У Лукоморья дуб зеленый…

addist

У Лукоморья дуб зеленый…

Другого названия происходящему, у меня придумать не получилось.

Я вас никогда не просил сделать репосты, и распространить информацию.
Это первый и надеюсь последний раз по такому поводу, но я вас убедительно прошу, мои дорогие читатели, друзья, враги, хейтеры.
Распространите эту статью максимально по своим знакомым у которых есть магазины на Opencart.
Только в моем контакт листе в  скайпе из 200 человек, 10 нашли у себя эту заразу.

Попробую достаточно подробно описать вам всю ситуацию с уязвимостью в дополнениях от Addist и выразить свои догадки, почему так произошло и что делать, чтобы подобная ситуация не повторилась.

Небольшая предыстория. Три дня назад мне в личку прислали файлы модуля от Addist, в которых оказалась целая гора сюрпризов.

1 Самый явный — это:

2 Кроме этого:

3 И еще

addist_sucks

 

Для тех кто ничего не понимает в программировании, объясню на пальцах:
1. Код позволяет на вашем сервере выполнить любую команду при помощи функции eval(). Грубо говоря, если у вас стоит дополнение Addist, то получить ftp вашего магазина — это 5 секунд времени. Сделал это аддист специально, или случайно — не важно. Факт в том что такие модули обнаружились у почти 1000 владельцев работающих магазинов. Как я предполагал.

2. Во втором примере, господин Мумтоз, как называет себя Аддист, вставил инструмент, который позволяет включать-отключать его модуль также извне удаленной командой на сверер. Но то что при помощи этой конструкции можно заебать владельца магазина до смерти и отключать нон-стоп любые модули, про это аддист или не подумал. Или сделал так специально.

3. Ранее я писал про другие уязвимости в других дополнениях, Аддист болеет и этим — никакого экранирования данных передаваемых в базу, и если соответствующим образом составить данные, при помощи этой дыры можно сделать запрос в базу магазина к примеру добавить пользователя с правами суперадмина, ну а там уже перехватить полный доступ к магазину — тоже не проблема.

——————————————————————————————————————————————

После того, как я получил эту информацию, мы сделали скрипт проверки уязвимости, сделали заплатку для нее ну и я  связался с Диноксом и с 19ым, для того чтобы уведомить всех покупателей и участников комьюнити о наличии данной уязвимости.

C нашего форума и с Liveopencart рассылка пошла сразу же. А вот с Opencartforumом возникла проблема, так как он оказался в стадии переноса, и сделать рассылку не получается до сих пор.  Я все же надеюсь, что в течении следующей недели, они решат эту проблему и у нас получится охватить.

—————————————————————————————————————————————

Как я отношусь к этой ситуации.

Есть несколько аспектов, которые меня немного напрягают.

Как многие знают, все дополнения Addist были по непонятным причинам сняты с продажи на Opencartforum и на Liveopencart.
Но не всех война убила и есть еще опенкарт рашша. Основных персонажей, которые стоят за этим проектом я не знаю. Но и знать не хочу. Лично у меня есть для этого достаточно оснований.

1) Все вонючки с opencartforum, которым по каким то причинам стало там некомфортно, на ресурсах раши, чувствуют себя богами. Не будем тыкать пальцем, все всех знают.

2) Смешно Opencart Russia и в топе Равиль и Мумтоз, осталось позвать Равшан и Джамшут и будет Опенкарт Наша Раша, насяльника.

3) Среди топовых участников этого сообщества, есть несколько людей, устанавливающих клиентам варез, лично ловил за руку.

4) Эти талантливые во всех смыслах персонажи. Не сделали ничего кроме перевода. Все их сообщество держиться сугубо на переводе Opencart на русский язык.
Им некошерно использовать seo_pro для модификации ссылок, они даже не знают что это и зачем. Им некошерно делать уникальные Мета заголовки h1  и title.
Вместо того чтобы перенять опыт и взять лучшее от сообщества OcStore, или у нас. Они пошли своим тупорылым путем.

