Со дна постучали или новая оооочень критичная уязвимость в дополнениях

vir

Пока я тихо спокойно отходил от нового года и потихоньку пилил наш уже полусекретный проект, со дна постучали!

Я говорил, что модули с автообновлением с сервера — это зло!
Я говорил, что хранить фтп в базе — это зло!

Ну вот, получайте.

Есть вобщем целая пачка дополнений одного автора — не спрашивайте какого, пока не скажу.

Но в целом все очень плохо. Открытые ворота — это не октрытые ворота.
Ваша магазин никогда не был настолько уязвим, скажем так, по моим друзьям у которых стоит подобный модуль, пароль от ftp  я получил за 5 секунд.

Что делать дальше с фтп — я думаю не надо рассказывать. Сначала угоняется ваша база и переводиться удаленно на другой сервер. Потом, когда у вас не будет бекапа, удаляются все данные, и у вас не остается ничего. Это самый плохой вариант.

Не очень вариант, если вам просто поселят вирус, или украдут данные о продажах и контакты покупателей.

Еще не очень вариант, ваш магазин может появится на помойках в продаже — как «готовый скрипт магазина с заполненными товарами».

Вобщем вариантов миллион. И я не могу здесь взять и написать кто автор модуля и в чем суть уязвимости, потому что у меня нет прямой связи с этим человеком, он мне не друг, и я не уверен, среагирует он или нет.

Но молчать тоже нельзя.

Недолго думая, на коленке мы слепили сервис проверки этой заразы.

Заходите — пользуйтесь.

Что делать и как устранять — я тоже не могу писать в паблике. В личке, пожалуйста. Если проверка показала, что у вас есть зараза,  показываете что вы реальный его владелец, в меру своих скромных возможностей, скорее всего я вам помогу, в крайнем случае, отправлю к специалисту, который вам эту дыру залатает.

Если кто не верит, но ваш сайт не прошел проверку — пришлите мне его адрес в личку на форуме, я  вам пришлю в ответ ваш ftp-пароль.

Но честно говоря — это полный писец.

==============================================================================

UPD1:
С автором модулей, человек который обнаружил уязвимость ведет переговоры. Автор божится что его взломали, раскодировали его модули и закодировали опять. И выложили у него же на сервере.
Во первых — так не бывает.
Во вторых, ну что это за автор модулей, которого ломают.
В третьих я уже писал, любые механизмы доступа на сервер в обход веб-мастера, это дыра!
==============================================================================

UPD2:
Спасибо всем активистам, кто помогал искать дырявые магазины и слал хозяевам предупреждения.

==============================================================================

UPD3:
Я пошел спать, напомните Диноксу кто-нибудь, чтобы он когда закончит обновление форума своего, сделал рассылку по своим пользователям со ссылккой на чекер, по моим прикидкам заражено более 1000 магазинов.

==============================================================================

UPD4:
Каменты в блоге переведены в режим премодерации. Пишите, скоро вернусь и все проапрувлю.

==============================================================================

UPD5:

Человек, который нашел уязвимость  — спросил автора, возможно у него есть мысли какие на этот счет и он готов выплатить Bug Bounty.

Ответ просто — сказочный:

debil_2

==============================================================================

UPD6:

Автор дополнений пришел в каменты и ноет — как считаете — дать ему слово, или послать ?

==============================================================================

UPD7:

Оказывается есть нормальные сообщества пользователей Openacrt, а есть козлиная ферма. Вот про нее я вам и расскажу в следующий раз, кстати благодаря этой козлиной ферме и возникла вся наша ситуация.

UPD8:
Написал статью с подобным разбором полетов.

Хуйнаныр(73)Очко(8)

Тормозит Opencart часть 15 | Наследие упырей

bikegirl

Сначала анекдот.

Приходит хирург кардиолог к автомастеру, двигатель мол кряхтит — посмотри.
А болторез давай ныть.
— Почему мол ты получаешь 5000 долларов за операцию, а я 500 за капитальный ремонт движка?
Хирург завел двигатель и говорит — «на ремонтируй, я тебе заплачу 5000″.

Век живи век учись.

Я недавно заглядывал в Престу, 2 000 товаров, тормозит как скотина. Вроде бы все инструменты есть для аудита в ней встроенные. А с налета сделать ничего не смог. Пришлось бы переписать полдвижка. С Опенкартом же, уже давно все понятно. Мой первый пост про тормоза Opencart появился почти два года назад в январе 2014 го, с того времени магазинов в лицо и изнутри я поведал наверное штук 600 уже, и 99% стали работать зашибись.

И вдруг попадается мне магазин на opencart 1.4.8. Я уже забыл что там да как, версии движка этой лет 6, там даже класса кеша нет. Но при этом жирный сервант, вроде как какие то умники проставили индексы и все равно тормозит. При этом, тупит главная а все остальные страницы открываются в рамках.

Умники которых было до меня 5 человек, заявили, что мол мы ничего не можем сделать, движок гавно, индексы в базе есть, сервант жирный. Меняйте движок.

Но послушайте господа, 1.4.8 — это утилитарное гавно. При правильно затюненной базе, там тормозить просто нечему. Там даже сеоурлы в таблице product. И нет лишнего хлама в виде схем, кучи статусов всего чего только можно, api, отслеживаний активности пользователей и кучи хлама который появился в 2.x.

Вот тут я подзавис. Так как доступа к сереверу у меня нет. VMOD нет. PhpMyAdmin на сервере нет. Профайлера под 1.4 у меня нет. А если бы и был. У владельца магазин — он же CRM и укладывать его даже на полчаса нельзя.
На помощь пришел мод фрилансера, который db_log под 1.5, хорошо что в 1.4 и 1.5 библиотека db.php не сильно отличается или не отличается совсем. Очень быстро лог медленных запросов перевалил за пару мегабайт и было над чем работать.

И у нас обнаружилась вот такая конструкция

SELECT * FROM oc_product ……. ORDER BY RAND() LIMIT 0,3

Вылезло это в модуле Вафловиса, который выводил из избранных категорий по три случайных товара на главную. Все упыри делают свои модули на 20 дефолтных товарах из свежеустановленной сборки и забывают, что товаров может быть не только лишь 2.

И так 10 раз по 500 миллисекунд на выполнение запроса. А трафла на магазине в пик человек 20-30 в минуту. Вот они зашли и выгрызли весь ресурс у mysql.

Плюс 5 секунд загрузка главной (которая якобы не оптимизируется и меняйте движок) — это овердохуя.

Лечиться все просто. Вместо выборки трех случайных записей из сложносочлененного массива данных несколькими джоинами, отсортированного случайным образом, делаем вот так. Ограничиваем выборку случайных значений только по полю product_id, на порядок уменьшая диапазон сортируемых значений, соответственно, на порядок увеличивая скорость обработки запроса.

SELECT product_id FROM oc_product ……. ORDER BY RAND() LIMIT 0,3

Потом перебираем получившийся массив, через model_catalog_product->getProduct($product_id) получаем полные данные по нашим трем товарам. И на выходе получаем 250мс полную генерацию страницы.

Четыре специалиста. Порядка 500 долларов в труху потраченных на их услуги-заслуги. И решение, которое лежит на поверхности.

По моему это уже старость. И мне пора устраиваться Juniorom в 1С.

Хуйнаныр(8)Очко(0)

Знаете, херня в жизни случается

muzhik-bleat_44430101_orig_

Я думал долго писать мне этот пост или не писать.
Но тут возникла ситуация, что таки наверное надо.

Последние четыре года моей жизни, я жил грубо говоря на пороховой бочке, которая таки взорвалась и ничем хорошим это не закончилось.
Но суть не в этом.

Иногда у всех у нас болеют близкие. И иногда болеют так, что ты ничего не можешь сделать.
Но даже в ситуации когда ты ничего не можешь сделать и кто-то из окружения оказывается в полной жопе, все равно это в итоге очень дорого.
В моей ситуации, скажем откровенно, понимая цену вопроса, я ходил в одних штанах и в одних кроссовках четыре года. При этом имея доход раз в двадцать больше средней зарплаты по стране.
Зато я был спокоен, что возникни в нашей ситуации любые врачи, больницы и лекарства — вопрос будет закрыт моментально, и мне не придется с выпученными глазами бегать по друзьям знакомым просить денег.

Из всей ужасной истории моей жизни я вынес для себя одно. Если кто-то заболел — готовь сука бабло, и будь готов найти еще в 10 раз больше.

И знаете… Все усилия и действия, когда мы помогаем близким отдавая все… Они того стоят.
Вот у меня на сегодня нет к себе ни единой претензии, что я чего-то не сделал что мог бы. И я сплю спокойно и мне есть за что уважать себя.

А теперь к сути вопроса.
У нашей Блонди — приключился житейский казус.
Ее крестник малость приболел. Приболел очень опасно достаточно смертельно, но есть дохрена шансов что можно его вытащить и дать костлявой лещей.
Вытащить его можно задорого.
Бабло есть — но недостаточно.

