The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Подтверждён взлом jQuery.com. Зафиксирована вторая успешная атака

25.09.2014 11:26

Администраторы инфраструктуры проекта jQuery несколько часов назад зафиксировали повторную атаку на сайт jQuery.com и подтвердили компрометацию сервера злоумышленниками. В настоящее время сайт jQuery.com оперативно перемещён на новый сервер, на котором запущены только проверенные сервисы. В отличие от первой атаки, в рамках которой было организовано распространение вредоносного ПО, в рамках второй атаки была осуществлена подмена содержимого сайта (дефейс).

Содержимое главной страницы было заменено на текст "Common, guys! All your base are belong to us. Just please reinstall dat backdoored spenssh deamon. And all will be fine", что может свидетельствовать об организации сбора паролей через подставной ssh сервер. Предполагается, что атаки проведены разными лицами, но использовали для проникновения одну и ту же брешь в системе безопасности. Через какую именно уязвимость был совершён взлом не сообщается.

В настоящее время проводится анализ остаточных следов, работа по усилению безопасности и обновление зависимостей. Не исключается, что в результате атаки, злоумышленники получили доступ к базе учётных записей администраторов и разработчиков jQuery, использующих jQuery.com и ряд других сайтов проекта, работающих на основе движка WordPress. Следов модификации кода библиотеки jQuery и нарушения работы сервисов по её распространению пока не выявлено.

  1. Главная ссылка к новости (http://blog.jquery.com/2014/09...)
  2. OpenNews: Зафиксировано распространение вредоносного кода через инфраструктуру jQuery
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40671-jquery
Ключевые слова: jquery
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (68) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:33, 25/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Я думал, всем уже ясно, что на вордпрессе можно делать только сайты уровня "фигак-фигак и в продакшен". Для остального либо с нуля писать, либо брать cms, разработчики которых не ценят функционал выше безопасности.
     
     
  • 2.2, Silver Ghost (??), 11:39, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ага-ага, сломали через ssh, а виноват WordPress.
     
     
  • 3.3, Аноним (-), 11:42, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Через вордпресс получают шелл. С этим шеллом ломают дальше.
     
     
  • 4.10, Silver Ghost (??), 12:04, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где об этом написано в данном случае, что сломали именно WP?
    Жду ссылку. Иначе считаю пустой болтовней.
     
     
  • 5.43, Silver Ghost (ok), 15:44, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чего и следовало ожидать. Голословные заявления - не более того.
     
  • 3.72, Stellarwind (?), 14:42, 26/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чукча не читатель, чукча писатель? Где написано что сломали через ssh?
    Написали - "верните назад забекдоренный ssh", другими словами сервак сломали чем не понятно, поставили бекдор, админы его снесли, сервак опять сломали...
     
  • 2.4, jedie (?), 11:43, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    расскажи это techcrunch.com
     
  • 2.6, 321 (??), 11:51, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В твоем воображаемом мире ломают только вордпресс?
     
     
  • 3.14, Аноним (-), 12:15, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В твоем воображаемом мире ломают только вордпресс?

    Сначала читаем статистику взломов, смотрим и сравниваем уязвимости в распространенных cms, потом аргументированно спорим.

     
     
  • 4.20, Аноним (-), 12:32, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Уж сколько раз твердили миру - абсолютно надёжных систем не существует, если очень надо, взломать можно что угодно.
     
     
  • 5.25, Аноним (-), 12:43, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Уж сколько раз твердили миру - абсолютно надёжных систем не существует, если
    > очень надо, взломать можно что угодно.

    Да, и это никак не противоречит тому, что написано выше.

     
  • 4.70, GG (ok), 09:37, 26/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ты на статистику вордпрессов посмотри, а потом посмотри, что конкретно в нём ломают.
     
  • 2.8, MidNighter (ok), 12:00, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ну конечно, только написав с нуля можно получить идеальное качество и не сделать в коде ни одной ошибки. ерунду пишите.
     
     
  • 3.11, A.Stahl (ok), 12:11, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >ерунду пишите.

    Сами просите и сами же обижаетесь...

     
  • 3.13, Аноним (-), 12:12, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Написав свой код, можно,очевидно, сделать код, который не подвержен широко распространенным уязвимостям.

    Иными словами, ты не пойдешь на рынок и не купишь 0day для своего сайта, если ты только не крупный сайт сети, интересный многим взломщикам. Хотя в случае jQuery ты интересен многим, я согласен; тем не менее, всё же исключена ситуация типа "ломали одну квартиру - неожиданно подобрали универсальный ключ к дверям всего подъезда".

