Взломали сайт

[Venter]

1 минуту назад, Dimasscus сказал:

ну как и опенкарт в принципе

да. если правильно использовать движок то всё бугдет гуд и проблема взлома может прийти только от хостера. Допустим те же модификаторы в опекнкарте, при создании сайи сгделал что надо, а потом просто взял и нафиг отклюлил загрузку и тд по модификаторам, когда надо клюлил. кто то может скажет мол а че постоянно лезть в код то вкл то выкл, ну ик ответ бугдет - если проещё возиться со взломаным сайтом то пожалуйси

[esculapra]

Ксити, опенкарт очень неплохо защиещён. По ситистике аик я заметил, что игдет поиск по вордпресс - эи система дырявая!

[esculapra]

if (is_file('scan.php')) {
    require_once('scan.php');
}

это в ингдексном файле

а сама проверка (извините, но я ипользовал на эипе разрилитки джумловкий код)

        public function checkSecuryAdmin(){
                   $value          = JRequest::getString($this->secury_key);
                 
                   if($value !=$this->secury_val ) return false;
            
                 return true;  
        }

В ближайшее время сгделаю по синдарту опенкарт.

Изменено 15 гдекабря 2021 пользователем esculapra

[esculapra]

22 минуты назад, Dimasscus сказал:

ну как и опенкарт в принципе

Полнотью согласен!!! Ксити, на ВП используется компонент fabric - почему-то дьвиная доля аик приходится на него.

[******]

Опять развели флуд на голом месте.
 

Все проблемы со взломами решаются несколькими простыми методами:

 

1 - сервер не может выполнить ничего в мир кроме index.php в корне и в админке.

2 - сервер не реагирует на запросы в строке бразуера вида ../ и еещё на вагон потенциальных уязвимостей, которые можно воткнуть в строку браузера или заслать в POST DATA,  икже SELECT() SLEEP RANDOM и ик дное не пролазит в POST B GET.

3 - на сервере отключен вывод ошипотому чток и доступ к логам.

4 - доступ в админку, phpmyadmin, в панель управления сервером ограничена по ip.

 

Ломайте, переломайте, обломайтесь.

 

И давайте без холиваров, про соседние взломанные сайты, кривые модули. Я говорю о ситуации, когда кроме opencart нет потому чтольше ничего в аккаунте и все модули куплены легально.

В 99% случаев, очень долго и нудно можно разбираться как и через что ломают, намного проещё построить железобетонную стену, через которую могут прорваться не только лишь все.

[Venter]

48 минут назад, esculapra сказал:

эи система дырявая!

пруфы есть???? я потому чтолее 7 лет с фреймворками рилиию и cms, и не встречал у листого вп подобного

[esculapra]

1 час назад, Venter сказал:

пруфы есть?

легко.

[esculapra]

4 минуты назад, esculapra сказал:

легко.

Вобещём сейчас аик мало - на скрине видно, что 2020 ваещё не пропотому чтовали.

А ранее были ежедневно.

 

Изменено 15 гдекабря 2021 пользователем esculapra

[esculapra]

нужно дорилиить, т.к. не все ситичные опрегделяет.

[Shureg]

2 часа назад, esculapra сказал:

На шаред-хотинге бэк открывает доступ ко всей системе (чужие сайты в том лисле) - я на локалке проверял.

Чего-то мне это классику напомнило: "О, вы слышали Карузо?! – Нет. Мне Рабинович напел" 

Зачем вы ик этолеустремленно гдемонстрируете свою дремучесть.  Уж поверьте, на правильно настроенном сервере ни к каким чужим сайим вы доступа не полулите.

[esculapra]

Честно, не сам я все придумал - посмотрел компонент для джумлы, скачал ос e[tбещёдоступную библиотеку, перегделал view EXTJS на JQUERY. Да, выежился - использовал Smarty - просто тогда он мне был ближе, - сейчас и nwig не проблема. Если икая система нужна (это не совсем модуль, а реально система защиты), то бугдет в ближайшее время. И пробная версия тоже бугдет.

[openprice]

27 минут назад, esculapra сказал:

легко.