Поэтому. Если кто считает себя может чем нам обязанным немножко, или мы кому нашими действиями помогли. Направьте вашу благодарность в адрес крестника Блонди
по следующим реквизитам:

Реквизиты для помощи:
Приват Банк Гривны — 5168 7556 3318 0266 — Горбач Александр Петрович
Приват Банк Доллар — 5168 7573 0919 8945 — Горбач Александр Петрович
Приват Банка Евро 5168 7573 0919 8911 — Горбач Александр Петрович
Unikredit Bank Гривны — 4874 1054 0223 0074 — Горбач Александра Владимировна

Кошельки вебмани
Гривна U237883635041
Рубли R103994560503
Доллар Z376064367043
Евро E227571332910
Яндекс 410013111425322

Как говорится, с миру по нитке голому рубаха — а Ромке жизнь.

p.s Кто такя Блонди, если кто не знает — это наша боевая подруга, которая любит вертеть хвостом и принимает активное участие в нашем коммьюнити, направляя и наставляя регулярно полезными советами новичков и не только. Вот ее профиль у Динокса,  а вот у нас.
p.s.s К чему я написал столько воды а не просто дал реквизиты и диагноз мелкого. Ну знаете ли… Это ж мой блог. Вы ко мне привыкли и такая вот у меня подача. Основная мораль — очень проста….
Бабло приходит и уходит. А будет ли у меня за что уважать себя лет в 60, для меня очень важно!

Хуйнаныр(2)Очко(0)

Идеальный SEO модуль для Opencart

seo_modul

Что хотят все владельцы магазинов?

Все хотят чтобы поисковики любили ваш магазин, также, как барышня на картинке тащится от банана.

Все слышали это волшебное слово СЕО СЕО СЕО, его слышали и гавно-разработчики студенты с fl.ru и иже с ними.

И что они делают, они тянут со складчиков феофанов и остальных сборищ пидарастов, все модули которые начинаются со слова SEO и не понимая зачем половина из них нужны. пытаются их установить, потому что это же SEO и для заказчика выйдет лишних полторы две сотни енотов.

В свое время господин Yesvik и Snastik сделали для сборки Ocstore за месяц, больше чем весь остальной осТим за все время. И это был процесс по созданию SeoPro. Ни до ни после. никто не смог реализовать более изящно задачу устранения дублей страниц в  Opencart.

Потом появился сеопак про, потом какой то дебил сделал Палладин Менеджер, это ж блять школоло — Палладин блять  Уж лучше бы сделал Бабушкины-засранные-трусы-про2-сео-менеджер.  Эти приблуды напиханы кучей функционала, но они больше калечат и тупят магазин чем, приносят пользу.

Так вот господа, давайте обсудим. Какие функции должны быть у идеального сео-модуля для Opencart?

Читать далее

Хуйнаныр(5)Очко(1)

Оживаем потихоньку. Бабуля приехала. Пирожков привезла.

dancing-baby-groot-comic-strip

Друзья мои, знаете, для меня откровением оказалось то, что человек — это такая скотина, которая привыкает ко всему.

Так что  пришло время разморозить бложик и выдать вам порцию свежачка.

Читать далее

Хуйнаныр(1)Очко(0)

Месяц хостинга бесплатно от ADMINVPS. Бабушка принесла новогодних ништяков.

adminvps.pngadminvps.png.ca2ac6a480cc986cf7adffcfa29

PARTNER2015 — минус 60% на новые заказы хостинга или VPS (с платежным циклом 1 месяц) +1 месяц бесплатно к услуге, если сайт перенесен от другого хостинг-провайдера.

Для получения скидки:
1. Оформить заказ нужной услуги с обязательным применением промо-кода на скидку.
2. Оплатить выставленный счет.
3. Обратиться в отдел техподдержки, чтобы перенесли сайт.
4. После успешного переноса написать в отдел продаж с просьбой начисления дополнительного месяца.


SERVER700 — минус 700 руб при покупке выделенного сервера (не путать с VPS).

Для использования нужно применить промо-код в процессе оформления заказа.

Внимание! Промо-коды действительны с 15.12.2015 по 31.12.2015 включительно.

Время активации и остановки промо-кодов — в 00.00 по Московскому времени.

Хуйнаныр(1)Очко(0)

Секс по телефону с заказчиками. Все за и против

1365492018-bezrabotnyj-anglichanin-istratil-na-seks-po-telefo

Меня постоянно преследует две идеи от заказчиков — первая дайте ваш телефон созвонимся. Вторая давайте встретимся в офисе у вас у нас.

