Взлом сайта на DLE через VAuth 8. Бэкдор в модуле

Достойный ответ, особенно про идеальный код. А по поводу такого рода уязвимостей они ещё были со времён первых модулей REZER-а когда он воевал с теми кто нулил его модули, затем этим же методом пользовались savgroup. Не поддерживаю такой метод, но также против раскачивания лодки и устраивания паники для клиентов и пиара на этом. Клиенты кроме одного не пострадали, и у того единственного попал сайт использование модуля на котором не было оплачено, а значит по условиям разработчик за безопасность использования на нём модуля не отвечал:

/ru/forum/comment/11615271;postcount=15

dlepro_com, вы тоже невменяемы?

как можно не отвечать за то, что сам и сделал? подонок-разработчик сам взломал. если он не отвечает за содеянное, то он невминяемый, любая психиатрическая экспертиза подтвердит это 😂

если он вменяемый, то - УК РФ.

выбирайте ☝

Вы знаете "за многих"? По-моему, смущает только Вас.. не нужно говорить за остальных людей.. в жизни это только мешает, поверьте...

Послушайте, ну вы же вроде нормальный человек... Посмотрите еще раз на скриншоты в топике..

и ответьте на вопрос:

"Где автор модуля указывал, что только на ПРОПЛАЧЕННЫХ доменах можно использовать модуль? Он говорил "на СВОИХ - можно"...

Пострадавший как раз и использовал на СВОЕМ домене... а то, что автор модуля "имел ввиду под словом СВОЙ - ПРОПЛАЧЕННЫЙ" - это сугубо его проблемы... нужно было так и говорить сразу.. "привязка к домену"..

все...

Ты за обвинениями следи, пожалуйста...

Я тебе уже ТРИЖДЫ предлагал СРАВНИТЬ КОД... Ты - молчишь.. Значит, прекрасно понимаешь что код не твой, потому что у нас подключение модуля- одна правка.. а у тебя - гораздо больше?...

Объясняю: у нас - сформировалась команда.. Так как я лидер и организатор, то продаю наши продукты и ответственность за них - несу я... Естественно, если бы этот модуль выставил никому не известный программист с нулевым кошельком и который только вчера зарегистрирован на Серче- что подумали бы люди?..

Теперь смотрим с другой стороны: раз я готов подставить свой кошелек с 2005 года и аттестат + репутацию, то я прекрасно осознаю качество нашего продукта, отсутствие бекдора и т.д... и т.п...

Или зачем, по вашему, все эти BL|аттестаты вводятся? просто так?

dlepro_com, /ru/forum/comment/11615271;postcount=15

То есть ВЫ считаете нормальным, что автор сказал "да, ставьте модуль... но если я удалю все у вас нафиг- я не виноват"?

В таком случае, мне Вас жаль...

автор бекдора сам же написал "на свои сайты - сколько угодно.. но без поддержки"....

кому верить? (специально для вас выделил)

---------- Добавлено 24.04.2013 в 16:55 ----------

Вывод таков:

автор бекдора понял, что заварилась каша.. и вместо того, чтобы признать "я был неправ, удалив новости с сайта клиента" - начал цепляться за слова и выкручиваться....

lifeart, ну может все таки сравним код? вдруг 1000$ выиграешь?

невминяемы Вы в действиях, я бы на вашем месте увидев слова про безопасность, всё-таки задумался.

Я не собираюсь обсуждать далее моральные и другие качества ваши и разработчика, а тем более поступки. Я как против методов защиты разработчика, так и против того что вы выложили модуль в паблик, тем самым сначала дали информацию о уязвимости, а затем дали и инструмент для её изучения, что не меньше чем сюрприз разработчика могло повлечь массовые взломы сайтом использующих данный модуль на неоплаченных "своих" доменах. Такие вещи приватны, надо думать что делаете!

А главное тема звучит: Взлом сайта на DLE через VAuth 8. Бэкдор в модуле, а не кто-то подонок. Ссылку на данную тему размножили по сайтам тематики DLE при пиаре нового модуля конкурентов, устраивая панику среди клиентов данного модуля, я ещё раз пишу что модуль был опасен при его использовании на доменах за которые он не был оплачен, это подтвердили и независимые программисты, смотревшие код. Теперь о модуле раз тема всё-таки о нём а не названа что его разработчик нехороший человек.

Код открыт со слов разработчика уязвимость пофиксена, но и ранее для клиентов опасности не представляла, на тех доменах которые были оплачены, про остальные разработчик, повторяюсь, писал что не отвечает за безопасность! Так что раз топик касается модуля, тут я думаю сейчас всё ясно уязвимость пофиксена.

По поводу именно вас я не увидел ни одного факта, деяний которые вы приписывали разработчику: то что зашли с его вк так, а откуда должны были искать его клиентов?

На скринах видно что оплачивали вы не за тот домен который был взломан, про использование модуля на других доменах вас предупредили за безопасность, меня бы это насторожило. В своё время savgroup тоже предупреждало и тем кто обратил внимание на это предупреждение, было ясно что что-то есть, так оно и вышло второй админчик появлялся и только там где разработчика не уведомляли об использовании мода. В среде где большинство используют нуленные движки каждый защищается как может, я не оправдываю, но понимаю разработчиков.

Говорю за себя. Меня очень смущает закрытый код. Я точно не Ваш клиент.

Представьте на сайте 10 модулей и каждый закрыт. Один закрыт зендом, другой еще какой-то херней, третий на си++ без исходников. Вот зашибись будет обновляться, когда выйдет дле 10++. А когда нужно подправить модуль или дописать функционал тоже проблем море. А когда базу сломают, на кого думать? А может это хостинг накосячил или сам дле?)) И сколько стоит база и файлы клиента? Скупой платит дважды. Дешевле заплатить фрилансеру или найти нормальный модуль, благо их куча.

Вы как учитель труда, который считает свой предмет самым важным в школе.

Сайт не только из вашего модуля состоит. Еще раз, я не Ваш клиент. Лично мне все равно делайте что хотите, если есть покупатели, хорошо. Удачи!!!

Я вас умаляю... Если кому-то захотелось с помощью данного модуля взломать сайт (ы), ему так трудно было бы за 100-200-300 рублей его приобрести? 😂 И усе... Весь код в распоряжении, крути-как хочу.

С другой стороны, да, то, что ТС сделал паблик из данного модуля здесь - не очень хорошо... Но с такими скрытыми возможностями данного продукта - туда ему и место, а не деньги платить за то, что получаешь на своем сайте уязвиомсть, которой автор в любое время и по ведомым только ему причинам и желаниям может воспользоваться. Да ладно бы слегка похулиганил, получив доступ к сайту, но действия были серьезней.

savgroup потерял кучу клиентов и доверие, зашив бекдор. VAuth потерял много клиентов.

savgroup пишет что этим больше не занимается, но все равно осадок остался. Клеймо для разработчика.

dlepro_com, Вы пытаетесь оправдать бекдор в коде?

Я бы не стал брать модуль в который вшит бекдор. Продавец тогда должен заранее предупреждать, а каждый уж сам решит. А вдруг у разработчика настроение испортится и он все сайты снесет. Или Ваш сайт будет настолько лакомым, что разработчик сможет поступится со своими принципами.

Вы готовы электрику оставить ключи от своей квартиры? Он хороший человек и грабит только тех, кто не платит за свет.

Вы как-то то ли упорно не хотите понимать самой "изюминки" этого модуля, то ли читаете между строк, или свой какой скрытый умысел имеется, или в доле с автором этого "шедевра" хакеростроения? Какая фиг разница, на каком сайте был размещен модуль, на "оплаченном", на одном из своих оплаченных, или на чужом? Модуль одинаково опасен для любого сайта и, при желании автора, бэкдор мог сработать на любом из них. Вот в чем фишка.

querty, вот и я о том же. Но, видно, мы на непонятном языке объясняем очевидное.

StAlKeR-xXl не понимаю вашей паники - хотите сравнить - github.com (выкладывайте, кидайте ссылку, пускай люди сравнят)

Почему я должен платить вам деньги, если мой код распространяется бесплатно, и старше вашего на 2 года?

Я высказал предположение (по поводу Copy/Past), на мой взгляд довольно объективное, вы можете его развеять.

Сайт (от англ. website: web — «паутина, сеть» и site — «место», буквально «место, сегмент, часть в сети») — совокупность электронных документов (файлов) частного лица или организации в компьютерной сети, объединённых под одним адресом (доменным именем или IP-адресом).

Модуль действительно можно использовать и на поддоменах (без ущерба его безопасности)

Если мы говорим про понимание - то в данном контексте разговора по моему мнению сайты - множество поддоменов домена, для которого приобретался модуль.

Денис (Minaev_su) задал мне вопрос: можно использовать этот скрипт на других сайтах?

Я ему ответил, в том контексте, в котором понял его вопрос.

Если бы он спросил: можно использовать этот скрипт на других доменах?

Я бы ему показал эту страничку: http://vk.com/topic-34755710_26343767

Модуль априори продавался для доменов, и странно наверно смотрелся бы вопрос вида:

Я вот купил у вас для одного домена, а можно я буду его использовать ещё на 5 разных доменах?

Я купил бутылку кефира, а можно ещё пару с собой захвачу?

Насчёт криков про "бекдор":

- вы вообще понимаете масштаб вопроса?

- эксплуатация купленного модуля для домена безопасна (никто не доказал обратного, а если докажет - с меня денег ему 500р за найденную уязвимость)

- вы кричите про него так, что можно подумать что код априори дырявый, и что я сплю и вижу чтобы вредить своим клиентам.

- почему меня должны волновать вопросы безопасности использования коммерческой версии модуля на "нелицензионных" доменах?

- если вы вилку в глаз воткнёте, то производитель вилки виноват что вы её не по назначению использовали?

- если дали другу ложку, а он от вас подхватил ангину, то тоже производитель ложки виноват?

- разумеется я отказываюсь от ответственности при условии эксплуатации коммерческой версии модуля на не оплаченных доменах.

- дай дураку хрустальный шар в руки, он и шар разобьет, и руки порежет

- ни один сайт, для которого покупался модуль не пострадал, я не вижу смыла разводить демагогию и кидаться палками.

- модуль не имеет известных мне уязвимостей при эксплуатации его по назначению. (на машине в космос не улететь)

Я вот благодарен ТС. Если бы не эта тема, возможно установил бы бесплатную версию VAuth 8. А так наткнулся на тему и отправил скрипт в корзину. Единственное, что можно было сделать оповестить владельцев данного модуля перед публикации. НО у ТС не мог это сделать, т. к. у него нет контактов клиентов. Поэтому автор модуля должен был сам всех оповестить и пофиксить баг.

Так что не нужно все наизнанку выворачивать. ТС сделал доброе дело, а теперь его тут пытаются обвинить.

Этично в данном случае подать в суд на разработчика. ЗоЗПП нарушен (продавец знал о бекдоре и не уведомил), к нему прикрепить иск. Далее если прокуратура докажет, что сам автор и взломал сайт, то УК РФ -> условка.

В принципе, это любой покупатель может сделать. Если вы купили скрипт и не знали о бекдоре - это не значит, что вашу базу не скачали через этот бекдор.