Если есть конкретные вопросы, пишите в личку или в твиттер - Безопасность

Взлом сайта на DLE через VAuth 8. Бэкдор в модуле

Minaev_su · 2013-03-13T13:28:51.0000000Z

всем привет. я админ сайта http://minaev.su/ . вчера мой сайт был взломан, были удалены все новости и статьи. это продолжалось несколько раз, пока я пытался восстанавливать базу. попутно со всем была сделана спам-рассылка по базе пользователей. на сайте стоял 1 сторонний модуль VAuth 8 - авторизация через социальные сети. на него и было обращено внимание. анализ логов скрипта показал, что взломщики использовали эти 3 ip-адреса: 95.140.92.69, 88.201.187.14 и 94.25.228.74, использовал ники my_little_surprise и my_little_surprise2. Проследил откуда эти ip пришли на сайт, одна из этих страниц http://vk.com/im?sel=1679036 это диалог с разработчиком скрипта VAuth Александром Канунниковым, вот его страница http://vk.com/id1679036 . Отсюда я делаю вывод, что автор скрипта знал о происходящем, по крайне мере, он знал о взломе и о том, кто это сделал. Скриншот лога: Новость (на данный момент удалена) "Сегодня сайт Minaev.su подвергся хакерской атаке" попутно я отпраляю хакеру сообщение в твиттер , вдруг отреагирует. успех. канунников ретвитит. он точно в курсе событий, следит за твиттером @Minaev_su и ему это нравится. сегодня с утра в твиттере мы с ним вели не совсем конструктивную переписку , в основном всё склонялось к наездам друг на друга. данный диалог нужен был для того, чтобы понять, как Канунников реагирует на взлом сайта через его модуль. Он нисколько не раскаивался и находил всё происходящее забавным. соучастник или исполнитель взлома? он всё время оперирует тем, что скрипт был украден это ложь. скрипт был куплен . о способах его использования было обговорено в процессе покупки: бесспорный факт покупки: он говорит, что банит мой wmid, тем самым подтверждает, что деньги были переведены и скрипт не был украден: ирония : о Боже, Саша расстроился от того, что я его оскорбил... да, это ничто по сравнению со взломом сайта и удалением контента. о каких угрозах идёт речь я так и не понял... сразу после взлома он меняет условия продажи скрипта и давит на то, что скрипт установлен незаконно. это ложь. скрипт работал на заранее обговорённых условиях, за техподдержкой скрипта я никогда не обращался. все эти доводы я публиковал в его группе, но он всё удалил и заблокировал мой аккаунт. выводы из всей этой истории: 1. автор - лжец и не соблюдает условий договора 2. автор - взломщик, который использует бэкдор в своём скрипте для доступа к БД сайтов. 3. к тому же он - клеветник, т.к. распространяет заведомо ложную информацию о своих клиентах, чтобы скрыть свои грехи. последние 2 тянут на несколько статей УК РФ. о том, что автор лжец красноречиво говорит его же заявление: Как после всего происходящего можно писать о безопасности скрипта... Вы всё ещё верите, что его модуль безопасен? :) тогда он идёт к вам! Вторая часть выступления у кого стоит этот модуль - думайте сами, на вашем сайте бэкдор, который неизвестно когда может открыться и удалить весь ваш контент. лирическое отступление если, даже, учесть факт нарушения сайтом договора об использовании скрипта, то это не даёт права ломать сайт. на сайте лицензионная DLE, нет смысла подставлятся из-за копеечного модуля. предупреждения с отсылкой на новые условия хватает, чтобы проплатить эти самые "новые условия". Александр Канунников повёл себя крайне непрофессионально и нечестно. Для чего автор модуля ввязался во взлом сайта? это такая подстава и очернение собственной репутации. С этим человеком я больше никогда не буду иметь дел и хотел бы вам посоветовать. Решайте сами. Если кому-то какие-либо подробности и детали - пишите в личку или в твиттер.

1609

SeVlad

1 апреля 2013, 19:22

#21

siv1987:
Даешь логи эксплуатации бэкдора!!1

Видимо ТС не может их показать тк они в суде, как вещдоки. ;)

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.

IL

435

ivan-lev

1 апреля 2013, 19:53

#22

Minaev_su:
есть информация - внимай

А какая информация? Что зашли, наследили и ушли? Так тут под это специальную тему сделали..

Minaev_su:
анализ логов скрипта показал, что взломщики использовали эти 3 ip-адреса: 95.140.92.69, 88.201.187.14 и 94.25.228.74,

А он (анализ) не показал, как можно воспроизвести всё это? В смысле, на любом другом сайте с сабжевым модулем? (возможно на своём втором получится, где модуль купленный установлен (был?))

Из переписки в твиттере:
в логах всё есть. идиот, слон и индюк - это ты. спроси людей, как следаки с Москвы приезжают. и в Омск приедут, не волнуйся

Там действительно "всё есть"? Или это для красного словца было?

Minaev_su, спасибо за предупреждение.. но было бы неплохо чуть больше информации... если не технической, то хотя бы скандалы-интриги-расследования

🍿

SeVlad:
Видимо ТС не может их показать тк они в суде, как вещдоки.

Нотариально заверенные логи? 😂

1

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )

Распространение ПО - интриги, % выходов - позитивный Вымогают деньги за чужие

196

Милованов Ю.С

1 апреля 2013, 20:26

#23

Да уж......

ТС, а ни че, что Ваши доказательства(логи) можно подделать в Notepad'е?

На заборе знаете ли, тоже много чего написано... А оказалось что это просто сук;)

Подпись))

MS

2

Minaev_su

1 апреля 2013, 20:40

#24

ivan-lev:
Minaev_su, спасибо за предупреждение.. но было бы неплохо чуть больше информации... если не технической, то хотя бы скандалы-интриги-расследования
🍿

поставьте себе модуль на сайт и попросите на ачате проверить его на уязвимости - будут скандалы-интриги-расследования 🍿

---------- Добавлено 02.04.2013 в 00:44 ----------

Милованов Ю.С:
Да уж......
ТС, а ни че, что Ваши доказательства(логи) можно подделать в Notepad'е?
На заборе знаете ли, тоже много чего написано... А оказалось что это просто сук;)

не надо троллинга. бывает, что сервера изымаются и логи читаются кем надо и как надо. никто про нотпад++ и забор не вспоминает.

если есть конкретные вопросы - пишите в личку или в твиттер, тут я кормить троллоло не буду.

JaBOX.ru - новая партнерская AdSyst.ru - лучшая тизерная Доллар это пузырь. Банки

1609

SeVlad

2 апреля 2013, 13:59

#25

Minaev_su:
тут я кормить троллоло не буду.

Пока мы видим только одного - тебя.

Пришел, чё-то пофыркал... Просят доказательств - "сам дурак", говорят "покажи", в ответ - "я самый умный".

ТС, твоя адекватность под сомнением.

Minaev_su:
если есть конкретные вопросы - пишите в личку или в твиттер,

А какого ты сюда пришел? Ну и дал бы объяву в газету. Ну или в авито..

А тут, знаешь ли, форум - место общения.

Т.е. опять же - адекватность отсутствует.

Как продвигать ссылками? Мастерхост делает мозги! И все таки есть

MM

9

MiraMaX166

2 апреля 2013, 16:29

#26

Пока дочитал до конца, чуть не подскользнулся на нюнях-слюнях топик-стартера. Ну чё ныть-то? Всю историю эпик-фейла знаю из первых рук. Мораль такова - хочешь юзать коммерческий двиг - будь готов чехлить деньги на модули. Хочешь опенсорсного фривара - го то жумла и не компосируйте себе и окружающим мозг, там много бесплатного и функционального, проверенного сообществом на дыры и экплоиты...

Палю тему: Яндекс.Народ теперь В каком возврасте лучше ua-hosting.company: облачный сервер в

IL

435

ivan-lev

2 апреля 2013, 16:55

#27

Minaev_su:
бывает, что сервера изымаются и логи читаются кем надо и как надо. никто про нотпад++ и забор не вспоминает.

бывает.. Однако, похоже, это "не тот случай"?.. Про суд уже вопрошали и не один раз.. Или тайна следствия не позволяет приоткрыть завесу?

Minaev_su:
поставьте себе модуль на сайт и попросите на ачате проверить его на уязвимости - будут скандалы-интриги-расследования

К сожалению, или к счастью, нет у меня ни модуля, ни сайта на DLE

Minaev_su:
если есть конкретные вопросы

так куда ещё конкретнее - задавали уже выше..

1. есть доказательства конкретные?

2. чем закончились обещания и угрозы намёки?

В твиттере дискуссия вроде без продолжения - смысл туда писать?

MiraMaX166:
Всю историю эпик-фейла знаю из первых рук.

Подробностями не поделитесь?

Обвиняют в мошенничестве. Как Аннулирование домена Спорная ситуация с клиентом)

389

seosniks

2 апреля 2013, 17:11

#28

Minaev_su:
в модуле бэкдор и на этом - ВСЁ. пользователи лицензионных версий - под угрозой, не важно сколько они тебе отстегнули. любой хакер будет шерстить модуль на дыры.

твой модуль - пропал.
логи сервера являются доказательством не только на форуме, но и в суде. они сохранены. сюрпризы не закончились.

Очень интересно, Тс а модуль под зендом? Именно ваша копия, не та что на сайте взломана а так что лежит в архиве на вашем компе, которую продавец вам прислал после оплаты?

Просто что то не верится про бекдор. Нормальный прогер не станет вставлять бекдор.

Появился код в index.php Автонополняющиеся сайты на ДЛЕ, Переход с посиковика не

E2

128

error2k

2 апреля 2013, 18:05

#29

Я понял два момента про автора скрипта:

1. он не запрещал ставить модуль на другие домены (без гарантии и поддержки),

2. он не отрицает наличие бекдора (с ограниченным доступом).

Сейчас же вдруг ВНЕЗАПНО оказалось, что модуль ставить на другие (свои) домены нельзя, что даёт автору полное право совершенно спокойно удалить чужой сайт. Без предупреждений и ожиданий ответа.

Или здесь пропущены фрагменты истории? Например, долгая и вежливая переписка автора с ТС, о том, что он меняет модель распространения скрипта и теперь каждая копия (домен) должны оплачиваться отдельно, и что в случае отказа от новых условий модуль надо удалить в течение недели, иначе, будет применена сила - использован бекдор для удаления модуля с сайта (не удалять же весь сайт в самом деле за такое "нарушение"?).

Ну.. это я так зафантазировался, пытаясь представить автора модуля в лучшем свете.

Ап! И тигры у ног моих сели.

Нужен сервер с быстрой «SED» - система генерации Не работает редирект на

1609

SeVlad

2 апреля 2013, 18:15

#30

error2k:
Я понял два момента про автора скрипта:

Со слов ТСа или я что-то пропустил?

Курс биткоина превысил $50 тысяч

Все что нужно знать о DDоS-атаках грамотному менеджеру

Взлом сайта на DLE через VAuth 8. Бэкдор в модуле