     
     
  • 4.16, MidNighter (ok), 12:19, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    то что описали это обратная сторона популярности продукта. чем выше популярность тем больше людей ищут возможности взлома и тем больше этих уязвимостей находится. К коду созданному вами сомнительно чтобы кто то искал возможности взлома, но это не означает что там нет ошибок. возможно даже наоборот, то что этот код ещё более дырявее чем популярный.
     
     
  • 5.24, Аноним (-), 12:41, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так именно об этом я и писал, о чем спор-то?
     
     
  • 6.26, MidNighter (ok), 12:44, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    та тут я скорее решил просто дополнить
     
  • 4.53, XoRe (ok), 18:19, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Написав свой код, можно,очевидно, сделать код, который не подвержен широко распространенным
    > уязвимостям.

    ... если у вас докторская по информационной безопасности.
    Распространенные грабли - когда кто-то решил написать свой велосипед для работы с паролями.
    И начинается "хей, я добавлю вторую соль и укажу её переменной в коде!".
    Сайт взломали, переменную с солью увидели и все.
    А поменять соль нельзя - она участвует в шифровании текущих паролей.
    Поменяешь - все пароли перестанут работать.
    Как пример.

     
     
  • 5.64, angra (ok), 21:39, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ты точно уверен, что понимаешь назначение соли?
    Вообще-то соль можно в открытом виде писать вместе с хешем пароля. И для каждого пользователя она должна быть своя. При этом принципиально нет особой разницы в количестве солей.

     
     
  • 6.68, arisu (ok), 03:52, 26/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты точно уверен, что понимаешь назначение соли?

    конечно, не понимает. он вообще дурачок.

     
     
  • 7.77, XoRe (ok), 12:52, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Ты точно уверен, что понимаешь назначение соли?
    > конечно, не понимает. он вообще дурачок.

    Дурачок из нас тот, кто до сих пор пользуется оперой и верит, что защищен.

     
     
  • 8.79, arisu (ok), 12:58, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    пожимает плечами про веру 8212 это ты со своими собратьями по дубоголовости... текст свёрнут, показать
     
     
  • 9.80, XoRe (ok), 00:16, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нечем крыть - переходи на личности С Чет у вас зачастили сообщения в стиле ты... текст свёрнут, показать
     
     
  • 10.81, arisu (ok), 10:23, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    мне есть чем тебя крыть, но это стирают ... текст свёрнут, показать
     
  • 6.78, XoRe (ok), 12:55, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты точно уверен, что понимаешь назначение соли?
    > Вообще-то соль можно в открытом виде писать вместе с хешем пароля. И
    > для каждого пользователя она должна быть своя. При этом принципиально нет
    > особой разницы в количестве солей.

    Я-то понимаю.
    Я привел реальный пример, когда человек решил "усилить безопасность" и изобрел вторую соль.
    И реально верил в то, что это поможет в случае, если сольют базу.
    Ему как раз и указали, что первая соль у каждого своя.
    А вторая соль одна на всех общая - если стырят файлы, эффект от неё теряется.

     
  • 2.40, vitalif (ok), 15:30, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а jquery.com на вордпрессе что ли? O_O
     
     
  • 3.60, Аноним (-), 20:52, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    <meta name="generator" content="WordPress 4.0" /> как бы намекает.
     
  • 2.66, pv47 (ok), 22:05, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > на вордпрессе можно делать только сайты уровня "фигак-фигак и в продакшен"

    Вы удивитесь, но для 99% компаний этого действительно достаточно. Дешёво, и потерять не жалко, если домен или хостинг забыли продлить.

    > cms, разработчики которых не ценят функционал выше безопасности.

    Можно списочек, элементов хотя бы 5-8 (без шуток)?

     

  • 1.5, Аноним (-), 11:49, 25/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем апач и его форки запускать под аккаунтом, который может подменить демона sshd?
     
     
  • 2.29, Аноним (-), 13:34, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что за это хорошо платят.
     
  • 2.36, Аноним (-), 14:48, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть, хаксоры еще и права проапгрейдили?
     

  • 1.7, Отражение луны (ok), 11:58, 25/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Зачем вообще нужен jQuery?
     
     
  • 2.9, MidNighter (ok), 12:01, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    эту библиотеку используют разработчики сайтов, будете делать сайт узнаете подробности.
     
