Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Бэкдор в 93 плагинах и темах оформления AccessPress, применяемых на 360 тысячах сайтов, opennews (??), 22-Янв-22, (0) [смотреть все] храните ваши деньги в сберегательной кассе , Аноним (1), 13:48 , 22-Янв-22, (1) +8 // Пишите сайты на Wt , Аноним (9), 14:21 , 22-Янв-22, (9) // Тогда на асме сразу, чего мелочиться https asm32 info fossil asmbb index, topin89 (ok), 14:31 , 22-Янв-22, (10) +2 // флат только для 86х т е ненужен, Аноним (-), 15:28 , 22-Янв-22, (18) –1 https www webtoolkit eu wt download, Аноним (9), 17:57 , 22-Янв-22, (42) +1 тормознутое c сами жрите, Аноним (-), 21:16 , 22-Янв-22, (71) –3 x86_64 тоже не нужен, oliliputiputiputi (?), 19:30 , 22-Янв-22, (61) +2 С поддерживает ассемблерные вставки Если для проекта формализируете, как работа, Аноним (9), 17:59 , 22-Янв-22, (44) –1 и куда ты их вставлять собрался вот конкретно, хттп сервер отдающей файл в лин, Аноним (-), 21:18 , 22-Янв-22, (72) Тебе topin89 предложил это Ты у него спроси конкретно А когда он тебе расскаже, Аноним (9), 16:16 , 23-Янв-22, (123) Крупная компания, которая держит гомогенный парк серверов и начинки в них Ты до, anonymous (??), 00:11 , 24-Янв-22, (125) Типа нереально При попытке сделать так возникает куча проблем организационного , Ordu (ok), 07:52 , 24-Янв-22, (132) +1 Два чая этому господину , Кир (?), 14:33 , 22-Янв-22, (11) –1 ВордТрест , Аноним (33), 17:34 , 22-Янв-22, (33) +2 // Вообще-то Витти , Аноним (9), 17:59 , 22-Янв-22, (45) Вивитти надо выйти на репите тогда уж , дохтурЛол (?), 19:29 , 22-Янв-22, (60) храните ваши деньги в нашей сберегательной кассе, Аноним (76), 21:56 , 22-Янв-22, (76) +3 Сайты нужно писать на Расте , Дегенератор (ok), 22:59 , 22-Янв-22, (82) –4 // Тогда никакой памяти не хватит из-за безопасной утечки , Аноним (91), 00:31 , 23-Янв-22, (91) +2 С одной строны бекдор в темах это странно С другой - вид и поведение связаны и , Kusb (?), 13:49 , 22-Янв-22, (2) // и что что веб или по вашей методичке веб - это криво напомню, что вы как раз н, DIO (?), 13:56 , 22-Янв-22, (4) –12 // Так может например какой-нибудь Гугл сделает правильную CMS для всех Ой так им , Аноним (6), 14:01 , 22-Янв-22, (6) –5 // Правильная CMS наверняка уже существует Просто не все ещё её для себя нашли Но, YetAnotherOnanym (ok), 22:20 , 22-Янв-22, (79) +1 Уже есть самая правильная CMS на свете -- Битрикс , lockywolf (ok), 13:14 , 24-Янв-22, (140) –1 Таблетки пить не забывайте пожалуйста , Аноньимъ (ok), 17:51 , 22-Янв-22, (39) +5 Ну, в общем да Имманентно присущее свойство Слишком много уровней абстракции, , User (??), 18:43 , 22-Янв-22, (49) +2 Да, веб и криво это синонимы, где-то с середины 2000х а то и раньше Профэссор, keydon (ok), 18:51 , 22-Янв-22, (51) То что система гибкая это не её плюс То что в вордпрессе плагины и даже их верс, Аноним (6), 13:58 , 22-Янв-22, (5) –2 // Критикуешь неправильное -- рекомендуй правильное Поэтому список CMS давай, котор, Аноним (12), 14:44 , 22-Янв-22, (12) –4 // Таких нет Вся вэбня это шлак и помои Без исключений , haha (??), 16:13 , 22-Янв-22, (22) +2 Любой генератор статики к твоим услугам Например https gohugo io , Аноним (23), 16:17 , 22-Янв-22, (23) +4 wp можно переводить в статику - итого имеет доступ к богатой экосистеме плагинов, anonymous (??), 22:00 , 22-Янв-22, (78) Вот и имеем 360 000 затрояненных сайтов Зато богатая экосистема плагинов, а не , Аноним (23), 12:55 , 23-Янв-22, (115) Дурачкам вроде тебя не приходила мысль, что из всех существующих CMS вообще НИ О, Vacu923ek (ok), 16:33 , 22-Янв-22, (30) +1 Какое решение на замену CMS вы бы назвали хорошим , Аноним (35), 17:39 , 22-Янв-22, (35) Некоторые считают, что альтернатива -- утки PS жертв wordpress, конечно, жал, Michael Shigorin (ok), 17:48 , 22-Янв-22, (36) –2 Можно просто взять и отверстать сайт Работы буквально столько же если не меньше , Аноньимъ (ok), 17:57 , 22-Янв-22, (43) +1 Сейчас верстая по современному вы стянете половину npm А там такая же дырень ка, мое правило (?), 01:59 , 24-Янв-22, (128) Любое самописное Звучит смешно, но именно свой проф движок может 100 отвечать , Vacu923ek (ok), 21:57 , 22-Янв-22, (77) +2 Звучит не смешно а печально Опеннет скатился Один всерьез думает что реакт э, угу (?), 23:13 , 22-Янв-22, (83) +2 Сколько троянов в своём вордпрессе уже нашел Ой так ты их и не искал, ты трояно, Аноним (23), 12:56 , 23-Янв-22, (116) +2 Битрикс разумеется , suffix (ok), 00:03 , 23-Янв-22, (87) –1 Пойдите на nic ru, там есть бесплатный месячный пробный тариф с битриксом ссылк, Аноним (12), 00:18 , 23-Янв-22, (88) –1 Любезный, у меня самого сайт на Битрикс уже как 10 лет, если не больше В Битрикс, suffix (ok), 00:27 , 23-Янв-22, (89) –4 Нет у вас сайта на битриксе Вы вбили в яндекс запрос битрикс защита , прочитали, Аноним (12), 00:36 , 23-Янв-22, (93) –1 Даже по нику моему ткнуть лень было Или поиском по комментариям моим что зде, suffix (ok), 00:50 , 23-Янв-22, (95) –1 Проактивная защита, Проактивная, Карл После таких комментариев вера в пыхеров , Аноним (23), 12:59 , 23-Янв-22, (117) +1 1 Не я так модуль назвал так что не по адресу 2 Я не использую этот модуль так, suffix (ok), 13:08 , 23-Янв-22, (120) Это тот кусок протухшего кода, который создает php файлик при создании пользоват, Аноним (138), 11:28 , 24-Янв-22, (138) Вы просто не умеете его готовить Разумеется для сайта визитки Битрикс избыточе, suffix (ok), 11:34 , 24-Янв-22, (139) –1 Не умею и людей умеющих в природе не встречал, хотя многие до сих пор пытаются, , Аноним (138), 13:44 , 24-Янв-22, (143) То что нужна после сборки обработка напильником это наша общенациональная фича а, suffix (ok), 14:18 , 24-Янв-22, (146) Выпускать сырые продукты - это наша общенациональная бага, а не фитча, текущий б, Аноним (138), 11:55 , 25-Янв-22, (150) +1 А вот сейчас соглашусь с Вами Я вот в их модуле Блоги нашёл баг который вообще, suffix (ok), 12:00 , 25-Янв-22, (151) Дурачок, а при создании тикета на баг тоже надо сразу предлагать решение , Аноним (91), 01:06 , 23-Янв-22, (101) –1 Ну да Пихают нанятые веб-разработчики , научившиеся в шарашках фулл-стек за т, IRASoldier_registered (ok), 01:50 , 23-Янв-22, (106) // Почему в той же джанге нет таких проблем, хотя их клепают точно такие же курсови, Аноним (113), 08:44 , 23-Янв-22, (113) –2 Ты из гибернации давно вышел Поинтересуйся, когда вышла свежая версия вордпресс, IRASoldier_registered (ok), 09:22 , 24-Янв-22, (133) –2 Разве не именно для этого и существует вордпресс , Аноньимъ (ok), 06:07 , 24-Янв-22, (131) Вордпресс существует для того, чтобы делать на нем сайты, подсказывает Кэп , IRASoldier_registered (ok), 09:23 , 24-Янв-22, (134) –2 Вордпресс существует для того, чтобы дегенераты тоже могли делать сайты я тебя , Аноним (142), 13:29 , 24-Янв-22, (142) Иди и ещё понаслаждайся ощущением своей невклепенной элитарности Тем временем к, IRASoldier_registered (ok), 09:03 , 01-Фев-22, (153) Не прокатило - , AccessPress (?), 13:55 , 22-Янв-22, (3) +8 // более чем 360 тысячах сайтов, Аноним (40), 17:53 , 22-Янв-22, (40) // Но всего на три месяца - А ведь щастье было так возможно , угу (?), 23:14 , 22-Янв-22, (84) // Конечно же это последние вирусы в плагинах и уязвимости в вордпрессе Теперь заж, Аноним (23), 13:00 , 23-Янв-22, (118) Одно время работал в саппорте одного сервиса на котором часто хостили WP, и толк, Atterratio (ok), 14:03 , 22-Янв-22, (7) +1 // вирустотал лишний этап потроха в base64 или еще какая обфускация - сразу нахер с, john_erohin (?), 15:52 , 22-Янв-22, (21) +7 // ты так сразу все торрент трекеры закроешь, почти все антивирусы и все программы , sdafaytesyaswabrostionspolizey (?), 19:11 , 22-Янв-22, (55) // И что вы тут видите неправильным Все сказанное или подуманное вами будет испол, оберполицмейстер (?), 20:15 , 22-Янв-22, (66) детский сад внтури своих виртуальных машин делайте что хотите,любой зоопарк, то, john_erohin (?), 21:09 , 22-Янв-22, (70) –1 Дай я тебя обниму и расцелую , YetAnotherOnanym (ok), 22:23 , 22-Янв-22, (80) И все равно там дыра на дыре Хостингам с этого плюс на бабки ставить пользовате, Аноним (23), 16:21 , 22-Янв-22, (26) Не фартануло не повезло, Аноним (8), 14:15 , 22-Янв-22, (8) +1 ох уже этот дырявый веб, больше джавы несите джаву слюни, жорик (?), 14:54 , 22-Янв-22, (13) –4 // При чём _тут_ java , Michael Shigorin (ok), 17:49 , 22-Янв-22, (37) +4 // Там у товарища биполярное мышление PHP vs JAVA, Аноним (40), 18:57 , 22-Янв-22, (53) +1 Лютого косплеит , YetAnotherOnanym (ok), 22:24 , 22-Янв-22, (81) Возможно тут не java, а дырявый javascript, Аноним (154), 20:56 , 05-Фев-22, (154) Вечно с этим вордпрессом не слава богу , псевдонимус (?), 14:55 , 22-Янв-22, (14) +4 // AccessPress -- это не WordPress Специалист из WordPress как раз-то и обнаружил э, Аноним (12), 15:16 , 22-Янв-22, (15) // Читать умеете Достаточно не прогуливать уроки, в том числе тупя в тель-афон , Michael Shigorin (ok), 17:50 , 22-Янв-22, (38) +1 // И тель-авизор , Kusb (?), 21:28 , 22-Янв-22, (74) +2 Во втором абзаце написано Есть чёткое подозрение, что вы не представляете объёмы, Аноним (12), 00:33 , 23-Янв-22, (92) –1 У WordPress явный косяк, если он ломается троянами из темы оформления , Аноним (91), 01:03 , 