Мне вот интересно, людям не хуй делать. Ездить, чаи распивать пиздеть хуй пойми о чем, на секретарш вяло мять яйца потихому?

Что это за пережитки голодных 90х, когда колбаса была по 2.20 и в тырнетах еще можно было срезать негламурную подругу, которая от души могла дать с первого раза.

Почему народ не ценит свое время, и считает, что все вокруг делают так-же.

Читать далее

Хуйнаныр(1)Очко(0)

Новости от хостеров строго 18+

rasstrelyat-ih-vseh-nahuy_45105697_orig_

Пришла вот такая жалоба нашему армянскому радио:

Если бы была проблема не сервере, то были бы ошибки соответствующие, если ваш скрипт не соответствует новой версии программы обработки то вам необходимо писать разработчикам, что они не обновляют свои скрипты для поддержания последних стандартов обработки данных.
Мы всегда будем обновлять сервера в ногу со временем.
Если у вас есть какие либо доказательство, что причиной не работы вашего сайта является наш сервер, а не вина скриптов, которые не поддерживают новые стандарты, то просим вас это предоставить.
Если вы хотите вернуть деньги, то мы также можем вернуть оставшийся баланс.

Вроде бы все верно.
А теперь смотрим с другой стороны, у нас проект. В который инвестировано 10 000 долларов. Мы качаем рекламы еще на 300 в день, и зарабатываем 500-600.

И вот какой то ослоеб администратор хостинга, решает что версия пхп устарела и надо бы обновить. И ни с того ни с сего обновляет без предупреждения-уведомления.

Переносят парни все вручную, естественно по пизде идут все права на папки, магазин ложится. И начинается классическая возня — я не я хата не моя, идем в ногу со временем.

ТУПЫЕ БЛЯДИ. ТАК РАБОТАТЬ НЕЛЬЗЯ. Вы продали клиенту серверное окружение. Руки прочь суки от настроек. Хотите что-то добавить делайте это опционально или по согласию с клиентом. Или же так, чтобы никто ничего не заметил. Не можете — идите бляди улицы подметайте.

Под катом видеоинструкция по применению таких хостеров.

Читать далее

Хуйнаныр(1)Очко(0)

Обновление до версии OCSHOP 2.1.0.1.2

zlo_ico

В версии CMS:
1. Исправлен баг с блогом о котором идет речь в этом сообщении

В сборке все файлы уже исправлены но для упрощения обновления можно использовать архив с обновлением данного релиза.

В версии PRO:
1. Вошли изменения версии CMS
2. Новый модуль Custom Footer
3. Новый модуль Custom Banner

Все купившие OCSHOP.PRO могут получить Бесплатные обновления на http://liveopencart.ru/

Для новых покупателей с сегодняшнего дня цена составляет 150 рублей.

Хуйнаныр(2)Очко(0)

Релиз OCSHOP.CMS 2.1.0.1

ocshop_2_1_0_1
Несколько часов назад вышел релиз OpenCart 2.1.0.1 в свою очередь мы рады представить вам OCSHOP.CMS 2.1.0.1 ознакомиться с возможностями можно тут.
Как вы можете заметить отличий в PRO и CMS версии на данный момент нет но про версия является платной и на сегодняшний день стоит 50 рублей :-) кстати купить можно тут. Скачать бесплатную версию можно тут.
Читать далее

Хуйнаныр(3)Очко(1)

SEO-Аудит и оптимизация магазина бесплатно. Напиши комментарий и получи $250

ded

«Мой дед говорит, делай добро и бросай его в воду».

Мы делали делали делали Ocshop  и сделали.

На сегодня, нашей сборкой пользуется более 40 000 человек. Если вдуматься в масштабах территории — это такой себе плотнозаселенный ПГТ, или небольшой город. С точки зрения мировой революции — мизер, но с точки зрения личного достижения — большой успех.

Без вас, без обратной связи, без активных участников форума — мы бы этого всего никогда не сделали.

Так что спасибо вам.

Но как известно спасибо на хлеб не намажешь. Так что в качестве, пусть небольшой но благодарности, я предлагаю одному единственному счастливчику, получить правильную настройку, оптимизацию магазина  и сео-аудит совершенно бесплатно.

Для того чтобы оказаться в числе избранных вам достаточно в комментариях к этому посту до 10 октября сделать небольшой анонс своего магазина и вкратце рассказать как вы очутились на этой подводной лодке. Избранного выберем либо через random.org, либо я на свое усмотрение по одному мне известным критериям. Реальная цена пакета услуг — $250.