     
  • 3.12, Отражение луны (ok), 12:12, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я в курсе, кто и где её использует, но не понимаю, зачем. Так же готов поставить под сомнение профессионализм этих самых "разработчиков", т.к. яваскрипт сам по себе вполне самодостаточен.
     
     
  • 4.15, Аноним (-), 12:17, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Я в курсе, кто и где её использует, но не понимаю, зачем.
    > Так же готов поставить под сомнение профессионализм этих самых "разработчиков", т.к.
    > яваскрипт сам по себе вполне самодостаточен.

    Потому что "фигак-фигак и в продакшен". Качество вторично, быстрее сделал - быстрее бабло получил.

     
     
  • 5.19, YetAnotherOnanym (ok), 12:27, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > быстрее сделал - быстрее бабло получил

    ... а плохо сделал - потом ещё бабло получил. Двойная выгода.

     
  • 4.18, MidNighter (ok), 12:22, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    есть такая особенность работы над проектом которая называется разделение труда. это когда не вам самому надо париться над написанием библиотеки из самодостаточного яваскрипта, а взять уже готовую и использовать. если бы вам заказали создать сайт то без разделения труда вы бы сорвали все сроки и имели бы не конкурентную цену создавая то же самое что уже есть и готово к использованию.
     
     
  • 5.23, Отражение луны (ok), 12:39, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Зачем вообще париться над написанием библиотеки, если яваскрипт самодостаточен? Возможно, стоит просто нормально изучить яваскрипт вместо использования всяких коленных поделок?
     
     
  • 6.28, MidNighter (ok), 13:26, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    вы поймёте когда попытаетесь сделать хоть какой нибудь сайт. пока судя по высказываниям вы лишь склонны теоретически рассуждать о "о самодостаточности языка", а не применять эти знания на практике.
     
     
  • 7.31, arisu (ok), 13:37, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > вы поймёте когда попытаетесь сделать хоть какой нибудь сайт.

    только идиоты пихают в «какой-нибудь сайт» кучу js в надежде, что благодаря этому контент станет ненужным.

     
     
  • 8.33, MidNighter (ok), 14:09, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    заказчик просит сайт исходя из того каким он его видит, разработчики его делают ... текст свёрнут, показать
     
     
  • 9.34, arisu (ok), 14:28, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    я понимаю, тебе неприятно ощущать себя идиотом это нормально ненормально 821... текст свёрнут, показать
     
  • 7.35, Отражение луны (ok), 14:36, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я давно и крайне успешно применяю яваскрипт для немного других целей. И, в принципе, я не против библиотек как таковых, просто реальной пользы от jquery не вижу (м.б. дело в нормальном проектировании просто?). Но мнение делальщика сайтиков, уверен, имеет куда больший вес. (Сарказм).
     
  • 7.42, vitalif (ok), 15:36, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > вы поймёте когда попытаетесь сделать хоть какой нибудь сайт. пока судя по
    > высказываниям вы лишь склонны теоретически рассуждать о "о самодостаточности языка", а
    > не применять эти знания на практике.

    Не-не. jQuery много юзать - это реально моветон. JS действительно почти самодостаточен, нужна-то только пара обёрток на 20 строчек.

    Почему моветон? А вот почему: условно говоря, JS, PHP, Perl и прочие питоны - это распи**яйство по сравнению с C, Java, C++, но jQuery - это такое же распи**яйство по сравнению с JS. Т.е. jQuery - это ВЫСШАЯ СТЕПЕНЬ распи**яйства. Есть элемент, нет элемента, нам пох, всё равно все селекторы отрабатывают. Отвалилось что-то где-то - не беда, скрипт всё равно не упадёт... И ищи потом, чего там ему не хватает, сиди, отлаживайся.

    Кроме того, когда jQuery во все поля - обычно из этого получается ужасный прибитый гвоздями к представлению код. А когда ещё и динамически добавляется ВСЁ... Ухуху...