И вот эта тупорылость, недальновидность, глупость хозеяв сообщества ОпенкартНашаРаша — и это я мягко выражаюь, привела к тому что, в их «типа сборке» отсуствует нормальное seo. Соответственно, вместо того чтобы взять seo-pro от rb2 и любой генератор мета-тегов, они пригрели у себя Аддиста, которого погнали ссаными тряпками отовсюду. И им было хорошо. Модули Addist закрывали проблемы с seo, хозяева Нашей Раши зарабатывали комиссию на продаже дополнений, функционал, которых рядом лежит бесплатно, и по качеству реализации на порядок круче.

После обнаружения уязвимости. Мумтоз начал бегать как ужаленный в жопу. И плакать на всех ресурсах, что его взломали, что он не виновен. Это не его код. И с него требуют 50 000 рублей, за то, чтобы «потихому» замять эту ситуацию. А также он сообщил, что устранил на каком то количестве магазинов свою дыру, через ту же дыру.

Лично я не верю ни одному слову. Так как:

1. Мумтоз не предоставил доказательств фактов взлома.
2. По его словам он закрыл уязвимость первого типа, но я вам привел еще две, и третьего типа проблема осталась, ваши магазины все еще под угрозой.
3. Я провел небольшое личное расследование. Модули с уязвимостью у некоторых моих подопечных были куплены более года назад, для разных версий движка и на разных площадках. Чтобы не быть голословным, помните статью про битву упырей. Она написана 6 мая 2016 года. Олег купил у него модуль, в апреле. Мы подняли архив с этим модулем. Уже тогда в нем есть все вышеописанные дыры. Я не верю, что 7 месяцев, Аддист не мог не замечать, что с его сервера распространяется дырявый код.
4. Будучи не самым плохим программистом, Мумтоз, сознательно использовал небезопасные приемы и реализации, зная, что ставит под удар чужие проекты.

Знаете. Я бы с удовольствием подискутировал и с Мумтозом, и с Джамшутом и с Равшаном. И со всеми всеми, про то какой я плохой. Сколько мне заплатили за эти статьи, чтобы замочить Аддиста и Нашу Рашу, почему я раньше костерил по чем свет Динокса и его форум, а теперь перестал, почему я пиарю Liveopencart, а не пиарю Динокса и еще про массу тайн интриг и расследований. Но я не хочу. Вы там уж сами за моей спиной, думаю справитесь. Все что вам в голову взбредет, говорю сразу — это правда. Так и думайте, так и есть. Йода — средоточие зла, интриган, хам деспот и самодур.

Для всех остальных, если вам интересно мое мнение. Могу сказать просто.
Команда неудачников Нашей Раши, породила такое чудовищное явление как модули Аддиста в свободной продаже. В их оправдания я не верю. Если предположить всё-таки, что наша Маша громко плачет, и на самом деле брешет как сидорова коза, то ответственность за ситуацию абсолютно равнозначная. Как на самом Аддисте, так и на владельцах площадки Опенкарт Наша Раша.

Ну и опять же, если вам интересно мнение, что с этим делать скажу просто. Десятой дорогой обходить эту звероферму. Просто забыть адрес площадки Нашей Раши. А также я всем рекомендую УДАЛИТЬ ВСЕ ВСЕ ВСЕ ФАЙЛЫ МОДУЛЕЙ Addist и попросить у него манибек. Я даже не привожу здесь инструкции для htaccess, которыми мы блокировали всем эту дыру. Просто удаляйте модули без разбирательств. Так как просто беглым просмотром нашлось вместо одной дыры целых три.

И ребят, обычно я всегда каким то образом даю однозначные рекомендации, советы. В данной ситуации все вышенаписанное — это мое личное мнение! Я не настаиваю, чтобы вы к нему прислушивались, я ни в коем случае не призываю вас переходить на мою сторону, становиться моим фанатом, последователем, разделять мои мысли и идеи.
Я просто собрал в кучу ответы на вопросы, которые сыпятся на меня в личке и в комментариях к предыдущей статье.

p.s. Мумтозы, Равили и так далее… Идите лесом. Я изначально хотел дать вам возможность разместить пост в свое оправдание. Но ваше поведение — ниже плинтуса. Поэтому, вам не место у меня в блоге, ищите площадку плакаться за жизнь в другом месте. Здесь ваших комментариев в свое оправдание не будет. Это не Валдайский Дискуссионный клуб!

 

Хуйнаныр(80)Очко(32)

Запостить высер

Стучать мне на мыло
avatar

Сортировать:   Свежие | Тухлые | Хуйнанырные
Neocaridina
робот-вертер
Neocaridina
6 месяцев 1 день назад

>> А вот с Opencartforumом возникла проблема, так как он оказался в стадии переноса, и сделать рассылку не получается до сих пор

Была вроде рассылка, вчера.

Макаронная
робот-вертер
1 месяц 19 дней назад

В чем тогда проблема?

noVe
робот-вертер
noVe
6 месяцев 1 день назад

А где можно глянуть список его модулей? — не могу вспомнить покупал у него что-то или нет.

Андрей
робот-вертер
Андрей
6 месяцев 1 день назад

В конфликтных ситуациях ВСЕГДА есть два варианта: или признать свою ошибку или же давить свою линию.

Меня поражает тот подход, когда продавец человека посылает на йух, вместо извинится и принять удар, как мужик, как продавец.

Потом как понял, что жопа в масле и стоит очередь «присунуть», то резко начал говорить, что взломали — то есть и не признал и линию гнуть тяжело. Да до жопы все это — за язык поймает более умный или внимательный(это об архиве полугодовой давности, в котором дырище).

Марль такова:даже если все проспал из-за своей тупости — будь мужиком! Признай и извинись…

AlexDW
робот-вертер
AlexDW
6 месяцев 1 день назад

интересно, как обстоит ситуация с модулями Addist на официальном форуме opencart.com
в случае, если их код идентичен и содержит те же дыры..

Марк
робот-вертер
Марк
5 месяцев 20 дней назад

А там он продается без ioncube, без бекдуров и без деактиваторов (не обновлялся с декабря)
Все бекдуры и деактиваторы были вставлены сознательно. В этом даже нет сомнений, так как дыра была замечена еще год назад. Один пользователь поднял шум про то что его заражают через модули addist. Даже предоставил логи. Кажется после этого модуль сбрился с продажи с opencartforum.com.

Waha
робот-вертер
Waha
6 месяцев 23 часов назад

Йода как в устоявшемся порядке просвещает народ на счет упырей и спасает бизнес многих… Аве Йода :)

OldAine
робот-вертер
5 месяцев 29 дней назад

ЛОЙС! за расистский юмор))

Webmaster
робот-вертер
Webmaster
5 месяцев 29 дней назад

Хохлы , Колорады, Ватники, Узбеки, ебт… понеслось ))))

Waha
робот-вертер
Waha
5 месяцев 29 дней назад

Такое количество дизлайков говорит, о том что сюда начали заглядывать Джамушт с Равшаном)))
ИМХО мне эта недосборка вообще никогда не нравилась. Зачем было вообще ее делать, если ocStore хватало с головой. Другое дело opencart.pro обогащенная функционалом имеет право на жизнь.

Webmaster
робот-вертер
Webmaster
5 месяцев 29 дней назад

Зачем вообще что то делать, кода есть окшоп )) Еще бы шаблоны все подходили к ней, было бы совсем хорошо. А то только и вижу ярлыки «Не совмести, Не проверялось итд»

Webmaster
робот-вертер
Webmaster
5 месяцев 29 дней назад

По дизлайкам. Может кто то не согласен с радикальной позицией автора? Мне данная тема по сравнению с предыдущими, кажется тухленькой. Остальные нормальные. А тут хз… лайка много… дизлайк.. так для веса..

Александр
робот-вертер
Александр
5 месяцев 25 дней назад

С опенкарт-раша исчезли из продажи модули адиста)

Misha
робот-вертер
Misha
3 месяцев 26 дней назад

Addist сейчас новый сайт сделал с новым доменом, http://ocmodify.ru/, будьте осторожны не покупайте там модули

Alex
робот-вертер
Alex
1 месяц 16 дней назад

Нихт арбайтен! )))

wpDiscuz