Так что на старт внимание, велкам!

Хуйнаныр(3)Очко(0)

Нужна помошь зала.

0G9B_ckZQ6M

Друзья мои, очень погрязли мы в 2.0 и еще одном очень интересном проекте, который надеюсь выкатим на следующей неделе. Покупатели про версии будут довольны однозначно.

И вот знаете, когда идет работа по своим проектам, про них как то писать нечего. Все ясно-понятно и это чистая рутина. Обычно все темы для постов появляются спонтанно либо в виде каких то ситуаций с чужими магазинами, либо в виде вынашиваемой по полгода идеи, которая потихоньку превращается  в слова со смыслом, а иногда и без.

Но вот в данный момент уже две недели происходит HARD ВJoB, поэтому ни единой идеи, чем бы вас повеселить.

Я знаю что меня читают много авторитетных бандитов с того самого форума. Которым есть что рассказать. Товарищи, вываливайте, что у вас там наболело, чем занимаетесь, какие тенденции, как кризис переживаете ? Да и ваще, может кто знет секрет как бороться с преждевременой эякуляцией ?

Вобщем жду вас в каментах. Если у кого есть че обзорно написать — оформлю отдельным постом.

Хуйнаныр(1)Очко(0)

UNIVERSAL.OCSHOP.PRO 1.5.6.4.1

universal
Доступен для OCSHOP.CMS 1.5.6.4.1 и OCSHOP.PRO 1.5.6.4.1
Сравнение возможностей доступно по ссылке http://universal.ocshop.pro/overview/
Демонстрация:
OCSHOP.PRO 1.5.6.4.1
OCSHOP.CMS 1.5.6.4.1

Купить Pro версию
Скачать Lite версию

Ранее купившим OCSHOP.PRO шаблон доступен для скачивания в вашем личном кабинете.

Так же напоминает что доступны купоны для скидки в этой теме http://ocshop.info/easy-ocshop-pro-1-5-6-4-1/

Хуйнаныр(5)Очко(0)

EASY.OCSHOP.PRO 1.5.6.4.1

easy_pro
Это дополнительный шаблон для OCSHOP.PRO

Ознакомиться с возможностями вы можете по ссылке: http://easy.ocshop.pro/overview/
Демонстрационный магазин доступен по ссылке: http://easy.ocshop.pro/
Демонстрация административной части доступна по ссылке: http://easy.ocshop.pro/admin (demo\demo)

Купить можно тут: http://liveopencart.ru/opencart-moduli-shablony/moduli/prochee/ocshop-pro-1-5-6-4-1

Ранее купившим шаблон доступен бесплатно на http://liveopencart.ru/
Для новых покупателей предусмотрены скидки:
10 1 купонов для получения скидки 50% при применении купона стоимость составит 3500 р. код купона quicken
20 купонов для получения скидки 30% при применении купона стоимость составит 5000 р. код купона deckmeout

Для использования купона на скидку введите его при оформлении заказа.

После приобретения свяжитесь с  администратором для получения статуса про пользователя, по ссылке: http://forum.ocshop.info/index.php?/user/1-admin/
Для получения последующих лицензий свяжитесь с администратором , по ссылке: http://forum.ocshop.info/index.php?/user/1-admin/
Техническая поддержка OCSHOP.PRO осуществляется на форуме: http://forum.ocshop.info/

Хуйнаныр(1)Очко(0)

ИЩУТСЯ ПЕЙСАТЕЛИ МОДУЛЕЙ

wanted

Бабушка вам принесла хороший новостей мешок.

Если вы пишите хорошие модули, вас достали клиенты — мы хотим версию под OCSHOP, но один известный ресурс блокирует подобные дополнения, выход есть.

Уже давненько существует неплохая торговая площадка

logo19

 

На которой вы совершенно спокойно можете выкладывать любые дополнения под нашу сборочку. Господин 19th19th ждет вас в гости.

Мы же в свою очередь создадим тему для поддержки вашего дополнения на http://forum.ocshop.info

Хуйнаныр(1)Очко(0)

Ocshop Pro продан за 2 дня в количестве 20 сборок!

a-chto-esli-ya-skazhu-tebe_18188589_orig_

Для кота в мешке — это отличный результат.

Для всех кто не успел — цена 7000 рэ.

Всем спасибо кто отметился в этой теме.

Если вы не успели купить по скидочной цене — обращайтесь к админу на нашем форуме.

Хуйнаныр(1)Очко(0)