В сети выявлена (https://blog.malwarebytes.com/threat-analysis/2018/09/mass-w.../) автоматизированная массовая атака, поражающая сайты на базе системы управления контентом WordPress, которая используется (https://www.opennet.ru/opennews/art.shtml?num=48207) примерно на 30% из десяти миллионов крупнейших сайтов. В ходе атаки поражаются сайты с необновлённым движком, при этом в ходе вредоносной активности эксплуатируются различные ранее исправленные уязвимости, как в самом движке WordPress, так и в плагинах к нему.В ходе атаки в JavaScript-файлы c разрешением .js, в php-файлы с темами и плагинами WordPress, а также в записи из таблицы wp_posts в БД WordPress осуществляется (https://stackoverflow.com/questions/52282559/how-to-delete-s...) подстановка (http://labs.sucuri.net/?note=2018-09-18) вредоносной вставки. Код подставляется как в открытом виде, так и форме вызова "eval(String.fromCharCode(....))" с хаотичным набором цифр. При выполнении данного блока на выходе выдаётся код загрузки скрипта (ad.js, main.js, stat.js или mp3.js) с сайтов ads.voipnewswire.net, examhome.net, cdn.allyouwant.online, uustoughtonma.org, ejyoklygase.tk или mp3menu.org. Всем пользователям WordPress рекомендуется убедиться, что движок сайта и установленные плагины обновлены до самой свежей версии.
Зафиксировано несколько проявлений вредоносной активности, наиболее заметными из которых является перенаправление пришедшего на сайт пользователя на сторонние мошеннические ресурсы, например, на страницы фиктивных сообщений о выявлении вируса от технической поддержки, пытающиеся вынудить пользователя установить троянскую программу, позвонить по телефону или указать параметры своей учётной записи.В том числе на мошеннических страницах используются манипуляции (https://bugs.chromium.org/p/chromium/issues/detail?id=880863) к кусором, мешающие закрыть вкладку. Подобная техника применяется для симуляции блокировки.
URL: https://blog.malwarebytes.com/threat-analysis/2018/09/mass-w.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49318
приехали
А что - "приехали"?
Извечная гонка пушек и брони...
Вордпресс всегда был дырявым гoвном. Почти как адобе флеш.
Хоть и дырявый,но один из лучших cms систем. Joomla так ещё более дырявая и неудобная.
Капельку ты не щупал, я так понимаю...
Про Drupalgeddon напомнить? Тысячи сайтов были взломаны. Wordpress хоть ещё автоматически обновляться умеет, ну или частично вручную - в админке на кнопку нажать. А Друпал? Это тот ещё гемор, да и не факт, что после обновления чего не отвалится. Всегда была интрига.Жить стало лучше и веселее, когда ушли с этих чудес говнокодинга на php и вообще c php.
Дрюпал тоже донный, страшная весчь...
Орнул с тебя. Архитектура wordpress, прям самая лучшая, ага) Это тот случай, когда можно любое говно вывести в топы, если есть деньги на маркетинг. Пипл схавает, потом будет больно, но это уже их проблемы)
Лучше бы они деньги не в пиар вложили, а в своё чудо г0внокодинга.
Действительно, приехали. Реклама malwarebytes на opennetе.
>WordPressЭто происходит регулярно и на новость не катит. С тем же успехом можно сообщать о наступлении очередного календарного месяца.
> движок сайта и установленные плагины обновлены до самой свежей версииДоооо... Сайт, сделанный на коленке студентом за еду N лет назад, бухша исправно оплачивает хостинг, продажник по отработанной схеме загружает свежий прайс - кому оно надо, что-то там обновлять?
Пусть хостинг обновляет. За что ему бухгалтер 100р платит?
Ты и такой сайт не сделаешь, пойдешь на юкозе регаться.
я пытался там зарегаться, но не смог отгадать капчу.
пришлось наляпать на вротпрессе. Извините, как умел.
Разве хостинг на должен следить чтобы у пользователей была версия wordpress без уязвимостей? И справлять все уязвимости
А также править код всех кастомизаций и плагинов, ну и кофе варить тоже хостинг обязан :)
Не зря я пилил свой движок для блогов. Теперь и продаю почти готовое, только для каждого клиента слегка переделываю, и мамкины кулхацкеры не страшны.
Ну это эффект Неуловимого Джо, сам понимаешь. Хотя с другой стороны, если у тебя и кодовая база меньше - то и вероятность подобных дыр меньше.
+1
у самих корп. сайт на собственном двигле. Лично просил подчинённых не использовать всякое дерьмо и пилить с 0.
"
- А я сделал свой автомобиль!!!
- Круто! У него как на феррари сиденья?
- Нет. У меня был когда то велосипед от него кой-чего осталось...
- Ну, у него как на Ламборгини аэродинамика?
- Нет. Лобового стекла вообще нет...
- Ну, у него там хромо-ванадиевый композит на ребрах жесткости?