23-Янв-22, (98) –2 Если троян в теме, то при чём тут WordPress У вас там с логикой всё в порядке Мо, Аноним (12), 01:12 , 23-Янв-22, (103) +1 А зачем тебе вордпресс без тем , Аноним (113), 08:42 , 23-Янв-22, (112) Внимательно прочти это предложение , Аноним (91), 00:28 , 23-Янв-22, (90) // Внимательно прочти слово для в этом предложении AccessPress разрабатывает штук, Аноним (12), 00:46 , 23-Янв-22, (94) Ты какой-то странный Что тебе не понятно в слове WordPress Почему ты его не , Аноним (91), 01:01 , 23-Янв-22, (97) Косяк не в WordPress е найден Перечитай новость , Аноним (12), 01:06 , 23-Янв-22, (100) –1 Какая архитектура - такие и косяки Ты до сих пор не смог прочитать фразу бэкдо, Аноним (91), 01:09 , 23-Янв-22, (102) Чтобы система была полностью защищённой от бэкдоров, она должна быть полностью з, Аноним (12), 01:16 , 23-Янв-22, (104) Тут благодатная почва - некоторые на данном ресурсе утверждают что им и смартфон, Роман (??), 06:26 , 23-Янв-22, (109) Для тем не обязально давать использовать тьюринг полный интерпретатор , Аноним (138), 21:06 , 24-Янв-22, (149) Правильный камуфляж -- это незаметный камуфляж А base64 посреди читаемого кода -, Аноним (12), 15:26 , 22-Янв-22, (16) +7 // Мне особенно понравилась строка b64 bas e64 _dec ode 10 камуфляж, Аноним (20), 15:50 , 22-Янв-22, (20) +10 // На эту строку не сработает grep по фразе base64_decode Это отметает автоматичес, Ordu (ok), 16:19 , 22-Янв-22, (24) +7 // Так ведь и правильно надеялись до него очень долго не доходило , Аноним (23), 16:21 , 22-Янв-22, (27) +4 Да вроде - сразу и спалили Долго не доходило до владельцев плагина - но если он, угу (?), 23:16 , 22-Янв-22, (85) Сразу в голове пыхеров это через три месяца А сколько осталось, а сколько не н, Аноним (23), 13:09 , 23-Янв-22, (121) +1 Или дойдет, но очень потом, Аноним (56), 19:15 , 22-Янв-22, (56) Ржу Осталось написать b64 это не вирус проходите мимо , Vacu923ek (ok), 16:30 , 22-Янв-22, (29) –1 // Просто много пробелов, а код весь справа за скроллом не видать уже , Аноним (68), 20:59 , 22-Янв-22, (68) я и прохожу всегда человек старался как-никак, Аноним (-), 21:26 , 22-Янв-22, (73) а скриншоты без богомерзкой мелкостудии ну вообще никак невозможно сделать , Аноним (-), 15:27 , 22-Янв-22, (17) –2 // Сделай , Аноним (19), 15:48 , 22-Янв-22, (19) +4 Ты пропитой Это саблайм , Аноним (23), 16:19 , 22-Янв-22, (25) +1 // крякнутый , Аноним (-), 18:35 , 22-Янв-22, (48) // Ты походу на чем-то тяжелом Зачем Саблайм крякать он итак работает Ты это завя, Аноним (6), 18:55 , 22-Янв-22, (52) ты похоже даже не в курсе о чем анонче пишет посмотри какая у тебя лицензия и, Аноним (-), 21:07 , 22-Янв-22, (69) Всё ясно ты солевик больше не заходи сюда больше Каким образом это окно тебе по, Аноним (113), 08:39 , 23-Янв-22, (110) +1 ну и не буду, Аноним (-), 15:07 , 23-Янв-22, (122) Емакс тут осилит мало кто , Аноним (144), 14:07 , 24-Янв-22, (144) На чом на чом оно говорите написано Я даже не буду спрашивать кем , user90 (?), 16:42 , 22-Янв-22, (31) +1 // Нет, не на расте Про него соседняя новость , Аноним (20), 17:53 , 22-Янв-22, (41) +1 Я так понимаю, эти бэкдоры ещё и продавались D, Онаним (?), 18:03 , 22-Янв-22, (46) // это зависит от количества свободыгде свободы больше там могли продаваться, sdafaytesyaswabrostionspolizey (?), 19:25 , 22-Янв-22, (59) вот тебе и любитель убунту и любитель раста который захотел поставить тёмную те, Аноним (47), 18:32 , 22-Янв-22, (47) –2 С вебом все хорошо , Аноним (50), 18:45 , 22-Янв-22, (50) Те кто не хотят платить за свой штат разарботчиков или хотя бы за аутсорсинг дол, Аноним (40), 19:00 , 22-Янв-22, (54) +2 // это свобода а вы предпочитаете рабство с лицензированием каждого движения кажд, sdafaytesyaswabrostionspolizey (?), 19:21 , 22-Янв-22, (58) –1 // Свобода - это рабство , Мент (?), 19:59 , 22-Янв-22, (62) +1 Latex, pandoc и hakyll - наше всё , pashev.me (?), 19:59 , 22-Янв-22, (63) // BDSM, Аноним (75), 21:31 , 22-Янв-22, (75) +1 latex, gimp - наше все остальное для извращенцев , Аноним (-), 16:18 , 23-Янв-22, (124) На моём WP-сайте, была такая дыра pre wp-content grep -ir str_rot13 plugins h, AskerTV (ok), 20:02 , 22-Янв-22, (64) –2 // Это не дыра, а это результат предельно топорного взлома, проводимого либо устано, Аноним (12), 01:04 , 23-Янв-22, (99) –3   // gt оверквотинг удален Так дело в том, что это я сам скачал WP и установил на с, AskerTV (ok), 01:19 , 23-Янв-22, (105)   // Чем сканировали Какой Антивирус разбирает php код , Capra (ok), 00:24 , 24-Янв-22, (127)   Точно не помню, но по моему, это был стандартный Windows-10 антивирус Я запусти, AskerTV (ok), 11:00 , 24-Янв-22, (137)   Опять WordPress , Аноним (91), 00:57 , 23-Янв-22, (96) +1 PHP - жив , Аноним (108), 04:15 , 23-Янв-22, (108) Кто-нибудь знает хотя бы 30 тысяч сайтов , Zenitur (ok), 11:22 , 23-Янв-22, (114) +1 // Любой сайт купи окна, или стрижка собак Всем нужен сайт потому что соцсети это, Аноним (23), 13:07 , 23-Янв-22, (119) +1 // Потому что в соцсетях 99 - сопливые подростки, которые прибыль приносят только , Онаним (?), 09:49 , 24-Янв-22, (135) +1 Классика, не Сломали supply chain Вывод только один - нужно популяризировать а, anonymous (??), 00:20 , 24-Янв-22, (126) +1 // Мудрое решение Современные фрейм нон ворки настолько сложны в своём интерфейсе,, Аноним (91), 02:11 , 24-Янв-22, (129) +1 // А через два года вашу лапшу никто не хочет брать на доработку, классика, Альтернативно одаренный (?), 10:09 , 24-Янв-22, (136) Пользователи WP должны постоянно страдать Ситуация когда сайт на WP работает яв, Аноним (130), 03:38 , 24-Янв-22, (130) +4 // То есть это западный кусочек 1с , Аноним (144), 14:08 , 24-Янв-22, (145) // Вообще это удивительный продукт, у вордпреса не самый плохой интерфейс, у его ра, Аноним (138), 17:02 , 24-Янв-22, (147) +1 Распиаренный ворд-пресс настолько дыряв, что я даже не удивлен, Аноним12345 (?), 13:27 , 24-Янв-22, (141) +1 Никогда не понимал тех, кто в своих проектах прикручивает к шаблонизатору php ша, Аноним (138), 17:08 , 24-Янв-22, (148) +1 1,2,3,7,8,13,14,16,17,31,46,47,50,54,63,64,96,108,114,126,130,141,148

Сообщения

[Сортировка по времени | RSS]