     
     
  • 8.48, cmp (ok), 17:36, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    который конечно же по сравнению с asm, который по сравнению с чистым машинным ко... текст свёрнут, показать
     
     
  • 9.62, vitalif (ok), 21:03, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Неее Я про жесткость проверок говорю Она с низко высокоуровневостью коррелируе... текст свёрнут, показать
     
     
  • 10.65, angra (ok), 21:42, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так и запишем, не знаешь ни js, ни jquery ... текст свёрнут, показать
     
  • 8.56, Аноним (-), 18:44, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    После этого комментария следует вывод что все нужно писать самому и на ассемблер... текст свёрнут, показать
     
     
  • 9.59, Аноним (-), 19:39, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хотите жестокий облом Чтобы быть крутым тестировщиком - не обязательно быть кру... текст свёрнут, показать
     
  • 9.61, vitalif (ok), 21:01, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А как мое утверждение противоречит тому что JS создавался в спешке Я вообще-то ... текст свёрнут, показать
     
  • 4.21, Аноним (-), 12:34, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кросбраузерность? не, не слышал
     
     
  • 5.32, arisu (ok), 13:38, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кросбраузерность? не, не слышал

    не, слышал. берём, значит, js — и выкидываем нафиг. дальше берём «-»-свойства в css — и выкидываем нафиг. ура-ура, пока Крутые Уебмастера продолжают затейливый секс с разными браузерами, у нас уже всё работает.

     
     
  • 6.37, Аноним (-), 14:49, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не, слышал. берём, значит, js — и выкидываем нафиг. дальше берём «-»-свойства
    > в css — и выкидываем нафиг.

    Ну тогда HTML нафиг, да и TCP/IP вместе с HTTP - тоже. Качай себе фидопочту модемом да рассказывай про гипертекстовый, векторный

     
     
     
     
    Часть нити удалена модератором

  • 9.49, MidNighter (ok), 17:43, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это просто высокомерие друзей у него нет, с окружающими не ладит мне его жалк... текст свёрнут, показать
     
  • 5.67, Антоним (ok), 03:31, 26/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Быдлокодеры для кроссбраузерности пихают жКуери
     
  • 4.22, Hoboh3zefahB3zoh (?), 12:35, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ассемблер сам по себе вполне самодостаточен
     
     
  • 5.27, Отражение луны (ok), 12:56, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Даешь разработку движка на движке!
     
  • 4.45, абвгдейка (?), 16:18, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пойдем дальше - зачем делать сайт, если его всё-равно когда-нибудь сломают :)
     
     
  • 5.71, Аноним (-), 11:01, 26/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так разработчик познал Дао.
     
  • 4.63, Аноним (-), 21:34, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я в курсе, кто и где её использует, но не понимаю, зачем.

    Я тоже не понимаю зачем вы используете готовую операционку с библиотеками. Машинные команды - самодостаточны ничуть не хуже JS. Вот еще придумали какие-то библиотеки и ОС.

     
     
  • 5.69, arisu (ok), 03:57, 26/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Я тоже не понимаю зачем вы используете готовую операционку с библиотеками.

    угу, причём кривыми. да-да, я незаметно говорю о «вебе 2.0» и «веб-приложениях».

     
  • 2.55, XoRe (ok), 18:34, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем вообще нужен jQuery?

    Ради достижения высшей цели, очевидно же!
    Вам этого не понять... :)

    P.S.
    А какой ответ вы хотели получить на заранее тролльный вопрос?
    Вам скажут "для создания сайта", а вы тут же "для создания сайта можно использовать чистый JS" и понесся холивар.
    Так что, для чего нужен, вы понимаете.
    А насколько он нужен - другой вопрос, который вы не задали.

     

  • 1.17, Шерлок Холмс из Опеннета (?), 12:19, 25/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Дело уже казалось "глухарем", как вдруг преступник оставил новую улику:

    >Common, guys! All your base are belong to us. Just please reinstall dat backdoored spenssh deamon. And all will be fine

    И тут стало ясно: это дело рук Xasd.

     
     
  • 2.38, Аноним (-), 14:49, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И тут стало ясно: это дело рук Xasd.

    А, это он баш заголовками накормил? :)

     

  • 1.30, Аноним (-), 13:37, 25/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Защитники ищут уязвимость методом "обновить все подряд и посмотреть будут ли взломы еще"? А хакер решил им помочь, мол не мучайтесь ребята... Замок на песке прям.
    А если будет взлом не для прикола и следы реально заметут и активность будет незаметной несколько лет?
     
     
  • 2.39, Аноним (-), 14:50, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > активность будет незаметной несколько лет?

    Так заметь, левые включения довольно быстро нашли. А так нефиг инклюдить хлам с чужих серверов.

     

  • 1.76, Алексей Морозов (ok), 07:36, 29/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прекрасный текст!

    Мгимо, натурально, финишт!

    Хорошо, что хоть шапки-ушанки не оставили на месте взлома.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру