1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

А ты бы попался на такой развод?

Тема в разделе "OFF-топик", создана пользователем Oleg-2012, 28.08.2015.

Загрузка
?

А ты бы попался на такой развод?

  1. Да

    0 голосов
    0,0%
  2. Нет

    7 голосов
    77,8%
  3. Не знаю

    2 голосов
    22,2%
  1. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    298
    Всем привет !

    Уже полрунета обсуждает (Как минимум кто в инфобезе), но тем не менее интересно мнение здесь, итак суть:

    Многие слышали, что Роскомнадзор в последнее время набрал много сотрудников, которые ищут в интернете запрещенную информацию и блокируют страницы в интернете.

    Параллельно с этим Роскомнадзор формирует «реестр организаторов распространения информации» (закон о блогерах).

    В любом случае Роскомнадзор заработал себе не очень хорошую репутацию и уверен, что владельцы сайтов бояться попасть в какой-нибудь список этой организации.

    Так-вот, рассказываю как злоумышленник творчески подошёл для взлома сайтов через шелл, в общем-то комментарии излишни:

    upload_2015-8-27_12-44-19.png

    Развод заключается в том, что пользователю предлагают создать файл с на первый взгляд безобидным php кодом. Однако, если посмотреть описание функции assert, то сразу станет ясно, что злоумышленники просто выполнят код, который будет указан в переменной roskomnadzor.

    Также сайт roskomnadzor.org, редиректит на офф. сайт этого ведомства ! :)
     
  2. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 547
    Версия XF:
    1.5.9
    Это же каким надо быть лохом-администратором, чтобы попасться на такой развод? Если ты пользователь, то понятно, что твои знания оставляют желать лучшего, но как админ, ты просто обязан быть более продвинутым, в том числе и в плане безопасности.
    Те, которые ведутся на такой развод, по сути не админы, а потому и фиг с ними. Нормальные ресурсы точно не пострадают, а школоту не жалко. Честно :)
     
    Alex Gludo, Kolya groza morey и Oleg-2012 нравится это.
  3. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    298
    В целом согласен, но с небольшой оговоркой:

    Ну админ и разработчик - это разные вещи, админ вовсе необязан разбираться в php и прочих премудростях программирования, это не его задача, задача админа настроить форум как нужно, настроить сервер и т.д.

    Так-же как и программист может не разбираться в настройках ОС, хотя наверное если программист для веба, то знание протоколов и устройства сети/ОС обязательно, просто без это невозможно писать качественные программы... :)

    Я это к тому-что грамотный фишинг, способен "Взломать" любой ресурс, главное подход...;)

    Это-же письмо рассчитано как-раз на людей, которые напуганы "Страшным" Роскомнадзором, да и много-ли людей которые получили данное письмо, будут разбираться с кодом, что он делает и т.к.:D

    Поэтому моё мнение, много насобирал жертв !:D
     
  4. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 547
    Версия XF:
    1.5.9
    Если админ настраивает серверное ПО, включая движок форума, то он по определению должен разбираться и в безопасности всего этого хозяйства, включая модуль PHP для веб-сервера. Иначе это и не админ вовсе.
    Знаете, но я, будучи разработчиком ПО для расчета заработной платы, знал расчет зарплаты лучше бухгалтерии.
    Также, когда я занимался внедрением и сопровождением бухгалтерского ПО, знал намного лучше любого бухгалтера все задачи, включая расчет зарплаты, план счетов, торговлю и склад, основные средства, документооборот, включая кадры.
    Если программист не разбирается в том, для чего он пишет, то он ничего толкового не напишет. Поэтому да, разработчик PHP в любом случае понимает, в чем подвох с этим разводом.

    Развод расчитан на школоту. Поэтому мое мнение неизменно - для нормальных проектов это никак не отразится, а часть школоты попадет под раздачу. Ну и флаг им в руки. Пусть шишки себе набивают :)
     
    Kolya groza morey и Mirovinger нравится это.
  5. akinak

    akinak Местный

    Регистрация:
    12.02.13
    Сообщения:
    259
    Симпатии:
    243
    Версия XF:
    1.1.3
    А тут речь не про админов, а про владельцев сайта.
    Очень многие владельцы смогут по инструкции залить файл. Заливают же они текстовые файлы, для авторизации метрики например.
    И не факт, что получив такое письмо, владелец сайта обратится к админу/суппорту хостинга или разработчику.
    Десятки тысяч впсок вообще не администрируются, из коробки по дефолтным настройкам работают, что-то там крутится, никого это не напрягает.
     
    Mirovinger нравится это.
  6. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 547
    Версия XF:
    1.5.9
    Ну так потому я и говорю, мне не жалко такие ресурсы, так как подавляющее большинство их не представляет для мира никакой ценности.
     
  7. 7Assassin7

    7Assassin7 Местный

    Регистрация:
    14.12.12
    Сообщения:
    258
    Симпатии:
    51
    Версия XF:
    1.1.5
    Функция assert() выполнит PHP-код, переданный в адресной строке при вызове скрипта. Другими словами злоумышленник таким образом получает возможность на практически любые действия с вашей площадкой сайта. Разумеется, это обманное письмо, фейк, и подобные требования ни в коем случае выполнять нельзя.
     
    antarius нравится это.

Поделиться этой страницей