Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 53
Взлом сайта далеко не всегда происходит через CMS. Недавно наблюдал схожую интеграцию JS в футере страницы у клиента. Как выяснилось, сделано это было через FTP (Total Commander клиента был заражен и внедрил код во все сайты списка FTP-серверов)
У меня у одного знакомого через SSH поломали идиотским способом. Принес зловреда на флешке, тот из PuTTY (!) вытащил ключ. Вообщем, мало ли, как сервер заразили.
Пора придумывать (или уже есть?) способы двухэтапной аутентификации при доступе по ssh или sftp. К примеру, QR-код псевдографикой, сканируемый телефоном для получения ответа в соответствующей программе на предварительно настроенном мобильном телефоне.
Все уже придумано до нас: www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html
На ssh-ключ без проблем ставится passphrase.
Кстати автор данного топика в конце (сейчас уже потер) написал что-то насчет доверия компании Битрикс. Любая CMS может быть взломана, но отчасти проблемы безопасности далее лежат на разработчике который делает интеграцию. А так канечно интересно узнать где была дыра, проблема ли это в коробочной версии или же действительно кривая интеграция или как уже подмечено — через ftp.
Да, в первом варианте я написал про Битрикс, но сразу же после публикации понял, что ляпнул глупость. Видимо, мой кредит доверия Yota так высок, что я даже не подумал, что есть вероятность халатности самих интеграторов-администраторов Yota. А репутация 1С, в моих глазах, напротив — значительно ниже. Но это порочная точка зрения, был неправ, нужно быть куда более объективным.
Симптом уже устранили, да. Но пост убирать не стал, потому как не до конца понятно только ли эта гадость была внедрена (может там и к БД доступ получили, бог его знает), да и чисто для истории информация имеет небольшую ценность.
При попытке читать новости ёты он есть, ничего не убрали.
См. комментарий.
Блин, неужели на это еще кто-то ведется…
Конечно! Тут всё достаточно аутентичненько так, тем более…
Ну там же столько различий будет…
Плюс — ну какой нафиг введите SMS для антивируса, ну какая реакция будет у человека, если его честно купленный/взломанный касперский (я так понимаю под него косят) вдруг SMS запросит…
Я уж молчу про темы оформления в очередной говносборке — сейчас еще попробуй у обычного пользователя найти чистую винду, а не очередное творенье зверя, про XP.
Плюс — ну какой нафиг введите SMS для антивируса, ну какая реакция будет у человека, если его честно купленный/взломанный касперский (я так понимаю под него косят) вдруг SMS запросит…
Я уж молчу про темы оформления в очередной говносборке — сейчас еще попробуй у обычного пользователя найти чистую винду, а не очередное творенье зверя, про XP.
Косят под MSE, от Каспера там только звук свиньи, потому кредит доверия значительно выше. MS как-то покрупее Касперского будет. Мне вот интересно какая у сайта посещаемость по субботним вечерам и сколько это безобразие там провисело. Совсем сказочно было бы выяснить сколько же в итоге людей и правда SMS отправили и коды вводили.
Ладно 7, уже восьмёрку начали пачкать говнотемами и модификациями.
Модификация темами возможна же только для цвета хрома у окон, обоев и заставки, разве нет?
Вы просто глубже не смотрели. Да, оформление оставили в покое и перестали гоняться за иконками, стартовыми экранами и прочей мишурой. Зато у половины отключен UAC и команды из «Run» выполняются с админскими правами. Видать, UAC мешает стричь — его заранее лохам выключают.
Более того — в большинстве не только сборок восьмерки, но даже просто в обазах с интегрированными обновлениями (и/или выпиленным метро) и то везде отрубают не только UAC, но и Defender с Firewall'ом.
Приходиться вручную включать службы: Центр обеспечения безопасности, Защитник Windows и Брэндмауэр, и идти в перезагруз.
Приходиться вручную включать службы: Центр обеспечения безопасности, Защитник Windows и Брэндмауэр, и идти в перезагруз.
Всегда не могу удержаться от смеха, когда вижу это у себя под убунтой, а у коллеги под freebsd/debian :)
Вы недооцениваете компьютерную неграмотность абсолютного большинства населения.
Обожаю лицезреть такие окна в линуксе)
А как ещё Ёте пиариться? Хабраэффект обеспечен )
Не починили, а обидно. Только что открыл сайт йоты, вылезло это второе окошко… Оказывается, у меня есть диски C/D =)
Второй раз окошко уже не вылезает, так как в первый раз оно появляется после подтверждения города (javascript).
habrastorage.org/storage2/ab8/936/bc4/ab8936bc498feed2d71a0543512cd6b8.png
Второй раз окошко уже не вылезает, так как в первый раз оно появляется после подтверждения города (javascript).
habrastorage.org/storage2/ab8/936/bc4/ab8936bc498feed2d71a0543512cd6b8.png
Починили, но полчаса назад зловредный код снова вернулся. Что позволяет заключить, что источник пока так и не нашли и уязвимость сохраняется.
Судя по всему, юзер-агент не смотрят. При смене показывается тот же сайт причесок и выставляется кукис
nl19154O3515=1
nl19154O3515=1
Промахнулся с ответом. Это на пост ниже
Забавные ребята взломали. Если посмотреть внедренный js-код, там есть ссылка на ихний сайт с указанием номера целевого сайта для открытия в качестве рекламы. При переходе с левым номером выдает
А где именно этот код?
Был вверху body исходника главной страницы Йоты. Сейчас уже убрали.
Там был включен слегка обфусцированный js-код, в котором происходил переход на указанный в скрине сайт с параметром sid=51 и реферером. После чего с данного сайта шел редирект на рекламный либо на гугл, если подставлять несуществующий sid.
Там был включен слегка обфусцированный js-код, в котором происходил переход на указанный в скрине сайт с параметром sid=51 и реферером. После чего с данного сайта шел редирект на рекламный либо на гугл, если подставлять несуществующий sid.
Подтверждаю, страница вылазит. Но либо они страницу сменили, либо таки на юзер-агент смотрят, т.к. у меня на убунте вылез просто какой-то спамовый говносайтик. Долго фиксят, однако.
>Будьте бдительны
Спасибо конечно, но как-то прямо неуважительно к аудитории хабра.
Спасибо конечно, но как-то прямо неуважительно к аудитории хабра.
Не все на хабре знают JS. И я больше всё-таки насчёт не «не вводите свой номер куда попало», а чего-то большего. Например, лучше на сайте, как мне кажется, пока не авторизовываться, раз уж он такой дырявый — могут и данные перехватить. Ну и в ещё большей степени это призыв предупредить своих не столь ИТ-грамотных знакомых, если они пользуются Yota.
А может они просто монетизируют так? :)
Стыдно, товарищи.
Битрикс же. Там сколько дыр нашли и сколько еще найдут. Вообще bitrix12.ru/
Уже закрыли админку
www.yota.ru/bitrix/
www.yota.ru/bitrix/
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сайт Yota оказался взломан