iteX

Гдето в начале лета wordpress.org взломали и засадили им бекдоры в распространенные плагины.
После того как они обнаружили это, поменяли пароли всем юзерам и поменяли отношение к безопасности.
Только както не по нормальному. Если простым языком, то через жопу. Прикрутили видимо какойто код проверки на безопасность плагинов.
В итоге забанили мой плагин iMoney на репозитарии. Причем сделали это без уведомлений, по тихому. Просто в один день перестали давать скачивать плагин с сайта. Или редиректит на главную или 404.
Я долго считал, что это всеголишь глюки их svn. Мучался с удалением, восстановлением файлов и прочим шаманством.
Потом написал им на форуме поддержки, никто не ответил. Написал на plugins@wordpress.org сообщение такого плана:

I am the author of the plugin iMoney (http://wordpress.org/extend/plugins/imoney).
About a two month ago, when I upgrade versions in SVN, plugin is not updated.
http://wordpress.org/extend/plugins/imoney – redirect on main, http://downloads.wordpress.org/plugin/imoney.zip – 404.
I change passwords, add and removed files.
Plugin removed from plugins repository? Why?
What is the solution?
Thank you anyway.

Через несколько дней они ответили:

Hi,
The plugin was removed for a couple of reasons:
- compressed code. Code should be in the clear and readable.
- you are using $_SERVER many times and this has security implications as well as being inefficient.

If you could redo the code and check it against known exploits we’d be happy to put it back.

Тоесть, им не нравится упакованный код от бирж ссылок и частое использвание директивы $SERVER. Мол это может быть не безопасно и не ээфективно.
Что может быть не эффективного в вызове переменной $SERVER?
Я не спорю, что в коде есть спорные участки. Костыли и подобное. Но каждый такой участок решают какунить конкретную проблему, возникшуюю у человека, клиента плагина.
Это все было изначально со времен написания плагина. Тоесть с 2008 года их все устраивало, а весной 2011 уже нет.
Я считаю, что у них появился какойто статический анализатор, который ругается на определенные конструкции языка. И они не смотря в код, делают на основании отчетов анализатора выводы о коде.

Прошло дофига времени, я наконец решил малость переписать код. Переменную $_SERVER сделайл по ссылке внутренней переменной класса.
Запакованный код со всего плагина свел в одну функцию и специально ее подписал, мол хранилище кода.
Проверил, что все работает и написал им новое письмо. Мол сделал, что они хотели. Мой плагин, чтоб не можифицировать файлы вордпресса или код бирж использует всяческие ухищрения, переопределения $_SERVER и тд.
При инсталяции запакованного кода пользователь сам должен нажать кнопку, чтоб его установить. Причем он сам может его установить вручную без плагина. Написал, что с 2007 не было зарегистрировано случаев взлома через мои плагины. И что я очень помешан на безопасности.

Hi, Sorry for my English. I modified code and check it against known exploits. My plugin easily combines codes from link systems and WordPress. In order to not modify the code link systems, and WordPress, to have to find ingenious solutions in a plugin ($_SERVER replacement and other). I made a few changes to your static analyzer less swearing.
Move data into a separate function. This code from other systems and is installed on the user’s request. Users are always aware of it. If it is stored in other separate files, there is a chance that it can executed. I really care about security. I’ve seen less safe plugins, do not know why it was blocked. The plugin has existed since 2007 and have never been hacked.
Thank you for your patience))

Опять от них пришел отрицательный ответ.

Here’s the bottom line:
- Your code, as it stands, is extremely insecure. Doesn’t matter if you’ve been hacked or not, or whether anybody has discovered the vulnerabilities or not. Insecure is insecure.
- Your use of base64 obfuscated files is unacceptable. We do not allow obfuscated code in the repository. No exceptions.
As the code currently stands, it will not be allowed back in the plugin repository. These issues must be addressed for the plugin to be listed again.

Пишут, что мой код очень дырявый, весьма спорное утверждение, что не имеет значения, взламывали или нет, есть уязвимость или нет. Просто, без отсылок к дырявому коду и прочему. С чего они решили тогда, что он дыряв? Начет упакованного кода, что нельзя использовать никому, без исключений.

В итоге както мя напрягает такое поведение. Их репозитарий весьма удобен тем, что с него автоматом у всех пользователей обновляет на новые версии плагина. Соотвественно забивать на них не надо, несмотря на то, что они забили на всех, кто пользовался моим плагином.
Другие мои плагины с такимиже свойствами ими вообще никак не затронуты. На всякий случай решил новые версии плагинов не выкладывать, то еще и остальные забанят.

Из решений, хм, есть три варианта.

Просто взять новое название плагина и они заапрувят стопудоф. Но возникнет путаница у пользователей.
Второе, это проявить чудеса обсфукации и фиг их статический анализатор чтонить найдет. Опять же возникнут вопросы у вебмастеров, нафиг в плагине такая вирусоподобная защита вставлена.
Ну а третье переписать плагин. Снова. А потом еще раз и опять и опять. Заместо того, что добавлять новые биржи или еще чтонить, придется делать ревизии кода.
Пока все равно склоняюсь к третьему варианту.

