Упс, я даже не обратил внимания что не в ту рубрику. Была открыта эта, ну и того 🍾
Вообщем топик можно закрывать. Злодеи не сильно наследили. Могли бы последствия оказаться более плачевными. Сайт сново функционирует.
Блин, вот одного не пойму - какого макара мне в репу минусов наставили? Реальный случай расказал и показал как поломали сайт. Ну и давай мне жбанить минусов анонимно.
Блин, ну давайте тогда будем обсуждать какая у оптимизатора машина, телефон и все такое прочее.
Стыдно анонимы, стыдно должно быть.
Думаю и там и там :)
Программа: Bitrix Site Manager 4.x
Удаленный пользователь может выполнить CSS нападение, получить важные данные и перенаправить пользователя на другие сайты.
1. Ввод, передающийся в параметрах административной секции не проверяется перед использованием. Нападающий может выполнить произвольные скрипты в контексте уязвимого сайта. Для эксплуатации требуется доступ к административной секции.
2. Доступ к bitrix/updates/updater.log не ограничен, нападающий может получить важные данные.
3. Ввод, передающийся к параметру back_url не проверяется перед использованием, это может использоваться для перенаправления пользователя на другие сайты.
Взято тут
кстати, там в списке нашли не мало сайтов на Битриксе
Еще интересненькое. В добавленом файле мы нашли путь на уродский музон, который там играл, вот на этом сайте http://www.dengesizler.org
интересно то, что там перечислены те сайты. которые сломаны с возможностью их посмотреть
Во что наделали уроды. Каким то фигом получили фтп доступ, переписали файл .htaccess и добавили одну хтмл страничку
хостер 100MB
Прошу тоже скинуть в личку все подробности, есть заинтересованность в постоянном сотрудничестве
Лёлик, а интересно - сколько вы собрали сами такими методами и белые ли они в действительности?
в ультре дороговато. я тут покупаю http://pro.sunrise.ru/
Не только комплектующие. свой палм treo 650 я у них брал как только он появился тогда за 16500, в то время как везде он лежал по 18000
Делайте выводы
