kurteev

Почему не стоит использовать Joomla варез - бэкдоры как бонус

  • 11.08.2014

Предлагаю вашему вниманию перевод материала Why you shouldn't use Joomla! warez - Backdoors for free! – историю о том, почему не стоит использовать варез у себя на веб-сайте.

Недавно я проводил исследование веб-сайтов, которые «бесплатно» предлагают наши платные расширения. Я взял первый попавшийся результат из поиска Google (название расширения + слово download) и попал на огромный варез сайт, предлагающий Joomla и Wordpress расширения совершенно бесплатно. Этот веб-сайт не выглядел как типичный варез сайт. На нем не было непонятной рекламы, и он также предоставлял краткое описание расширения, голосование и прямую ссылку для скачивания без всяких платных посредников. Была также ссылка на сканирование VirusTotal.

После скачивания, первое, на что я обратил внимание – имя файла отличалось от нашей схемы именования файлов. Поэтому следующим шагом стала проверка md5 / sha суммы файла. Это суммы хэшей делают файлы узнаваемыми, защищая от атак типа "man in the middle" или манипуляций над скачиваемыми пакетами. Именно поэтому мы показываем суммы на наших страницах для скачивания – всегда сверяйте эти суммы.

md5 sum

Результат проверки – суммы не совпали. Значит, кто-то точно что-то поменял в пакете. Я также проверил на вирусы – но ни одна из 54 антивирусных программ ничего не обнаружила.

Я распаковал пакет и начал искать измененные файлы – я знал, что дата запаковки оригинальных файлов была более 350 дней назад. Конечно, вы не можете полностью полагаться на дату модификации, потому что её легко подделать, но в этом случае им видимо было лень это делать. Оказалось, что 4 файла были изменены и 2 добавлены.

Измененные файлы

В списке измененных файлов оказался скрипт установки расширения script.php и файл hotspots.php в папке administrator. Добавленными файлами были невинные изображения, оба назывались как social.png и располагались в разных папках. Но давайте сначала посмотрим на изменения в файле script.php – они просто добавили одну строку в конец файла:

 

Вот оно, PHP подключение файла изображения. Самое смешное, что они также закрыли PHP тег до этой строки, то есть похоже на то, что они не очень сильны в PHP. Файл hotspots.php имел такое же включение в конце файла. Давайте посмотрим на этот мистический файл (немного отформатированный):

Исходный код файла

Итак, вы установили этот пакет – поздравляем, ваш сайт был взломан. Фейковый файл изображения довольно большой (52 KB) и является веб-шеллом. Интересно, что он поддерживает не только Joomla, но и Wordpress.

Что же делает этот скрипт? Так как скрипт довольно большой и потребуется много работы для его декодирования, я проведу вас по самым заметным вещам. Первое, что делает этот скрипт, это регистрирует обработчик на событие onAfterRender, который создает новую таблицу под название options (да, скрипт также предоставляет легкое хранилище настроек для владельца скрипта) и устанавливает себя в систему. Далее, похоже на то, что он собирает какую-то информацию о вашем веб-сайте и хосте, и посылает её (по электронной почте) на закодированный адрес с темой "Phone Home".

Строка кода

Владелец скрипта может закачивать и изменять файлы, создавать / обновлять записи в базе данных и делать почти все с вашей установкой. Скрипт даже зашифровывает соединение с серверов контроля с помощью openssl.

Простое удаление расширения не поможет, так как скрипт записал себя глубоко в установку Joomla, предоставил неплохой шелл загрузчик (кто знает, что еще было изменено с его помощью) и даже изменил некоторые части базы данных! Вообщем, вы можете выкинуть свой веб-сайт и начинать все сначала (или откатиться на безопасный бэкап).

После этого я просмотрел другие пакеты, которые предлагал этот варез сайт, такие как K2, EasySocial, Hikashop Business, ChronoForms, AcyMailing Enterprise, Akeeba Admin Tools, MijoShop или шаблоны от RocketTheme, Gavick и Joomlart. Все они содержали этот скрипт.

Веб-сайт имеет неплохой рейтинг Alexa (16 629) – я не хочу знать, сколько веб-сайтов взломано благодаря этому веб-сайту. Домен зарегистрирован сервисом, который расположен в Hong Kong, а сам веб-сайт хостится на CloudFlare в США!

Вывод – вы не должны полностью полагаться на сканы Virus Total и вы должны быть очень осторожны, устанавливая расширения из непроверенных источников. Ничто не бесплатно в интернете!

Это интересно:

Комментарии  

Вадим Куницын
0 # Вадим Куницын 12.08.2014 21:08
К сожалению даже если пользователи вареза прочитают эту статью они все равно, не перестанут им пользоваться.
Особенно жалко заказчиков сайтов, которым ставят такое да еще и берут за это деньги.
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Сергей Мочалов
+1 # Сергей Мочалов 12.08.2014 22:22
Цитирую Вадим Куницын:
К сожалению даже если пользователи вареза прочитают эту статью они все равно, не перестанут им пользоваться.
Особенно жалко заказчиков сайтов, которым ставят такое да еще и берут за это деньги.

Полностью согласен, ибо желание халявы перебарывает логику... В итоге по прошествии нескольких месяцев мне приходится лечить зараженные сайты, сделанные нерадивыми "сайтостроителями" на якобы бесплатных шаблонах...
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Вадим Куницын
+1 # Вадим Куницын 13.08.2014 00:13
Угу... да логика, что все бесплатно, это вообще отдельная тема.
У меня такое ощущение, что товарищи реально думают, что бывает, что-то бесплатное и просто так. Если бесплатно либо кто-то с тебя потом, что-то поимеет, либо это лишь инструмент для достижения цели, к которому нужна еще пачка знаний, а знания тоже что-то стоят.
Сантехнику же не предлагают сделать работу бесплатно, да еще и материалы закупить за свой счет. :-) Но почему то в сайт-строении все думают, что такой метод может прокатить. Святая наивность :-)
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Александр Духновский
+1 # Александр Духновский 13.08.2014 10:54
Это временное недопонимание ситуации. Люди начинают понемногу разбираться во всех этих ваших интернетах. Рост рынка IT-услуг продолжает расти. Заказчики уже могут видеть расценки исполнителей и сравнивать их. Кому нужен приличный ресурс, тот нанимает хорошего специалиста. Остальные платят небольшие суммы за то, что им по сути не нужно. К примеру, многодетная семья решила заняться e-commerce при стартовом бюджете в 15тыс. рублей. Это говорит только о том, что такие люди не прочли ни строчки о том, как на самом деле осуществляется электронная коммерция. Иначе бы обратились к маркетологам, а не "вебмастеру". Вот таким и ставят варез, т.к. за подобный бюджет ничего иного не остается. Утрирую конечно, но суть недалека от реальности ;-)
Чаще люди сами устанавливают себе варез. Мало того, многие даже не знают, это такое. Обычно такие люди - самоделы. Т.е. сами делают себе сайт. Таких ведь очень много, особенно на волне популярности мини-стартапов: коучи, скрапбукеры и прочие рукодельницы. Такие не вникают в суть лицензий.
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Евгений Сивоконь
+3 # Евгений Сивоконь 12.08.2014 21:56
Дим, отличная статья, снабженная скриншотами. спасибо!
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Николай1
0 # Николай1 14.08.2014 23:39
А я считаю что прежде чем покупать надо попробовать. В свое время покупал котов в мешках и никто деньги не возвращал.
Поэтому и пользуюсь joomla складчиной для тестирования, а потом уже покупаю ...
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Вадим Куницын
0 # Вадим Куницын 15.08.2014 12:46
Этого вам конечно не могут запретить сделать. Но именно складчины и варез толкают разработчиков на привязки к доменам и повышениям цен на компоненты без привязки.
Хотя нормальный разработчик, должен дать и админку пощупать и ответить на вопросы в случае чего.
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Николай1
-2 # Николай1 15.08.2014 15:14
Разработчики не могут делать привязки к доменам! Иначе в JED каталог не попадут :)
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Вадим Куницын
+2 # Вадим Куницын 15.08.2014 17:29
Такого ограничения в JED нет. Есть ограничения на шифрование кода. Эту проблему обходят путем создания нескольких версий, одна из который полностью с открытым кодом (она же самая дорогая).
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Александр Духновский
+1 # Александр Духновский 16.08.2014 11:44
Есть и другой вариант. В JED выкладывают версию Лайт, с предложением купить полную. А вот полная может быть закодирована. Впрочем, с кодированием мало кто связывается. Такой крайний шаг существенно ограничивает потенциальную аудиторию. Большинство же и вовсе лишь отслеживают свои работы на варезниках. Чтобы запретить это, нужно потратить много сил, времени и денег. Рациональнее выпустить новое расширение.
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Дмитрий
+2 # Дмитрий 18.08.2014 13:13
Я варезом не пользуюсь, но статья меня вообще не удивила. Первый маяк - 54 антивирусных средства (шта?) да и вообще выглядит как простая пугалка.

За информацию спасибо.
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Вадим Куницын
+1 # Вадим Куницын 18.08.2014 22:51
Цитата:
Первый маяк - 54 антивирусных средства (шта?)
Не понял про что вы говорите.
А вообще всё это давно известно, но почему, то люди все равно продолжают пользоваться варезом.
Я кстати видел не один раз на том же joomlaforum такую картину. Я скачал с варезника, у меня какие ссылки, заплачу за удаление их из кода. Вот и смысл было людям сначала варез качать, потом платить за удаление. Уж проще производителю заплатить, чтоб он продолжал выпускать расширения и шаблоны.
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Дмитрий Рекун
0 # Дмитрий Рекун 23.08.2014 08:36
Цитирую Дмитрий:
Первый маяк - 54 антивирусных средства (шта?)

