iteX

Гдето в начале лета wordpress.org взломали и засадили им бекдоры в распространенные плагины.
После того как они обнаружили это, поменяли пароли всем юзерам и поменяли отношение к безопасности.
Только както не по нормальному. Если простым языком, то через жопу. Прикрутили видимо какойто код проверки на безопасность плагинов.
В итоге забанили мой плагин iMoney на репозитарии. Причем сделали это без уведомлений, по тихому. Просто в один день перестали давать скачивать плагин с сайта. Или редиректит на главную или 404.
Я долго считал, что это всеголишь глюки их svn. Мучался с удалением, восстановлением файлов и прочим шаманством.
Потом написал им на форуме поддержки, никто не ответил. Написал на plugins@wordpress.org сообщение такого плана:

I am the author of the plugin iMoney (http://wordpress.org/extend/plugins/imoney).
About a two month ago, when I upgrade versions in SVN, plugin is not updated.
http://wordpress.org/extend/plugins/imoney – redirect on main, http://downloads.wordpress.org/plugin/imoney.zip – 404.
I change passwords, add and removed files.
Plugin removed from plugins repository? Why?
What is the solution?
Thank you anyway.

Через несколько дней они ответили:

Hi,
The plugin was removed for a couple of reasons:
- compressed code. Code should be in the clear and readable.
- you are using $_SERVER many times and this has security implications as well as being inefficient.

If you could redo the code and check it against known exploits we’d be happy to put it back.

Тоесть, им не нравится упакованный код от бирж ссылок и частое использвание директивы $SERVER. Мол это может быть не безопасно и не ээфективно.
Что может быть не эффективного в вызове переменной $SERVER?
Я не спорю, что в коде есть спорные участки. Костыли и подобное. Но каждый такой участок решают какунить конкретную проблему, возникшуюю у человека, клиента плагина.
Это все было изначально со времен написания плагина. Тоесть с 2008 года их все устраивало, а весной 2011 уже нет.
Я считаю, что у них появился какойто статический анализатор, который ругается на определенные конструкции языка. И они не смотря в код, делают на основании отчетов анализатора выводы о коде.

Прошло дофига времени, я наконец решил малость переписать код. Переменную $_SERVER сделайл по ссылке внутренней переменной класса.
Запакованный код со всего плагина свел в одну функцию и специально ее подписал, мол хранилище кода.
Проверил, что все работает и написал им новое письмо. Мол сделал, что они хотели. Мой плагин, чтоб не можифицировать файлы вордпресса или код бирж использует всяческие ухищрения, переопределения $_SERVER и тд.
При инсталяции запакованного кода пользователь сам должен нажать кнопку, чтоб его установить. Причем он сам может его установить вручную без плагина. Написал, что с 2007 не было зарегистрировано случаев взлома через мои плагины. И что я очень помешан на безопасности.

Hi, Sorry for my English. I modified code and check it against known exploits. My plugin easily combines codes from link systems and WordPress. In order to not modify the code link systems, and WordPress, to have to find ingenious solutions in a plugin ($_SERVER replacement and other). I made a few changes to your static analyzer less swearing.
Move data into a separate function. This code from other systems and is installed on the user’s request. Users are always aware of it. If it is stored in other separate files, there is a chance that it can executed. I really care about security. I’ve seen less safe plugins, do not know why it was blocked. The plugin has existed since 2007 and have never been hacked.
Thank you for your patience))

Опять от них пришел отрицательный ответ.

Here’s the bottom line:
- Your code, as it stands, is extremely insecure. Doesn’t matter if you’ve been hacked or not, or whether anybody has discovered the vulnerabilities or not. Insecure is insecure.
- Your use of base64 obfuscated files is unacceptable. We do not allow obfuscated code in the repository. No exceptions.
As the code currently stands, it will not be allowed back in the plugin repository. These issues must be addressed for the plugin to be listed again.

Пишут, что мой код очень дырявый, весьма спорное утверждение, что не имеет значения, взламывали или нет, есть уязвимость или нет. Просто, без отсылок к дырявому коду и прочему. С чего они решили тогда, что он дыряв? Начет упакованного кода, что нельзя использовать никому, без исключений.

В итоге както мя напрягает такое поведение. Их репозитарий весьма удобен тем, что с него автоматом у всех пользователей обновляет на новые версии плагина. Соотвественно забивать на них не надо, несмотря на то, что они забили на всех, кто пользовался моим плагином.
Другие мои плагины с такимиже свойствами ими вообще никак не затронуты. На всякий случай решил новые версии плагинов не выкладывать, то еще и остальные забанят.

Из решений, хм, есть три варианта.

Просто взять новое название плагина и они заапрувят стопудоф. Но возникнет путаница у пользователей.
Второе, это проявить чудеса обсфукации и фиг их статический анализатор чтонить найдет. Опять же возникнут вопросы у вебмастеров, нафиг в плагине такая вирусоподобная защита вставлена.
Ну а третье переписать плагин. Снова. А потом еще раз и опять и опять. Заместо того, что добавлять новые биржи или еще чтонить, придется делать ревизии кода.
Пока все равно склоняюсь к третьему варианту.

Вообщем я считаю, что они все таки мудаки, но если есть возможность, посмотрите код на дыры, я особо опасных мест не вижу.
Три месяца уже все это длиться.
Надо чтото уже решить относительно быстро и эффективно.

Случайно заметил, что на сайте вордпресса идут пермаментные глюки с получением доступа к iMoney. При запросе скажем http://wordpress.org/extend/plugins/imoney/stats/ идет редирект на страницы поиска плагинов. Пробовал удалять файлы из svn, добавлял новые, вообещм шаманил, но не помогло. Если заходишь под своим акком, то страницу видно, но плагин не скачивается, отдает 404, http://downloads.wordpress.org/plugin/imoney.zip .  Возможно связано со ихнеми недавнеми взломами. Но другие мои плагины показываются нормально, да и пароли я свои после взломов менял. Вообщем хз, что делать, может плагин удалить и заново сасубмитить. Или если ктонить с подобным встречался, подскаите алгоритм. В саппорт чтоли им написать))

Временно относительно новые версии можно скахать здесь http://itex.name/wp-content/uploads/itexname/imoney.zip

Incoming search terms:

• imoney

В начале марта Трастлинк обновили свой код. Для стимулирования перехода, написали, что у обновивших увеличиться приритет закупки ссылок. Вроде так и происходило, встречал правда мнения, что у некоторых наоборот уменьшилась закупка, скорей всего так сложилось – неповезло. Для тех, кто не обновиться после первого апреля будут прекращена закупка ссылок.

Выпустил обновление iMoney, в нем релизованы возможности нового кода трастлинка. Кто уже с трастлинком работает, в админке плагина предусмотрена кнопка “Update”, которая обновит прежний код на новый из плагина.

Еще раз напоминаю и обращаю ваше внимание, что после 01.04.11 покупка ссылок с сайтов, не заменивших код будет прекращена!

Потом не говорите, что ссылки в трастлинке не продаются или еще что нить такое:).

Накрайняк, если что то пойдет не так, можно вручную обновить код через фтп.

Если у когото из моих реффералов в парнерках возникают проблемы, не стесняйтесь спрашивать, может удасться найти персональное решение.

Иногда слежу за такого рода тенденциями со взломами блогов.

Интересуют всякие эпидемии типа екибастоса или например вот, которые использовали  permalink bug до вордпресс 2.8.4.

Сейчас распространяется, чтото новое. Инфы очень мало. Те кто его исследовал называют его “Exploit minisuhosin“. Название идет от того, что файл притворяется секьюрити патчем suhosin. Уязвимость связана скорей всего с тем, что OsCommerce требует register_globals=on в связке в вордпрессом. Вордпресс 3.0.5 тоже были взломаны. Америкосы пишут, что используется только линукс из-за /tmp, но встречал шеллы и на винде. Видимо пробная часть атаки была гдето в декабре 2010, а сейчас распространяется основная волна с конца января 2011. Хотя возможно и то, что только сейчас стали  обнаруживать. Также по следам первых авторутеров идут какието исламские хакеры, дефейсят и пишут, чтото про Аллаха.

Сам вектор атаки  и уязвимые скрипты не ясны. Можно судить лишь по симптомам.

1. Создается файл с именем /tmp/25454b22bf39c75795851f39d5e347c4, возможно есть другие имена, но не встречал
2. В .htaccess прописывается AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html
   php_value auto_prepend_file /tmp/25454b22bf39c75795851f39d5e347c4
   Тем самым запуская все запросы к скриптам через злонамеренный файл.
   В гугле сейчас 36к страниц с ошибками, связанными с этим файлом.
3. Сам файл, маскируясь под suhosin, проверяет ип посетителя, и если  ипа нету в блеклисте ставит куки и выдает злонамереннй джаваскрипт. Сайт в джаваскрипте у мя уже не резолвится, в кеше гугла похож на связку сплоитов.
4. Встречал установленные шеллы (с99 и 3gayskeeters), но возможно это от других товарищей.

Для лечения и противодействия возможны следующие действия.

1. Удалить из .htaccess строки, созданные злоумышленником
2. Сделать бекап
3. После этого обновить версии вордпресса и плагинов
4. Сменить пароли
5. Поставить права только для чтения на .htaccess
6. Если не используете пермалинки от .htaccess вообще можно избавиться
7. Проверить файл /tmp/25454b22bf39c75795851f39d5e347c4, возможно создать пустой, с правами только для чтения, чтоб при взломе дальше этого не ушло.
8. Если есть доступ, поставить бит запрета исполнения файлов на /tmp

Если ребята русские, то наверно надо посоветовать им сделать проверку на то, создан ли их файл. То больно много блогов ща просто с ошибкой валятся, когда тот файл удаляют.Не продумано, хотя наверно атака уже окупилась.

Ну вообщем вроде все, новое чтонить узнаю, может распишу.

Incoming search terms:

• взломали oscommerce

Обновил iMoney. Решил небольшую проблему в пхп секции с token_get_all. Переделал код, чтоб можно было мигрировать плагин в Joomlu и Drupal. Пока работаю в сторону джумлы, но чето застрял какбы на админке. Не хочется все опции переписывать в файл, хотелось бы както совместить с текущей ситуацией в плагине. Это будет хорошо для развития и поддержки. Писать мало кода, но зато плагин будет для трех самый распространенных Цмс. Хотя наверно просто не хватает знаний по джумле, со временем все встанет на свои места. С друпалом еще вообщем не занимался, думаю делать уже после джумлы.

Также думаю еще больше срастить iMoney и iSape. iSape более раскрученный и тд, его почемуто больше качают, чем imoney, хотя по факту код как раз из imoney. Вообще приходили мысли просто заменить, но тогда возникнут проблему с настройками у тех, кто уже ставил раньше iSape.

Подключить trustlink в вордпресс теперь стало намного проще.

1. Для начала регистрируемся в бирже ссылок Trustlink.ru.
2. Ставим плагин iMoney.
3. Прописываем индентификатор трастлинка.
4. Выбираем мместо показа ссылок.
5. Отправляем сайт к модератору.

Как Вы поняли, в качестве подарка к Новому Году я решил добавить в плагин поддержку трастлинка.

Также решена  мелкая проблема с кодировкой в sape articles и обновлен вшитый sape.php.

WordPress 3.0 Thelonious наконец вышел, скачать его можно здесь.

Я обновил пару блогов, вроде живые, работают. На всякий случай есть бекап:). Как ни странно, вроде работает быстрее, наверно самообман, от верcии к версии Вордпресс все тяжелеет.

Обновили работу с плагинами, можно обновлять автоматом и прочие плюшки. Добавлена новая тема с названием “Twenty Ten”. Добавили встроенный сокращатель ссылок, хз зачем правда, может потом будет интеграция с твиттером.

Добавили слияние с WordPress MU. Для меня полезная фича думаю, тк я использую блогофермы с патченным вордпрессом, теперь это видимо будет доступно из коробки, пока подробно не смотрел. Да там много всяких фич добавилось, кто хочет знать больше, на этой странице много написано, что добавили или поменяли.
Мои плагины работают, проблем не встретил особо. Но если что, дайте знать.

Теперь о другом. Писал в поддержку трастлинка, чтоб дали мне код для добавления в мой плагин iMoney. Сегодня пришел ответ, что они не заинтересованы в такой установке кода.  По их словам в автоматическом режиме код ставится их программистами, а в ручном – самим пользователем. Не знаю как они планируют массово подключать пользователей к своей системе. Будем надеятся, что это минусы бета версии.

Напоследок выкладываю видео о  новых фичах вордпресса.