобы здесь обсуждались методы профилактики взломов, скидывали прайсы спецов по аудиты безопасности и все такое.
Но холивар «кто во всем виноват» я воспринимаю, как злосный и главное не нравящейся мене оффтоп.
Комментарий отредактирован 2014-08-12 16:44:31 пользователем MisterN
avatar
так не я начал тему поиска козлов отпущения и мне тоже не нравится, что некоторые товарищчи на этом зациклились, так что я полностью вас в этом поддерживаю.
Комментарий отредактирован 2014-08-13 05:45:58 пользователем tiptop
avatar
рано или поздно приведёт к тому, что дыр практически не останется
Да, да, почти 2000 файлов в движке и дыр не останется.
avatar
Их не останется, если не развивать ядро. Так что не нужно себя питать какими-то иллюзиями. В конце концов, большинство взломов делаются не через конкретное ядро движка, а через дырявые дополнения. Так что проверять нужно всегда и все.
avatar
Кстати, тут в сообществе есть простой но замечательный по своей идее плагин, который как-то не нашел широкого отклика, вернее вообще никакого отклика не нашел. А ведь борьбу с «вирусами» надо начинать с пропаганды «здорового образа жизни». Вот почему бы не вшить такое предупреждение сразу в ядро?
avatar
это да
почему бы не вшить такое предупреждение сразу в ядро
вроде как планируется в новых версиях или уже в диминой сборке есть
еще бы здорово было сообщать о новых обновлениях расширений установленных на сайте. Но вроде как модуль Extras от bumkaka , проверяет версии
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.