Как что? А здесь разве не 54 антивируса?
virustotal.com/.../1407739327
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
videokritik
+1 # videokritik 04.01.2015 19:31
Да ладно чушь пороть :o . Я понимаю, что разработчикам хочется зарабатывать (и побольше), потому и придумывают пугалки-страшилки, мол, все пропало (раз и навсегда)...
Я лично беру джумловский шаблон с официального сайта разработчика (БЕСПЛАТНО), так как версия "PRO" этого шаблона (за деньги) мне не нужна. Я и бесплатную версию шаблона могу допилить. Мне этого достаточно. Вот и вопрос: зачем мне кому-то платить?
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Саня
0 # Саня 20.10.2015 01:49
В тему статьи про бекдоры, да intsystem.org/.../... автор кстати пишет, что joomlaportal.ru так и не прокомментировали о результатах расследования. Стыд позор?
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Вадим Куницын
0 # Вадим Куницын 20.10.2015 12:01
Вы читали статью??? И комментарии к ней :-) Там как раз ситуацию комментирует владелец JoomlaPortal (smart), да и автор статьи пишет, что комментарии ему дали. Дело давнее, и как только узнали о такой проблеме, сразу все почистили, теперь кстати официальный дистрибутив отдается по прямой ссылке с официального репозитория Joomla, так, что за чистоту дистрибутива, можете не переживать.
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Саня
0 # Саня 20.10.2015 13:45
Ну меня лично смутил последний комментарий автора intsystem.org/.../... а точнее вот:
Цитата:
Они пообещали сообщить о результатах расследования, но оных не последовало, что наталкивает на мысли… В общем не мне их судить.
вы бы может как нибудь связались с ним, чтоб автор или статью убрал, или как нибудь добавил ваши коментарии о том как это произошло и что теперь все в порядке, а то вот в гугле www.google.ru/.../ на третьей строчке.. отпугивает в общем.
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Вадим Куницын
0 # Вадим Куницын 20.10.2015 17:46
Теория мировых заговоров в действии. :-)

Когда РЖД взломали, данные кредиток утекли, ни кого это в общем, то не останавливает и дальше пользоваться услугами РЖД.

Тут так, же... было такое 2 года назад, взломали, с тех пор учли ошибки, и теперь ссылка на официальные дистрибутив без каких либо выкладок на наш сервер.
Или вы предлагаете закрыть портал из-за этого происшествия и посыпать голову пеплом до конца своих дней?
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Саня
0 # Саня 20.10.2015 23:22
Ладно, признаю, погорячился :-) Так а правда был взлом?
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Вадим Куницын
0 # Вадим Куницын 20.10.2015 23:56
Я к сожалению всех подробностей этого дела не помню. Но взлом был... примерно в то время когда была написана указанная статья, на время joomlaportal был отмечен поисковиками, как опасный сайт.

С тех пор все, что может быть скомпрометировано (сборки, файлы локализации, и прочее) убрали. Теперь если вы посмотрите на ссылки из раздела "Скачать" ведут, либо на joomlacode, либо на github joomla.
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору
Олег
0 # Олег 26.10.2015 20:10
Интересная статья, но все же на уровне страшилки. Такие случаи редки. Я раньше пользовал варез расширениями, да и сейчас есть мой допиленный EasyBlog - с вареза. Скажу от себя:
1) По мне нужно всегда обращать внимания на комментарии к статье.
2) Варез потихоньку умирает. вспомните бум 2-3 года назад? Вот. Поисковики режут наглухо все "подозрительные" сайты, в итоге они уходят в цифровое забвение.
3) Ну и напоследок. Зачастую, действительно необходимо "пощупать" расширение. Слово необходимо... Хм... Даже не так. Most Have установить и разобрать по костям, а только потом покупать. Ну это мое личное мнение :lol:

Последний, 4 пункт. Варезы... вернемся к ним. Это самая настоящая реклама расширений. По своему опыту. Скачал, установил на тестовую платформу "пластилин", пощупал, покрутил, проверил на совместимость с другими расширениями "дружками", отладил. КУПИЛ!
------------------------------------
Кодерам и дизайнерам удачи в своем не легком поприще.
Особенно РокетТем))))
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору

Добавить комментарий

Обновить
Защитный код

Joomla!® CMS — пожалуй, лучшая система управления контентом с открытым исходным кодом

Joomla! — это больше, чем просто программное обеспечение, это люди, включающие разработчиков, дизайнеров, системных администраторов, переводчиков, копирайтеров, и, что самое главное — простых пользователей.

Мы рады пригласить вас в ряды нашего сообщества!

Скачать Joomla! 3 Документация Joomla! CMS Свернуть

Новости портала

Новое в блогах

Видео