- Неа, я там веревочкой подвязал и фанеркой щели заделал...
- Нахрен ты вообще это делал?
- Ну, у меня есть собственный автомобиль...
"
Кто-то умеет делать автомобили, кто-то нет.
Пилить свой движок это компромис. От мамкиных хакиров, которые только в готовый сплоит тыкать могут- защитит лучше. Но если вдруг кто то задастся целью взломать именно твой сайт- имхо, найдут и посерьезнее дыры, чем в wp.
А если не найдут?
А сколько монсеньор заплатит за найденную дыру?
Это называется security through obscurity. Типа, изобрету свой собственный велосипед и никто его устройство не угадает. Но практика показывает, что в конечном счёте это плохая стратегия. Угадывают. Был бы спрос.
Все сайте на Ruby/Python: 0 уязвимостей, быстрый старт. Накой эта дырявая пыха нужна? Ещё и WP-помоечка.
Хр, тьфу.
0 уязвимостей,т.к. не популярны. А вообще какие есть cms на руби и питоне?
Руби хз, на бидоне - Зопа, Плон, ещё там какая-то синяя рыба, все на джанге. Это если чесно-спортивно, без гугленья.
Хы, зопа (Ballerus ballerus) это и есть синий лещ (blue bream). Давно смотрел...
На руби довольно интересно смотрится вражеский camaleon cms и наш, родной apiq.io. А так же есть очень много проектов, которые делали, но бросали. Вообще тема cms на руби непопулярна. Считается, что разработчик сам себе напишет.
Cgi не безопасен по умолчанию . о каком нуле вы говорите
Ну давай поведай что небезопасно? Может пыха?
Мои сайты крутятся уже не один год, не один раз попадали под ддос, но взлому никогда не подвергались.
Мой hello world на apsx что крутится в IIS тоже никто не взломал за 10 лет что крутится у меня на локалхосте. привет.
Жизнь абсолютно не безопасна. 100% из тех, кто жили, померли!
"30% из десяти миллионов крупнейших сайтов" (с)а что на вашем ненужном крутится в таких масштабах?
Дело не в пыхе, пейтоне или руби. Дело в том, кто и как их использует. В пыхе уровень вхождения ниже, язык популярнее, г**но-кодеров больше. Из за этого создается впечатление, что виноват ЯП, но это не так.
Не совсем. Там, где другой язык ругнётся и вылетит (при сравнении тёплого с мягким), пых несмотря ни на что выдаст какой-то результат.
Какие кодеры, такой и результат.
Раз ты такой умный, включи и заставь их исправить все.display_errors = On
error_reporting = E_ALL | E_STRICT
display_startup_errors = On
track_errors = On
>при сравнении тёплого с мягкими в python и в php динамическая типизация допускающее сравнение теплого с мягким.
в php хотя бы есть статическая типизация для параметров функций, методов и их результата.
>>при сравнении тёплого с мягким
> и в python и в php динамическая типизация допускающее сравнение теплого с мягким.Внимане, сюрприз:
cat test.c && gcc -Wall -Wextra test.c -o tst && ./tst
#include <stdio.h>
#include <stdbool.h>
int main(void) {
printf("Hello, World!" + 'a' - 97 + true);
return 0;
}
ello, World!% python -c "print('Hello, World!' + 'a' - 97 + true)"
Traceback (most recent call last):
File "<string>", line 1, in <module>
TypeError: unsupported operand type(s) for -: 'str' and 'int'% python -c "print('97' + True)"
Traceback (most recent call last):
File "<string>", line 1, in <module>
TypeError: cannot concatenate 'str' and 'bool' objects
Слабая типизация != динамическая типизация
Сильная типизация != статическая типизацияВаш КО
"Strongly typed" and "weakly typed" are terms that have no widely agreed-upon technical meaning. Terms that do have a well-defined meaning areDynamically typed means that types are attached to values at run time, and an attempt to mix values of different types may cause a "run-time type error". For example, if in Scheme you attempt to add one to true by writing (+ 1 #t) this will cause an error. You encounter the error only if you attempt to execute the offending code.
Statically typed means that types are checked at compile time, and a program that does not have a static type is rejected by the compiler. For example, if in ML you attempt to add one to true by writing 1 + true, the program will be rejected with a (probably cryptic) error message. You always get the error even if the code might never be executed.
Different people prefer different systems according in part to how much they value flexibility and how much they worry about run-time errors.
Sometimes "strongly typed" is used loosely to mean "statically typed", and "weakly typed" is used incorrectly to mean "dynamically typed". A better use for the term "strongly typed" is that "you cannot work around or subvert the type system", whereas "weakly typed" means "there are loopholes in the type system". Perversely, most languages with static type systems have loopholes, while many languages with dynamic type systems have no loopholes.
None of these terms are connected in any way with the number of implicit conversions available in a language.
If you want to talk precisely about programming languages, it is best to avoid the terms "strongly typed" and "weakly typed". I would say that C is a language that is statically typed but that has a lot of loopholes. One loophole is that you can freely cast any pointer type to any other pointer type. You can also create a loophole between any two types of your choice by declaring a C union that has two members, one for each of the types in question.
> "Strongly typed" and "weakly typed" are terms that have no widely agreed-uponФормально - да, неформально оно давно используется.
Подразумевается (при более-менее грамотном употреблении) под этим что-то типа "strong type checking" и соотв. "weak type checking". Естественно, детали спорны (но это много где так - та же "классика" типа "0 ∈ ℕ или все же 0 ∉ ℕ?").
Возможно, лучше было переводить как "(не)строгая проверка типа", а не банальной калькой.> https://stackoverflow.com/a/430414/8238971
Предпочтитаю таки учебные заведения в качестве источников ;)
https://cseweb.ucsd.edu/~wgg/CSE131B/oberon2.htm
> static typing with strong type checkinghttp://www.ocp.inf.ethz.ch/wiki/Documentation/Oberon ()
> Active Oberon Language
> strong-typedhttps://www.cs.colorado.edu/~bec/courses/csci3155-s12/readin...
Definition: Strong type checking prevents all type errors from happening. The
checking may happen at compile time or at run time or partly at compile time and
partly at run time.
Definition: A strongly-typed language is one that uses strong type checking.
Definition: Weak type checking does not prevent type errors from happening.
Definition: A weakly-typed language is one that uses weak type checking.
> Предпочтитаю таки учебные заведения в качестве источников ;)Ну, чел, который это пишет, тоже не хрeн с горы. Вот его страничка на сайте учебного заведения, если вам так предпочтительно :) https://www.cs.tufts.edu/~nr/
> Все сайте на Ruby/Python: 0 уязвимостей, быстрый старт. Накой эта дырявая пыха нужна? Ещё и WP-помоечка.
> Хр, тьфу.Во-первых, пиши хоть на Баше
Во-вторых, быстрый старт обеспечивает не язык, а веб-сервер и реализация запуска языка
В-третьих, на данный момент существуют десятки тысяч плагинов на любой вкус. Статистика, видеоплееры, интернет-коммерция, да все короче. Такое разнообразие существует потому что пых легкий, а ЦМС простая и с более-менее вменяемым API. Когда у твоего Руби\Питона будет столько же пользователей, инстансов и плагинов - он будет таким же дырявым как и пыха\WP ;)
Это пыха дырявая? А питон с руби что лучше? А ничего, что у них всех одна огромная дыра - гребаный nodejs.
Все обленились. Сейчас какой веб проект, на каком языке не скачай, хоть на go, там будет этот сраный nodejs. Что там внутри, какое качество кода? Все плевать. Зато удобно, само понакачает 100500 зависимостей, на пару Гб, и сайт сразу станет красивым.
Даже ПыхаПе прогеры осознают что пыха дырявая.P.S. ПыхаПе прогер со стажем 9 лет.
"nodejs дыра в php, python, ruby"
Вы видимо забыли принять выписанные психиатром таблетки.
>В том числе на мошеннических страницах используются манипуляции к кусором, мешающие закрыть вкладку. Подобная техника применяется для симуляции блокировки.Хромопроблемы.
Не только, в ФФ тоже есть.
Выключается так - dom.pointer-lock.enabled;false
full-screen-api.pointer-lock.enabled;false (на всякий случай).Вообще контроль над курсором в Вэбе...кто до этого мог додуматься? А потом зато разработчики обсуждают не опасно ли реализовывать WebMIDI, дескать там хз какие команды можно передать, это угроза, а манипуляции курсосром - неет.
Grav, php flat cms, медуза выкатывает и вовсе статику. Дудось сколько хочешь.
Щас же досят канал, а не логику сайта.
Совсем мамкины хацкеры разленились.
Дудось КлоудФлар там много канала.
КлоудФлейр злой, там непробиваемая капча.
ВротПрессеров не жалко, да и вообще все CMS'ников, сами выбрали бутылку, надо было заказывать индивидуальный проект, или следить за актуальным и регулярно обновлять.
Покажи как надо, подай пример всем!
Если нормальная защита стоит и настроено все нормально, то все будет Ок. Хотя обращаться по чистке уже начали, волна идет.
Никогда такого не было и вот опять ( с )
Можно и не обновляться если более жестко настроить права на файлы и папки, а за одно бэкапиться через сервис https://go.backupland.com там делается проверка на вирусы и на почту мне приходят очеты какие файлы изменились, какие удалились, какие новые появились в итоге если и хакнут, я вовремя об этом узнаю, а во вторых могу из бэкапа восстановить все файлы.Но по умному надо обновляться и всё равно делать бэкапы:)
А разве не непрерывно происходят массовые атаки на дырявые вродпрессы?