	99. "Бэкдор в 93 плагинах и темах оформления AccessPress, применя..."	–3 +/–
	Сообщение от Аноним (12), 23-Янв-22, 01:04
	Это не дыра, а это результат предельно топорного взлома, проводимого либо установкой скриптов из непроверенных источников, либо от хитрых заказчиков с бирж фриланса: заказчик просит починить тему (реже плагин), но с условием показа починенной темы на ваших мощностях, потому что у заказчика дескать нет свободного хостинга. Поэтому вы выполняете банальную починку, заливаете на сайт, демонстрируете работающую тему, и получаете обещанный килорубль. При этом, если у вас нет ограничения на предельную глубину файлового дерева, к которой имеют доступ php-скрипты, все сайты под вашей учётной записью на этом хостинге окажутся скомпрометированы: среди сотен php-скриптов будут как левые, содержащие некое подобие шелла и/или бд-клиента, так и штатные, дополненные аналогичными бэкдорами (как в данном случае). А для WP ограничить глубину файлового дерева нельзя, потому как иначе невозможен будет залив картинок и других вложений. Мораль басни: не используйте левые скрипты из непроверенных источников, включая заказчиков на биржах фриланса.
	Ответить | Правка | Наверх | Cообщить модератору

	105. "Бэкдор в 93 плагинах и темах оформления AccessPress, применя..."	+/–
	Сообщение от AskerTV (ok), 23-Янв-22, 01:19
	>[оверквотинг удален] > тему, и получаете обещанный килорубль. > При этом, если у вас нет ограничения на предельную глубину файлового дерева, > к которой имеют доступ php-скрипты, все сайты под вашей учётной записью > на этом хостинге окажутся скомпрометированы: среди сотен php-скриптов будут как левые, > содержащие некое подобие шелла и/или бд-клиента, так и штатные, дополненные аналогичными > бэкдорами (как в данном случае). > А для WP ограничить глубину файлового дерева нельзя, потому как иначе невозможен > будет залив картинок и других вложений. > Мораль басни: не используйте левые скрипты из непроверенных источников, включая заказчиков > на биржах фриланса. Так дело в том, что это я сам скачал WP и установил на свой хостинг (VDS). Потом, пару раз менял VDS-сервер. Архив с копиями сайтов, был где то на диске локального компа. Как то запустил сканирование на вирусы, и сканер нашёл эти скрипты, указав, что это потенциально опасные штуки. Так я узнал, что на одном из VDS, была дыра. После этого, я проверил свои веб-папки. Нигде не встретил подобного случая.
	Ответить | Правка | Наверх | Cообщить модератору

	127. "Бэкдор в 93 плагинах и темах оформления AccessPress, применя..."	+/–
	Сообщение от Capra (ok), 24-Янв-22, 00:24
	Чем сканировали? Какой Антивирус разбирает php код?
	Ответить | Правка | Наверх | Cообщить модератору

	137. "Бэкдор в 93 плагинах и темах оформления AccessPress, применя..."	+/–
	Сообщение от AskerTV (ok), 24-Янв-22, 11:00
	> Чем сканировали? Какой Антивирус разбирает php код? Точно не помню, но по моему, это был стандартный Windows-10 антивирус. Я запустил сканирование, и антивирус нашёл этот код.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема