The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Массовое поражение интернет-магазинов на базе osCommerce и б..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от opennews (ok) on 04-Авг-11, 15:28 
В сети зафиксировано (http://blog.armorize.com/2011/07/willysycom-mass-injection-o...) массовое поражение интернет-магазинов, построенных на базе свободной платформы osCommerce (http://www.oscommerce.com/). События развиваются достаточно интенсивно, если 24 июля используя Google было выявлено около 90 тысяч страниц, содержащих вредоносные вставки, то 31 июля пораженных страниц было уже 3.8 миллиона, а 3 августа - 6.3 миллионов.


В процессе атаки эксплуатируется сразу несколько уязвимостей в различных выпусках osCommerce, позволяющих злоумышленнику внедрить свой JavaScript-код на страницы. В настоящий момент огромное число интернет магазинов продолжает оставаться на старых версиях платформы, но проблема касается не только их, например, среди используемых проблем безопасности упомянуты  найденные 14 мая и 10 июля уязвимости, проявляющиеся в последней (http://www.oscommerce.com/solutions/download) стабильной версии 2.3.1.  Кроме того, в процессе атаки эксплуатируются еще как ми...

URL: http://blog.armorize.com/2011/07/willysycom-mass-injection-o...
Новость: http://www.opennet.dev/opennews/art.shtml?num=31377

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  –3 +/
Сообщение от iCat (ok) on 04-Авг-11, 15:28 
Хм-м-м...
А если во входные двери магазинов не врезать замки и не ставить охрану - их тоже будут грабить...
А ещё можно (для удобства) Apache от root запускать... Это - тоже "уязвимость"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от hummermania (ok) on 04-Авг-11, 15:48 
Тут же программные уязвимости еще из плагинов пришедшие. Поди проконтролируй все состояния системы. Это как если бы в замок для магазина была бы по ошибке заложена особенность конструкции, которая его легко открывает. Здесь спасет регулярное централизованное обновление плагинов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  –2 +/
Сообщение от iCat (ok) on 04-Авг-11, 16:02 
От "онодолжносамо головного мозга" лечиться нужно. Я именно это имел в виду.
Сколько ни обновляйся, сколько ни вкладывай в "системы безопасности", и прочие "заумности", а в отсутствии здравого смысла более-менее приемлемого уровня безопасности не достичь.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  –4 +/
Сообщение от ubuntulyb (ok) on 04-Авг-11, 16:15 
да, не достичь щас, но скоро вычеслить окажется с пол пина атаки и любой который может их сделать (таких останется единицы) не станет средства на всякие commercы на wp расходывать, пока сеть такая то конечно это продолжается, все зависит от мощностей процессора, покашто их не хвтает для глобальных проектов
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +3 +/
Сообщение от iCat (ok) on 04-Авг-11, 16:18 
Ух, ты! А без пробелов можешь?
А по делу - никакие мощности не спасут от раздолбайства и безграмотности.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от тоже Аноним (ok) on 04-Авг-11, 16:24 
Мощности не спасут, а предусмотрительность программистов системы - может.
Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с предметом.
Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов, но при этом надежна.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от zazik (ok) on 04-Авг-11, 17:06 
> Мощности не спасут, а предусмотрительность программистов системы - может.
> Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в
> реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с
> предметом.
> Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов,
> но при этом надежна.

Очень надёжна, да :) Видел я, как инкассатор в одиночку обходит крупный торговый центр и возвращается с собранными деньгами в машину.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от тоже Аноним email(ok) on 04-Авг-11, 21:22 
Описанная вами ситуация сложилась по причине каких-то личных недостатков этого конкретного инкассатора?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от zazik (ok) on 04-Авг-11, 23:09 
> Описанная вами ситуация сложилась по причине каких-то личных недостатков этого конкретного
> инкассатора?

Маловероятно. Скорее всего это сверхнадёжный регламент - ходить поодиночке с крупной суммой денег по территории с большим количеством людей и выходов. Притом, что рядом крупные транспортные магистрали, остановки общественного транспорта и минутах 20-30 неторопливого движения(если нет пробок) - выезд из города. Ну район спальный, что тоже способствует.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +1 +/
Сообщение от ffirefox on 05-Авг-11, 01:15 
Ловля на живца ;)
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от zazik (ok) on 05-Авг-11, 09:40 
> Ловля на живца ;)

Хороший живец, жирный :) Представляю, какая выручка по всем магазинчикам в этом ТЦ за день. Иногда я даже жалею, что я такой законопослушный и правильный.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

21. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +1 +/
Сообщение от Анонимный Аноним on 04-Авг-11, 19:27 
Прикинь потенциальную выгоду от простого, но очень эффективного JavaScript'а, который отправляет введённые в форму данные о кредитной карте куда-то там, где их аккуратно складывают и используют со злым умыслом. Все эти «единицы», которые такие атаки смогут проворачивать будут именно «на всякие commercы» свои средства «расходывать».

И прекрати прогуливать уроки русского языка в школе.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от Аноним (??) on 04-Авг-11, 17:25 
> А если во входные двери магазинов не врезать замки и не ставить
> охрану - их тоже будут грабить...

А это при чем ? Дыра в последнем стабильном релизе osCommerce. По вашей логике, любой интернет-магазин это магазин без замков, так как там потенциально могут быть уязвимости.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

29. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от iCat (ok) on 05-Авг-11, 02:18 
> А это при чем ? Дыра в последнем стабильном релизе osCommerce. По
> вашей логике, любой интернет-магазин это магазин без замков, так как там
> потенциально могут быть уязвимости.