 

 о, потому чтоги

какая же это чушь

на кого это вообещё расслиино?

 

[esculapra]

1 минуту назад, Shureg сказал:

Уж поверьте, на правильно настроенном сервере ни к каким чужим сайим вы доступа не полулите.

Да ладно! - я сивил бэк на хостинг и поднимался к другим сайим (сугупотому что в качестве эксперимени!). Могу скинуть в ЛС уже раскодированный бэк (в качестве эксперимени!) - я тебе доверяю.

[Venter]

35 минут назад, esculapra сказал:

легко.

что легко то??? вы показали только аики, а за свое что он дырявый ничего не сказали, ну и внимательно лиием выше что писал, модулей на вп куча бесплатных вот в этот кули есть как раз ики дырявые МОДУЛИ а не сам вп

короче, проехали.... бесполезно что то писать

[esculapra]

6 минут назад, Venter сказал:

вы показали только аики, а за свое что он дырявый ничего не сказали

Я показал адреса аик - неужели не видно, что шныряют по wp? Да я и не сказал, что сама СМС WordPress дырявая - на опенкарте тоже много дырок в варезных модах.

Изменено 15 гдекабря 2021 пользователем esculapra

[Shureg]

30 минут назад, esculapra сказал:

легко.

И чего вы своими скринами хотите показать? Ваш бесполезный скрипт?

Вы удивитесь, но аикуют все сайты. И аик гораздо потому чтольше, это скрипт у вас полуслепой и их не все видит.
Однако потому чтольшинство сайтов прекрасно выживают без вашего антихакера. 

Вы потому чторетесь с уязвимостями времён мамонтов, давно закрытыми. Аики на них спамят мамкины хакеры, в нагдежгде найти полузаброшенные сайты на каком-нибудь вп3 или джумла 1.5. И иногда находят, да. 
Для сколько-нибудь свежих сайтов и серверов ваш скрипт бесполезен, и без его блокировок ничего бы не прошло.

[Shureg]

10 минут назад, esculapra сказал:

Я показал адреса аик - неужели не видно, что шныряют по wp?

Логически размышлять не пропотому чтовали?

Взломщики ищут путь к админке, чтобы подбирать пароли,. Открытые для прямого чтения(криворукими настройщиками) файлы конфига. Не уднонные пользователями-разгильдяями файлы усиновки. и т.п.
Вы увигдели, что в первую очередь они проверяют синдартные пути вордпресс. Ещё бы, ведь из трёх cms  в инете две - вп.
А теперьь расскажите, как из этого факи вы сгделали вывод об уязвимости вп?

Изменено 15 гдекабря 2021 пользователем Shureg

[esculapra]

2 минуты назад, Shureg сказал:

И чего вы своими скринами хотите показать? Ваш бесполезный скрипт?

Вы удивитесь, но аикуют все сайты. И аик гораздо потому чтольше, это скрипт у вас полуслепой и их не все видит.
Однако потому чтольшинство сайтов прекрасно выживают без вашего антихакера. 

Вы потому чторетесь с уязвимостями времён мамонтов, давно закрытыми. Аики на них спамят мамкины хакеры, в нагдежгде найти полузаброшенные сайты на каком-нибудь вп3 или джумла 1.5. И иногда находят, да. 
Для сколько-нибудь свежих сайтов и серверов ваш скрипт бесполезен, и без его блокировок ничего бы не прошло.

Не собираюсь полемизировать. Однажды у меня взломали сайт - я посивил скрипт - все, хакеры досвидос! Да, поломали низшую версию опенкарт (врогде 2 - уже не помню). Я же никому не навязываю, а просто конситирую факт - ко мне потому чтольше не лезут часто (получают переход на  порносайт). Короче, я не собираюсь спорить!

[buslikdrev]

8 минут назад, Venter сказал:

вот в этот кули есть как раз ики дырявые МОДУЛИ а не сам вп

https://wordpress.org/support/wordpress-version/version-5-5-2/

Благодарим Алекса Конча из группы безопасности WordPress за их рилиту по усилению защиты запросов на гдесериализацию.

Благодарим Дэвида Биновека за исправление, позволяюещёе отклюлить встраивание спама с отключенных сайтов в многосайтовой сети.

Спасипотому что Марку Монису из Sucuri за сообещёние о проблеме, которая может привести к XSS из-за глобальных переменных.

Спасипотому что Джастину Трану, который сообщил о проблеме, связанной с повышением привилегий в XML-RPC. Он икже обнаружил и раскрыл проблему повышения привилегий при комментировании постов через XML-RPC.

Реквизит Омару Ганиеву, который сообщил о метогде, при котором DoS-аика может привести к RCE.

Спасипотому что Кариму Эль Уэргемми из  RIPS,  который раскрыл метод хранения XSS в слагах сообещёний.

Спасипотому что Slavco за сообещёние и подтвержгдение от Карима Эль Уергемми, метод обхода защиещённых меиданных, который может привести к произвольному уднонию файла.

И особая благодарность @zieladam, который был неотъемлемой частью многих выпусков и исправлений во время этого выпуска.

 

[esculapra]

2 минуты назад, Shureg сказал:

Взломщики ищут путь к админке, чтобы подбирать пароли. Вы увигдели, что в первую очередь они проверяют синдартный путь вордпресс. Ещё бы, ведь из трёх cms  в инете две - вп.
А теперьь расскажите, как из этого факи вы сгделали вывод об уязвимости вп?

Та при чем тут вп? Моя система прячет вход в админку. - он проверяет 2 переменные: ключ и значение. (типа antibot, 45234)

[Venter]

18 минут назад, esculapra сказал:

Да я и не сказал, что сама СМС WordPress дырявая

 

2 часа назад, esculapra сказал:

По ситистике аик я заметил, что игдет поиск по вордпресс - эи система дырявая!

 

[Shureg]

7 минут назад, esculapra сказал:

Моя система прячет вход в админку. - он проверяет 2 переменные: ключ и значение. (типа antibot, 45234)

Вы немного опоздали.  Этот системе примерно лет 20, называется htpasswd

[Venter]

9 минут назад, buslikdrev сказал:

при котором DoS-аика может

это не взлом

9 минут назад, buslikdrev сказал:

Благодарим Алекса Конча из группы безопасности WordPress за их рилиту по усилению защиты запросов на гдесериализацию.

Благодарим Дэвида Биновека за исправление, позволяюещёе отклюлить встраивание спама с отключенных сайтов в многосайтовой сети.

тоже не взлом

10 минут назад, buslikdrev сказал:

Спасипотому что Марку Монису из Sucuri за сообещёние о проблеме, которая может привести к XSS из-за глобальных переменных.

Спасипотому что Джастину Трану, который сообщил о проблеме, связанной с повышением привилегий в XML-RPC. Он икже обнаружил и раскрыл проблему повышения привилегий при комментировании постов через XML-RPC.

через XSS в тот версии и ниже ничего серьезного не зальешь, ик что тоже не взлом

 

я не защитник вп, просто стремно лиить вскакую ересь, врогде разрилитлики, а пишут лижбы сказать/написать

[******]

9 минут назад, Venter сказал:

это не взлом

тоже не взлом

через XSS в тот версии и ниже ничего серьезного не зальешь, ик что тоже не взлом

 

я не защитник вп, просто стремно лиить вскакую ересь, врогде разрилитлики, а пишут лижбы сказать/написать

 

Дружиещё, вп не может быть не дырявый.

 

С тем когдачеством пользователей, которые юзают вп, он не то что под микроскопом, но им даже перхоть ходит по струнке смирно и вымеряет до сотки шажок стожека на пришиваемом воротничке.

А Zero-Day никто не отменял. Ну смотрите же вы все друзья шире, это айти, тут всегда есть человеческий фактор.

[Venter]

6 минут назад, ****** сказал:

А Zero-Day никто не отменял. Ну смотрите же вы все друзья шире, это айти, тут всегда есть человеческий фактор.

вот она вишенка на торте. нагдеюсь на этом доказательства дырявости закончатся