Перейти к содержимому


Всех Поздравляю! Взлом Админки За 5 Минут!


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 27

#1 ogonek7777

ogonek7777

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 2 109 сообщений
  • ГородМосква

Отправлено 18 Май 2013 - 00:50

Все в курсе, что взломать платформу проще простого?

Сегодня человеку понадобилась войти ко мне в админку и он это сделал с элементарного каха http://best-hacker.r...ские-программы/ - столетнего!!! - за пару минут! Причем взлом был не моего сайта, так можно выйти на любой сайт Столенда. Фрейм даже не ругался, и все админки в распоряжении.

Господа-разработчики! Я в шоке, за что мы деньги платим?!!!!

#2 Сake

Сake

    Активный участник

  • Модератоpы
  • 5 979 сообщений

Отправлено 18 Май 2013 - 03:24

Вы говорите о брутфорсе? Брутфорс это метод подбора пароля как по словарю, так и грубой силой, по сути можно но любой ресурс совершить данную атаку, против этого можно только ставить робота, но и он в свою очередь может быть обойден путем распознавания капчи, или же друзьями китайцами которые будут сидеть и вводить вручную ключи к формам. В данном случае избежать подобной проблемы можно путем задания стойкого пароля 15~20 символов разного регистра включая спец символы и цифры. Такой пароль будет очень сложно подобрать по словарю так и случайным подбором. Плюс к этому долгий и быстрой работы подборщика на конкретную цель будет остановлен путем блокировки сети от которой исходит большое число запросов принявшее как DDOS или DOS атаку.

#3 Yurren

Yurren

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 1 415 сообщений
  • ГородСамара

Отправлено 18 Май 2013 - 07:02

Просмотр сообщенияСake (18 Май 2013 - 03:24) писал:

Вы говорите о брутфорсе? Брутфорс это метод подбора пароля как по словарю, так и грубой силой, по сути можно но любой ресурс совершить данную атаку, против этого можно только ставить робота, но и он в свою очередь может быть обойден путем распознавания капчи, или же друзьями китайцами которые будут сидеть и вводить вручную ключи к формам. В данном случае избежать подобной проблемы можно путем задания стойкого пароля 15~20 символов разного регистра включая спец символы и цифры. Такой пароль будет очень сложно подобрать по словарю так и случайным подбором. Плюс к этому долгий и быстрой работы подборщика на конкретную цель будет остановлен путем блокировки сети от которой исходит большое число запросов принявшее как DDOS или DOS атаку.
Я конечно очень далек от темы, но неужто нельзя пойти по пути эпла. Три неправильных пароля и каждый следующий через промежуток времени в геометрический прогрессии отличающийся от предыдущего?Для эпла 12 попытка неправильного кода блокировки позволяет ввести новый пароль:
R-UQmsCDDOs.jpg
Впечатляет? Почему нам так не сделать?

#4 sibulba

sibulba

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 2 335 сообщений

Отправлено 18 Май 2013 - 09:28

мда

#5 ogonek7777

ogonek7777

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 2 109 сообщений
  • ГородМосква

Отправлено 18 Май 2013 - 11:36

Просмотр сообщенияСake (18 Май 2013 - 03:24) писал:

Вы говорите о брутфорсе? Брутфорс это метод подбора пароля как по словарю, так и грубой силой, по сути можно но любой ресурс совершить данную атаку, против этого можно только ставить робота, но и он в свою очередь может быть обойден путем распознавания капчи, или же друзьями китайцами которые будут сидеть и вводить вручную ключи к формам. В данном случае избежать подобной проблемы можно путем задания стойкого пароля 15~20 символов разного регистра включая спец символы и цифры. Такой пароль будет очень сложно подобрать по словарю так и случайным подбором. Плюс к этому долгий и быстрой работы подборщика на конкретную цель будет остановлен путем блокировки сети от которой исходит большое число запросов принявшее как DDOS или DOS атаку.
Вы не понимаете грандиозности проблемы! Через эту прогу взломали не меня лично. Взломали вас! Так можно зайти в ЛЮБОЙ наш магазин, для этого не требуется ни логин, ни пароль. Сразу заходишь и делай что хочешь. 2 минуты. Своруй магазин, удали товары, вставь вирус!
Самое удивительное, что фрейм Столенда даже не ругался, как это бывает с современными фреймами. У Вас старый фрейм, который ломать легче легкого.

#6 мистка

мистка

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 2 435 сообщений
  • ГородМосква

Отправлено 18 Май 2013 - 13:35

ОГО..

#7 ogonek7777

ogonek7777

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 2 109 сообщений
  • ГородМосква

Отправлено 18 Май 2013 - 20:37

Разработчиков, как я поняла, данная тема не волнует.

Печалька.....

#8 Yurren

Yurren

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 1 415 сообщений
  • ГородСамара

Отправлено 18 Май 2013 - 20:39

Просмотр сообщенияogonek7777 (18 Май 2013 - 20:37) писал:

Разработчиков, как я поняла, данная тема не волнует.

Печалька.....
Суббота! Вечер! Пиво... Шашлыки!
Менять пароли надо на несистемные - главное потом не забыть!

#9 velena168

velena168

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 1 643 сообщений
  • ГородСанкт- Петербург

Отправлено 18 Май 2013 - 21:28

Просмотр сообщенияYurren (18 Май 2013 - 20:39) писал:

Суббота! Вечер! Пиво... Шашлыки!
Менять пароли надо на несистемные - главное потом не забыть!
Несистемные - это какие?

#10 ogonek7777

ogonek7777

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 2 109 сообщений
  • ГородМосква

Отправлено 18 Май 2013 - 22:06

Просмотр сообщенияYurren (18 Май 2013 - 20:39) писал:

Суббота! Вечер! Пиво... Шашлыки!
Менять пароли надо на несистемные - главное потом не забыть!
Ржу и плачу...
Вы все еще не хотите понять: хак не ломает ВАШУ админку, он не заходит как Вы через логин и пароль, они ему ВООБЩЕ НЕ НУЖНЫ!!!, любой чел через простенькую прогу в состоянии зайти во все админки на любом нашем сервере, по словам моего знакомого, в его распоряжении был список из 400!!!!! сайтов. В тот момент ему нужна была инфа с моей админки, и счастье, что в чел был мне дружественен, а завтра такой же чел, бывший сотрудник, к примеру, решив сделать после увольнения вам гадость, взломает вечерком Ваш сайт, velena168, или Ваш, Yurren, или вообще это будет какой-то 14-летний молокосос. В все - бац! и утром ваших сайтов НЕТ В ПРИРОДЕ.

#11 Yurren

Yurren

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 1 415 сообщений
  • ГородСамара

Отправлено 19 Май 2013 - 07:12

Просмотр сообщенияogonek7777 (18 Май 2013 - 22:06) писал:

Ржу и плачу...
Вы все еще не хотите понять: хак не ломает ВАШУ админку, он не заходит как Вы через логин и пароль, они ему ВООБЩЕ НЕ НУЖНЫ!!!, любой чел через простенькую прогу в состоянии зайти во все админки на любом нашем сервере, по словам моего знакомого, в его распоряжении был список из 400!!!!! сайтов. В тот момент ему нужна была инфа с моей админки, и счастье, что в чел был мне дружественен, а завтра такой же чел, бывший сотрудник, к примеру, решив сделать после увольнения вам гадость, взломает вечерком Ваш сайт, velena168, или Ваш, Yurren, или вообще это будет какой-то 14-летний молокосос. В все - бац! и утром ваших сайтов НЕТ В ПРИРОДЕ.
Деллла! Я действительно оказывается дремуч во всех этих делах! Одно радует - у меня три мага и все на разных платформах - лишиться трети - это не лишиться всего!

p.s. Теперь действительно очень хочется услышать мнение владельцев бизнеса!!!!!!!!!!

#12 velena168

velena168

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 1 643 сообщений
  • ГородСанкт- Петербург

Отправлено 19 Май 2013 - 11:08

Да, очень хочется увидеть комментарии support

#13 Koderhan

Koderhan

    Активный участник

  • Модератоpы
  • 6 227 сообщений

Отправлено 19 Май 2013 - 12:12

Просмотр сообщенияogonek7777 (18 Май 2013 - 00:50) писал:

Все в курсе, что взломать платформу проще простого?

Сегодня человеку понадобилась войти ко мне в админку и он это сделал с элементарного каха http://best-hacker.r...ские-программы/ - столетнего!!! - за пару минут! Причем взлом был не моего сайта, так можно выйти на любой сайт Столенда. Фрейм даже не ругался, и все админки в распоряжении.
Подобрать брутом пароль от сайта не представляется возможным, попробуйте это сделать например в ручную, у Вас за час будет не более 20 попыток. Есть действительно лёгкие пароли, например шесть единичек или админ123, он подбирается по базе популярных паролей. Но в остальных случаях подбор не эффективен, если у Вас нет нескольких десятков тысяч IP. Вы уверены что программа вместо взлома сайта по-нормальному не собрала пароли с вашего компьютера и тем самым авторизовалась в системе с правильным паролем? Могли бы Вы указать более точно какая программа из представленных взломала ваш сайт?  


Просмотр сообщенияogonek7777 (18 Май 2013 - 00:50) писал:

так можно выйти на любой сайт Столенда. Фрейм даже не ругался, и все админки в распоряжении.
Вы заходили на какой-либо из чужих сайтов? Возможно Вы этого не делали, поэтому можете попробовать например авторизоваться в этом сайте: s738409.storeland.ru логин для вашего удобства: s738408@mail.ru

P.S. По возможности "щекотливые" темы лучше писать в форму обратной связи, чтобы не давать поводов окружающим взломать в том числе и ваш сайт, если действительно проблема существует.

Просмотр сообщенияvelena168 (18 Май 2013 - 21:28) писал:

Несистемные - это какие?
Это сложные пароли, например такой:
H(8yoghnoi7*&T*"


#14 ogonek7777

ogonek7777

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 2 109 сообщений
  • ГородМосква

Отправлено 19 Май 2013 - 15:53

Просмотр сообщенияKoderhan (19 Май 2013 - 12:12) писал:

Подобрать брутом пароль от сайта не представляется возможным, попробуйте это сделать например в ручную, у Вас за час будет не более 20 попыток. Есть действительно лёгкие пароли, например шесть единичек или админ123, он подбирается по базе популярных паролей. Но в остальных случаях подбор не эффективен, если у Вас нет нескольких десятков тысяч IP. Вы уверены что программа вместо взлома сайта по-нормальному не собрала пароли с вашего компьютера и тем самым авторизовалась в системе с правильным паролем? Могли бы Вы указать более точно какая программа из представленных взломала ваш сайт?  



Вы заходили на какой-либо из чужих сайтов? Возможно Вы этого не делали, поэтому можете попробовать например авторизоваться в этом сайте: s738409.storeland.ru логин для вашего удобства: s738408@mail.ru

P.S. По возможности "щекотливые" темы лучше писать в форму обратной связи, чтобы не давать поводов окружающим взломать в том числе и ваш сайт, если действительно проблема существует.


Это сложные пароли, например такой:
H(8yoghnoi7*&T*"

Ув, модераторы, может вы слепые или читать не умеете?
1. Взлом не потребовал знания логинов
2. Взлом не требовал паролей
3. Действия проводились с чужого планшета
4. Для этого просто набрали в поисковике "хакеркие программы", открыли первую попавшуюся и вошли К ВАМ НА СЕРВЕР. Я дала вам ссылку в первом посте. Да не важно даже, если куча старых прог ломает Столенд, то это значит, что защиты у вас просто нет. Я ведь не говорю, что появилась новая супер-пупер прога и вас взломала. Тут стараться не надо. Чего мне звонить и выяснять? Берите первые 10 выпавших прог по запросу "ках" и попробуйте себя взломать.
5. По словам, в доступе были около 400 сайтов. То есть был взломан ВАШ СЕРВЕР.
6. И тему я намерена обсуждать также и на форуме, так как это не мои с вами личные терки, а конкретный косяк и скандал. Тема касается всех, ув пользователи, кто-то не согласен со мной? Кто-то из вас не хотел бы обсудить тему?
Пугать меня не надо, я от вас уже напуганная.
П.С. Если честно, вот вроде разработчики нам рассказывают, что в первую очередь заняты стабильностью системы, а сайты как падали, так и продолжают. Просили мы, просили, резервное автосохранение товаров, так и нет. Элементарно просили развести подальше строчки каталога товаров "удалить в каталоге" и "Удалить с сайта", чтоб случайно не нажать, - полгода делали.
П.П.С. Кстати, никто из моих знакомых и я не владеем особыми знаниями в компьютерах, но ведь ломают вас, что это говорит о платформе?
... Пойду делать очередной бэк-ап сайтов, толку, тут смотрю, никакого.

#15 sibulba

sibulba

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 2 335 сообщений

Отправлено 19 Май 2013 - 15:58

Ситуация мягко сказать херовая! Прошу объяснить. Нужна защита сайта!!!!!! Мы работаем в высоко конкурентной нише! Хотим уже давно резервирование всего сайта товаров шаблонов и всего остального!!!!!!!!

#16 Yurren

Yurren

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 1 415 сообщений
  • ГородСамара

Отправлено 19 Май 2013 - 16:13

В свете этой темы, подскажите, как правильно сделать выгрузку всех товаров на комп?
Выгрузка производится только по категориям склада? - а всего склада зараз получается нет???

#17 sibulba

sibulba

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 2 335 сообщений

Отправлено 19 Май 2013 - 16:14

Я делаю выгрузку категорий

#18 Yurren

Yurren

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 1 415 сообщений
  • ГородСамара

Отправлено 19 Май 2013 - 16:23

Все равно по большому счету этим вряд ли можно спастись - удалив товары и категории в магазине - однозначно рухнет все сео продвижение - описание категорий их расположение - нигде не копируется.
Разработчикам было бы неплохо действительно подумать о комплексном копировании магазина - товары + их распределение по категориям витрины + структура категорий витрины + их урлы (товаров и категорий) + описания категорий, чтобы одним архивом можно было всегда (при любых нештатных ситуациях) все восстановить... Бек ап дизайна это хорошо, но не все определяет дизайн!
Но наверно я под конец воскресенья совсем сказочником стал!

#19 support

support

    Активный участник

  • Модераторы
  • 3 683 сообщений
  • ГородМосква

Отправлено 19 Май 2013 - 16:59

Эмоции не помогут в решении проблемы. Нужны факты, о чем написал мой коллега. Сейчас меня интересует:
1) какая конкретно программа "взломала" ваш сайт?
2) какие сайты из тех 400 к которым у Вас не было доступа Вам действительно удалось взломать?
3) отсутствие логина подразумевает, что понятие "взлома" получается довольно абстрактным, по возможности опишите что имеется ввиду под этим понятием "взлом".
4) стоит ли на вашем компьютере(устройстве) антивирус, т.к. с большой вероятностью вы установили на компьютер троян.
5) сложный ли пароль используется для входа на ваш сайт?

P.S. Даже в случае появления критических уязвимостей и трубя о них на популярных ресурсах Вы в первую очередь подставляете свой сайт и сайты ваших коллег, т.к. в любом случае на закрытие любой уязвимости требуется время, а злоумышленники до создания вашего поста вероятно могли не знать о возможности получить доступ к вашему сайту. Данная тема по видимому является ложной тревогой, т.к. описаний как взломать хотя бы один сайт по шагам я ещё не увидел, но в любом случае так распространять информацию об уязвимости своего же сайта на мой взгляд не совсем дальновидно.

#20 velena168

velena168

    Активный участник

  • Пользователи
  • PipPipPipPip
  • 1 643 сообщений
  • ГородСанкт- Петербург

Отправлено 19 Май 2013 - 19:33

Просмотр сообщенияYurren (19 Май 2013 - 16:13) писал:

В свете этой темы, подскажите, как правильно сделать выгрузку всех товаров на комп?
Выгрузка производится только по категориям склада? - а всего склада зараз получается нет???

Зараз "Все товары" можно выгрузить.

Прикрепленные изображения

  • Снимок01.JPG





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных