URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 79526
[ Назад ]

Исходное сообщение
"Массовое поражение интернет-магазинов на базе osCommerce и б..."

Отправлено opennews , 04-Авг-11 15:28 
В сети зафиксировано (http://blog.armorize.com/2011/07/willysycom-mass-injection-o...) массовое поражение интернет-магазинов, построенных на базе свободной платформы osCommerce (http://www.oscommerce.com/). События развиваются достаточно интенсивно, если 24 июля используя Google было выявлено около 90 тысяч страниц, содержащих вредоносные вставки, то 31 июля пораженных страниц было уже 3.8 миллиона, а 3 августа - 6.3 миллионов.


В процессе атаки эксплуатируется сразу несколько уязвимостей в различных выпусках osCommerce, позволяющих злоумышленнику внедрить свой JavaScript-код на страницы. В настоящий момент огромное число интернет магазинов продолжает оставаться на старых версиях платформы, но проблема касается не только их, например, среди используемых проблем безопасности упомянуты  найденные 14 мая и 10 июля уязвимости, проявляющиеся в последней (http://www.oscommerce.com/solutions/download) стабильной версии 2.3.1.  Кроме того, в процессе атаки эксплуатируются еще как ми...

URL: http://blog.armorize.com/2011/07/willysycom-mass-injection-o...
Новость: http://www.opennet.me/opennews/art.shtml?num=31377


Содержание

Сообщения в этом обсуждении
"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено iCat , 04-Авг-11 15:28 
Хм-м-м...
А если во входные двери магазинов не врезать замки и не ставить охрану - их тоже будут грабить...
А ещё можно (для удобства) Apache от root запускать... Это - тоже "уязвимость"?

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено hummermania , 04-Авг-11 15:48 
Тут же программные уязвимости еще из плагинов пришедшие. Поди проконтролируй все состояния системы. Это как если бы в замок для магазина была бы по ошибке заложена особенность конструкции, которая его легко открывает. Здесь спасет регулярное централизованное обновление плагинов.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено iCat , 04-Авг-11 16:02 
От "онодолжносамо головного мозга" лечиться нужно. Я именно это имел в виду.
Сколько ни обновляйся, сколько ни вкладывай в "системы безопасности", и прочие "заумности", а в отсутствии здравого смысла более-менее приемлемого уровня безопасности не достичь.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено ubuntulyb , 04-Авг-11 16:15 
да, не достичь щас, но скоро вычеслить окажется с пол пина атаки и любой который может их сделать (таких останется единицы) не станет средства на всякие commercы на wp расходывать, пока сеть такая то конечно это продолжается, все зависит от мощностей процессора, покашто их не хвтает для глобальных проектов

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено iCat , 04-Авг-11 16:18 
Ух, ты! А без пробелов можешь?
А по делу - никакие мощности не спасут от раздолбайства и безграмотности.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено тоже Аноним , 04-Авг-11 16:24 
Мощности не спасут, а предусмотрительность программистов системы - может.
Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с предметом.
Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов, но при этом надежна.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено zazik , 04-Авг-11 17:06 
> Мощности не спасут, а предусмотрительность программистов системы - может.
> Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в
> реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с
> предметом.
> Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов,
> но при этом надежна.

Очень надёжна, да :) Видел я, как инкассатор в одиночку обходит крупный торговый центр и возвращается с собранными деньгами в машину.


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено тоже Аноним , 04-Авг-11 21:22 
Описанная вами ситуация сложилась по причине каких-то личных недостатков этого конкретного инкассатора?

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено zazik , 04-Авг-11 23:09 
> Описанная вами ситуация сложилась по причине каких-то личных недостатков этого конкретного
> инкассатора?

Маловероятно. Скорее всего это сверхнадёжный регламент - ходить поодиночке с крупной суммой денег по территории с большим количеством людей и выходов. Притом, что рядом крупные транспортные магистрали, остановки общественного транспорта и минутах 20-30 неторопливого движения(если нет пробок) - выезд из города. Ну район спальный, что тоже способствует.


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено ffirefox , 05-Авг-11 01:15 
Ловля на живца ;)

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено zazik , 05-Авг-11 09:40 
> Ловля на живца ;)

Хороший живец, жирный :) Представляю, какая выручка по всем магазинчикам в этом ТЦ за день. Иногда я даже жалею, что я такой законопослушный и правильный.


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Анонимный Аноним , 04-Авг-11 19:27 
Прикинь потенциальную выгоду от простого, но очень эффективного JavaScript'а, который отправляет введённые в форму данные о кредитной карте куда-то там, где их аккуратно складывают и используют со злым умыслом. Все эти «единицы», которые такие атаки смогут проворачивать будут именно «на всякие commercы» свои средства «расходывать».

И прекрати прогуливать уроки русского языка в школе.


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Аноним , 04-Авг-11 17:25 
> А если во входные двери магазинов не врезать замки и не ставить
> охрану - их тоже будут грабить...

А это при чем ? Дыра в последнем стабильном релизе osCommerce. По вашей логике, любой интернет-магазин это магазин без замков, так как там потенциально могут быть уязвимости.