Вообщем я считаю, что они все таки мудаки, но если есть возможность, посмотрите код на дыры, я особо опасных мест не вижу.
Три месяца уже все это длиться.
Надо чтото уже решить относительно быстро и эффективно.

Зашел тут было в сапу, смотрю, баланс в минус идет.
Оказалось, что в интерфейсе опитимизатора куплены ссылки на чужой проект.

Ну соотвественно дальше по пунктам:

1. Поменял пароли
2. В логах сапы нашел украинские ипы
3. Проверил комп на вирусы
4. Подумал над другими возможностями взлома
5. Заморозил ссылки, вдруг админам нужно было бы для расследования
6. Написал в техподдержку тикет, чтото подглючило при отправке
7. Написал Авалону, админ форума сапы, он продублировал тикет, за что ему спасибо.

Встречался у клиентов с тем, что код сапы ставили на взломанный сайт, а вот, чтоб акк ломали, не встречал. Баланс фиг переведешь, размещенные ссылки пропалятся. Второй раз уже не разместишь, техподдержка побанит. Оказывается все таки такое есть.

Пароль был ну очень уж слабый. Когда в 2007 году регистрировался от балды и вбил легкий пароль, чтоб только посмотреть на биржу. С тех пор как то странно сложилость, но пароль не поменял:). Техподдержка ответила, проект почистили. Отделался небольшим минусом за свою беспечность.

Тк киддис был из Украины, то произвел операцию “Сало”.  Посмотрел проекты . На сайтах был дырявый DLE. Сложилось впечатление, что это какойто ламер просто купил доступ у когото или чтонить подобное и залил ссылки на свои сайты. Ничего дефать не стал, вдруг вообщем для заманухи первые ссылки, а потом меняют на другие проекты. Будет греть меня мысль, что я такой благородный и пожалел ребенка:).

Хотя с другой стороны, по другой линии истории возможно даж знаю человека, он аськами в свое время занимался.

Вообщем берегите себя, будьте осторожны:).

Раз я уж слежу за такого рода событиями, как изятие серверов и доменных имен, то буду время от времени писать о такого рода случаях. Сегодня в датацентр, где стояло оборудование filehoster.ru, пришли сотрудники МВД и изяли сервер файлообменника. Причем владелец обнаружил изьятие довольно комично. Пропал пинг, он полез квмник дернуть, что-то не срослось и он позвонил в саппорт датацентра, где собственно и узнал, что его оборудование в данный момент изымается . По его словам последний раз общение по этому проекту было с милицией год назад и в тот раз требование милиции были выполнены.  Проcто так пришли и изьяли без вопросов к владельцу.

Update от 01.05.10 Владелец так и не получил внятных ответов от милиции. К делу подключились Вести, но им тоже мало что удалось узнать.
Так  вот, назревает вопрос, Вы все еще хотите хоститься в России? Тогда Они придут и к Вам .

Руцентр проккоментировал ситуацию насчет региональных доменов, кто не знает, руцентр – это те люди которые закрыли домен torrents.ru. Под замес попадают spb.ru, msk.ru, net.ru, ru.net и другие. Теперь, попав в эти загребущие руки домены будут платными. Сроки примерно к маю – июню. Цена на уровне обычных рушек, скажем 600р, партнерам дешевле.

Соотвественно щас сделают плату, кто-то пропарит домены, кто-то откажется платить, а кто-то перейдет на новый домен второго уровень ру. В региональных доменах, хоть и много поделок и экспериментов, но эти сайты несут с собой определенное окружение и ссылки на себя. И теперь все это богатсво траффика и показателей отойдет к руцентру, который быстро все пропьет продаст на своем аукционе. Кстати, список доменов противоречивый, скажем некоторые региональные явно не под руцентром, net.ru и pp.ru тоже возможно не у них.
С другой стороны, часть этого доменного богатства может перепасть через них и к нам, надо только заранее все распланировать. Жаль, что это все обьедки от огромного пирога. Тица в этих доменах дофига, а учитывая темку поднятия тица с зеркалирование можно будет гораздо дороже продавать ссылки.
А теперь, относительно хорошая новость, их сайт nic.ru загнулся, хотя сайты клиентов на хостинге работают. Причина пока не известна, но злорадно надеюсь, что за их грехи.

UPD: nic.ru вроде ожил.

Incoming search terms:

• free msk ru referers

Скинули мне както базу тут одну через ифолдер, разбили на маленькие файлы и залили. Качал ее се потихонечку. Сеня решил с утречка опять покачать. Блин, и что же я вижу. Наша жадная милиция его закрыла именно в тот момент, когда мне он был так нужен. Очень даже напоминает маразм с torrents.ru, о котором я както писал. Дальше избранный копипаст с самого ресурса и мои комментарии.

Read the rest of this entry »

Incoming search terms:

• ифолдер
• не работает ifolder