Значит, я не достаточно ясно выразился.
"Искаропки" софт настроен так, чтобы "запустился, и - работает". Без учёта всевозможных "индивидуальностей окружения". Настройка софта "под эксплуатацию" - это как раз и есть  работа системных администраторов.
Все попытки сделать "универсальные настройки" приводили к MS-way.
Любой шаблонный набор скриптов не предусматривает "защиту" или "максимальную выгоду". На то это и "шаблон", чтобы из него можно было сделать много _разного_, а не только "Интернет-магазин Васисуалия Форестера по торговле шаблонами C++".

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

4. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  –1 +/
Сообщение от aaa (??) on 04-Авг-11, 16:10 
пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от Аноним (??) on 04-Авг-11, 16:20 
+0.(9) тебе. Сам всегда так делал, никаких проблем с безопасностью не было.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +5 +/
Сообщение от filosofem (ok) on 04-Авг-11, 16:28 
Безопасность по принципу неуловимого Джо.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +1 +/
Сообщение от Аноним (??) on 04-Авг-11, 16:42 
раз Джо до сих пор ловят, то наверно не такая уж и плохая защита
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +3 +/
Сообщение от sashka_ua on 04-Авг-11, 16:44 
Так смысл как раз в том, что никто его и не ловит. :)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +4 +/
Сообщение от Аноним (??) on 04-Авг-11, 17:27 
> пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...

В Sony вон написали и расплатились раза три номерами кредиток клиентов :-)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +1 +/
Сообщение от Аноним (??) on 04-Авг-11, 17:35 
> пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...

Фирме Сони этот рецепт не очень помог. Наверное дело в том что не все кодеры одинаково полезны.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

25. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от тоже Аноним email(ok) on 04-Авг-11, 21:24 
Если сайт можно просто взять и написать с нуля, очень высока вероятность того, что этот сайт никому на хрен не нужен. Именно этим объясняется "безопасность" самописных сайтов.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  –1 +/
Сообщение от Shurik email(??) on 04-Авг-11, 17:24 
А Drupal в качестве инет-магазина "безопаснее" будет? Я ниче почти не шарю в этом. Был инет-магаз свой на оскоммерсе. Закрыл (товар который продавал исчез у поставщиков). Прошел год. Теперь появился. Но все заново необходимо теперь делать((
был парень который мне помогал с магазом,но из-за новой работы на это у него нет больше времени.
Есть шаблон сайта (старый магаз) его надо посадить на хороший движок и отправить на хост (ht systems был хостингом) Кто готов за деньги помочь пишите на почту bredbull@ya.ru
всем спасибо
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +1 +/
Сообщение от Etch on 05-Авг-11, 12:48 
http://opencartforum.ru/
Там же найдёшь тех, кто поможет за деньги.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  –1 +/
Сообщение от Аноним (??) on 05-Авг-11, 00:16 
Я один замечаю, что подобных новостей об уязвимостях всяких там открытых проектов становится все больше и больше? Причем, эти уязвимости вполне конкретно эксплуатируются, а не как раньше только находились и фикслись.
Это приведет к потере доверия ко всем эти якобы надежным опенсорсам, что может вылиться либо в возвращение к закрытым софтам либо к извлечению рук открытых программистов из того места, где они сейчас находятся, что тоже приводит к коммерциализации их разработок. В общем, перспективы пугающие.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Массовое поражение интернет-магазинов на базе osCommerce..."  +/
Сообщение от anonymous (??) on 05-Авг-11, 04:35 
> Это приведет к потере доверия ко всем эти якобы надежным опенсорсам

что-то к «потере доверия к якобы надёжной проприетарщине» не привело до сих пор.

впрочем, если хомки понесут в клювах бабло проприетарщикам — туда им и дорога. станет чище и легче дышать.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от Аноним (??) on 05-Авг-11, 07:32 
> может вылиться либо в возвращение к закрытым софтам либо к извлечению
> рук открытых программистов из того места, где они сейчас находятся,

Ну тогда винду и IE уже должно было бы использовать 0 человек, если почитать списки уязвимостей. И как бы не в обиду, но в опенсорцных хромах и фоксах такие баги чинят не в пример оперативнее и не ждут месяц чтобы фикс раздать.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  –1 +/
Сообщение от Аноним (??) on 05-Авг-11, 02:21 
Универсальное средство от таких уязвимостей - ReadOnly права на все папки и файлы, я так свой магаз вылечил :) Когда надо чтото изменить меняю права через шел
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от ызусефещк on 05-Авг-11, 12:34 
И на каждый новый товар картинку закинуть - тоже в шелл лезть? Не похоже на "универсальное" средство.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

37. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от Mna (??) on 05-Авг-11, 14:33 
Так вот чьи сайты уязвимостями грешат :)
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от Павел (??) on 07-Авг-11, 12:02 
А почему бы и нет, не вижу никакой сложности, перед загрузкой новых товаров набрать пару команд в консоли
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +1 +/
Сообщение от detergen email on 05-Авг-11, 14:24 
Ага, особенно когда зловредный код в БД пишется... сходите по ссылкам
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

41. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от Павел (??) on 07-Авг-11, 12:05 
Ага. Пусть пишется, зато злоумышленник мне на сайт свои файлы не сможет загрузить
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от vov (??) on 05-Авг-11, 14:45 
Довольно действенное решение "прятать" админку, на стадии установки предлагается ввести ее адрес. Так в zencart сделали.
Так же тупо и просто админку http авторизацией дополнительно закрывают.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

39. "Массовое поражение интернет-магазинов на базе osCommerce и б..."  +/
Сообщение от анонимус (??) on 05-Авг-11, 21:12 
>Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "http://blogger.com.somebadhackersite.com/badscript.php" и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.

Epic! :D

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру