В сети зафиксировано (http://blog.armorize.com/2011/07/willysycom-mass-injection-o...) массовое поражение интернет-магазинов, построенных на базе свободной платформы osCommerce (http://www.oscommerce.com/). События развиваются достаточно интенсивно, если 24 июля используя Google было выявлено около 90 тысяч страниц, содержащих вредоносные вставки, то 31 июля пораженных страниц было уже 3.8 миллиона, а 3 августа - 6.3 миллионов.
В процессе атаки эксплуатируется сразу несколько уязвимостей в различных выпусках osCommerce, позволяющих злоумышленнику внедрить свой JavaScript-код на страницы. В настоящий момент огромное число интернет магазинов продолжает оставаться на старых версиях платформы, но проблема касается не только их, например, среди используемых проблем безопасности упомянуты найденные 14 мая и 10 июля уязвимости, проявляющиеся в последней (http://www.oscommerce.com/solutions/download) стабильной версии 2.3.1. Кроме того, в процессе атаки эксплуатируются еще как ми...URL: http://blog.armorize.com/2011/07/willysycom-mass-injection-o...
Новость: http://www.opennet.ru/opennews/art.shtml?num=31377
Хм-м-м...
А если во входные двери магазинов не врезать замки и не ставить охрану - их тоже будут грабить...
А ещё можно (для удобства) Apache от root запускать... Это - тоже "уязвимость"?
Тут же программные уязвимости еще из плагинов пришедшие. Поди проконтролируй все состояния системы. Это как если бы в замок для магазина была бы по ошибке заложена особенность конструкции, которая его легко открывает. Здесь спасет регулярное централизованное обновление плагинов.
От "онодолжносамо головного мозга" лечиться нужно. Я именно это имел в виду.
Сколько ни обновляйся, сколько ни вкладывай в "системы безопасности", и прочие "заумности", а в отсутствии здравого смысла более-менее приемлемого уровня безопасности не достичь.
да, не достичь щас, но скоро вычеслить окажется с пол пина атаки и любой который может их сделать (таких останется единицы) не станет средства на всякие commercы на wp расходывать, пока сеть такая то конечно это продолжается, все зависит от мощностей процессора, покашто их не хвтает для глобальных проектов
Ух, ты! А без пробелов можешь?
А по делу - никакие мощности не спасут от раздолбайства и безграмотности.
Мощности не спасут, а предусмотрительность программистов системы - может.
Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с предметом.
Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов, но при этом надежна.
> Мощности не спасут, а предусмотрительность программистов системы - может.
> Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в
> реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с
> предметом.
> Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов,
> но при этом надежна.Очень надёжна, да :) Видел я, как инкассатор в одиночку обходит крупный торговый центр и возвращается с собранными деньгами в машину.
Описанная вами ситуация сложилась по причине каких-то личных недостатков этого конкретного инкассатора?
> Описанная вами ситуация сложилась по причине каких-то личных недостатков этого конкретного
> инкассатора?Маловероятно. Скорее всего это сверхнадёжный регламент - ходить поодиночке с крупной суммой денег по территории с большим количеством людей и выходов. Притом, что рядом крупные транспортные магистрали, остановки общественного транспорта и минутах 20-30 неторопливого движения(если нет пробок) - выезд из города. Ну район спальный, что тоже способствует.
Ловля на живца ;)
> Ловля на живца ;)Хороший живец, жирный :) Представляю, какая выручка по всем магазинчикам в этом ТЦ за день. Иногда я даже жалею, что я такой законопослушный и правильный.
Прикинь потенциальную выгоду от простого, но очень эффективного JavaScript'а, который отправляет введённые в форму данные о кредитной карте куда-то там, где их аккуратно складывают и используют со злым умыслом. Все эти «единицы», которые такие атаки смогут проворачивать будут именно «на всякие commercы» свои средства «расходывать».И прекрати прогуливать уроки русского языка в школе.
> А если во входные двери магазинов не врезать замки и не ставить
> охрану - их тоже будут грабить...А это при чем ? Дыра в последнем стабильном релизе osCommerce. По вашей логике, любой интернет-магазин это магазин без замков, так как там потенциально могут быть уязвимости.
> А это при чем ? Дыра в последнем стабильном релизе osCommerce. По
> вашей логике, любой интернет-магазин это магазин без замков, так как там
> потенциально могут быть уязвимости.Значит, я не достаточно ясно выразился.
"Искаропки" софт настроен так, чтобы "запустился, и - работает". Без учёта всевозможных "индивидуальностей окружения". Настройка софта "под эксплуатацию" - это как раз и есть работа системных администраторов.
Все попытки сделать "универсальные настройки" приводили к MS-way.
Любой шаблонный набор скриптов не предусматривает "защиту" или "максимальную выгоду". На то это и "шаблон", чтобы из него можно было сделать много _разного_, а не только "Интернет-магазин Васисуалия Форестера по торговле шаблонами C++".
пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...
+0.(9) тебе. Сам всегда так делал, никаких проблем с безопасностью не было.
Безопасность по принципу неуловимого Джо.
раз Джо до сих пор ловят, то наверно не такая уж и плохая защита
Так смысл как раз в том, что никто его и не ловит. :)
> пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...В Sony вон написали и расплатились раза три номерами кредиток клиентов :-)
> пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...Фирме Сони этот рецепт не очень помог. Наверное дело в том что не все кодеры одинаково полезны.
Если сайт можно просто взять и написать с нуля, очень высока вероятность того, что этот сайт никому на хрен не нужен. Именно этим объясняется "безопасность" самописных сайтов.
А Drupal в качестве инет-магазина "безопаснее" будет? Я ниче почти не шарю в этом. Был инет-магаз свой на оскоммерсе. Закрыл (товар который продавал исчез у поставщиков). Прошел год. Теперь появился. Но все заново необходимо теперь делать((
был парень который мне помогал с магазом,но из-за новой работы на это у него нет больше времени.
Есть шаблон сайта (старый магаз) его надо посадить на хороший движок и отправить на хост (ht systems был хостингом) Кто готов за деньги помочь пишите на почту bredbull@ya.ru
всем спасибо
http://opencartforum.ru/
Там же найдёшь тех, кто поможет за деньги.
Я один замечаю, что подобных новостей об уязвимостях всяких там открытых проектов становится все больше и больше? Причем, эти уязвимости вполне конкретно эксплуатируются, а не как раньше только находились и фикслись.
Это приведет к потере доверия ко всем эти якобы надежным опенсорсам, что может вылиться либо в возвращение к закрытым софтам либо к извлечению рук открытых программистов из того места, где они сейчас находятся, что тоже приводит к коммерциализации их разработок. В общем, перспективы пугающие.
> Это приведет к потере доверия ко всем эти якобы надежным опенсорсамчто-то к «потере доверия к якобы надёжной проприетарщине» не привело до сих пор.
впрочем, если хомки понесут в клювах бабло проприетарщикам — туда им и дорога. станет чище и легче дышать.
> может вылиться либо в возвращение к закрытым софтам либо к извлечению
> рук открытых программистов из того места, где они сейчас находятся,Ну тогда винду и IE уже должно было бы использовать 0 человек, если почитать списки уязвимостей. И как бы не в обиду, но в опенсорцных хромах и фоксах такие баги чинят не в пример оперативнее и не ждут месяц чтобы фикс раздать.
Универсальное средство от таких уязвимостей - ReadOnly права на все папки и файлы, я так свой магаз вылечил :) Когда надо чтото изменить меняю права через шел
И на каждый новый товар картинку закинуть - тоже в шелл лезть? Не похоже на "универсальное" средство.
Так вот чьи сайты уязвимостями грешат :)
А почему бы и нет, не вижу никакой сложности, перед загрузкой новых товаров набрать пару команд в консоли
Ага, особенно когда зловредный код в БД пишется... сходите по ссылкам
Ага. Пусть пишется, зато злоумышленник мне на сайт свои файлы не сможет загрузить
Довольно действенное решение "прятать" админку, на стадии установки предлагается ввести ее адрес. Так в zencart сделали.
Так же тупо и просто админку http авторизацией дополнительно закрывают.
>Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "http://blogger.com.somebadhackersite.com/badscript.php" и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.Epic! :D