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено iCat , 05-Авг-11 02:18 
> А это при чем ? Дыра в последнем стабильном релизе osCommerce. По
> вашей логике, любой интернет-магазин это магазин без замков, так как там
> потенциально могут быть уязвимости.

Значит, я не достаточно ясно выразился.
"Искаропки" софт настроен так, чтобы "запустился, и - работает". Без учёта всевозможных "индивидуальностей окружения". Настройка софта "под эксплуатацию" - это как раз и есть  работа системных администраторов.
Все попытки сделать "универсальные настройки" приводили к MS-way.
Любой шаблонный набор скриптов не предусматривает "защиту" или "максимальную выгоду". На то это и "шаблон", чтобы из него можно было сделать много _разного_, а не только "Интернет-магазин Васисуалия Форестера по торговле шаблонами C++".


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено aaa , 04-Авг-11 16:10 
пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Аноним , 04-Авг-11 16:20 
+0.(9) тебе. Сам всегда так делал, никаких проблем с безопасностью не было.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено filosofem , 04-Авг-11 16:28 
Безопасность по принципу неуловимого Джо.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Аноним , 04-Авг-11 16:42 
раз Джо до сих пор ловят, то наверно не такая уж и плохая защита

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено sashka_ua , 04-Авг-11 16:44 
Так смысл как раз в том, что никто его и не ловит. :)

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Аноним , 04-Авг-11 17:27 
> пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...

В Sony вон написали и расплатились раза три номерами кредиток клиентов :-)


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Аноним , 04-Авг-11 17:35 
> пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...

Фирме Сони этот рецепт не очень помог. Наверное дело в том что не все кодеры одинаково полезны.


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено тоже Аноним , 04-Авг-11 21:24 
Если сайт можно просто взять и написать с нуля, очень высока вероятность того, что этот сайт никому на хрен не нужен. Именно этим объясняется "безопасность" самописных сайтов.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Shurik , 04-Авг-11 17:24 
А Drupal в качестве инет-магазина "безопаснее" будет? Я ниче почти не шарю в этом. Был инет-магаз свой на оскоммерсе. Закрыл (товар который продавал исчез у поставщиков). Прошел год. Теперь появился. Но все заново необходимо теперь делать((
был парень который мне помогал с магазом,но из-за новой работы на это у него нет больше времени.
Есть шаблон сайта (старый магаз) его надо посадить на хороший движок и отправить на хост (ht systems был хостингом) Кто готов за деньги помочь пишите на почту bredbull@ya.ru
всем спасибо

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Etch , 05-Авг-11 12:48 
http://opencartforum.ru/
Там же найдёшь тех, кто поможет за деньги.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Аноним , 05-Авг-11 00:16 
Я один замечаю, что подобных новостей об уязвимостях всяких там открытых проектов становится все больше и больше? Причем, эти уязвимости вполне конкретно эксплуатируются, а не как раньше только находились и фикслись.
Это приведет к потере доверия ко всем эти якобы надежным опенсорсам, что может вылиться либо в возвращение к закрытым софтам либо к извлечению рук открытых программистов из того места, где они сейчас находятся, что тоже приводит к коммерциализации их разработок. В общем, перспективы пугающие.

"Массовое поражение интернет-магазинов на базе osCommerce..."
Отправлено anonymous , 05-Авг-11 04:35 
> Это приведет к потере доверия ко всем эти якобы надежным опенсорсам

что-то к «потере доверия к якобы надёжной проприетарщине» не привело до сих пор.

впрочем, если хомки понесут в клювах бабло проприетарщикам — туда им и дорога. станет чище и легче дышать.


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Аноним , 05-Авг-11 07:32 
> может вылиться либо в возвращение к закрытым софтам либо к извлечению
> рук открытых программистов из того места, где они сейчас находятся,

Ну тогда винду и IE уже должно было бы использовать 0 человек, если почитать списки уязвимостей. И как бы не в обиду, но в опенсорцных хромах и фоксах такие баги чинят не в пример оперативнее и не ждут месяц чтобы фикс раздать.


"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Аноним , 05-Авг-11 02:21 
Универсальное средство от таких уязвимостей - ReadOnly права на все папки и файлы, я так свой магаз вылечил :) Когда надо чтото изменить меняю права через шел

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено ызусефещк , 05-Авг-11 12:34 
И на каждый новый товар картинку закинуть - тоже в шелл лезть? Не похоже на "универсальное" средство.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Mna , 05-Авг-11 14:33 
Так вот чьи сайты уязвимостями грешат :)

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Павел , 07-Авг-11 12:02 
А почему бы и нет, не вижу никакой сложности, перед загрузкой новых товаров набрать пару команд в консоли

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено detergen , 05-Авг-11 14:24 
Ага, особенно когда зловредный код в БД пишется... сходите по ссылкам

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено Павел , 07-Авг-11 12:05 
Ага. Пусть пишется, зато злоумышленник мне на сайт свои файлы не сможет загрузить

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено vov , 05-Авг-11 14:45 
Довольно действенное решение "прятать" админку, на стадии установки предлагается ввести ее адрес. Так в zencart сделали.
Так же тупо и просто админку http авторизацией дополнительно закрывают.

"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Отправлено анонимус , 05-Авг-11 21:12 
>Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "http://blogger.com.somebadhackersite.com/badscript.php" и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.

Epic! :D