Comments 133
М-да… шедеврально. Видимо их админы не догадались даже до
такого решения
index.html
<html>
 <title>Этой страницы нет</title>
 <body>
 Нехер тут смотреть!
 </body>
</html>


Ну или просто забыли. Бывает…
Мне кажется, здесь ошибка в слове забили. Хотя согласен, бывает…
Там даже можно получить исходники некоторых .php файлов! А это уже чревато…
Мда, интересно.

if(Sex == 0)
{
$("#Sex"+PassangersID+" [value=\«MALE\»]").attr(«selected», «selected»);
}
else
{
if(Sex == 1)
{
$("#Sex"+PassangersID+" [value=\«FEMALE\»]").attr(«selected», «selected»);

Почему так? Кодила девушка?
http://www.traveladmin.ru/acquiro/ — короче…

«userID» => 4008, «password» => «Sol0*****» РЕШЕТО… :)

+ фамилии администраторов всплывают. если php поковырять… короче печально.
А мне понравилось содержимое http://traveladmin.ru/admin/ext_images/
Там такие приказы есть, просто закачаешься :)
Вот это шедевр:
памятка пассажиру ДШБ-МОВ.jpg
image

Старились, сделали с душой.
уже все, ругаются по этой ссылке
«Передаю привет сообществу Хабр, а так-же geektimes, благодаря вам, ху№; сы, был испорчен данный сайт, слита вся информация, и будет выложена в паблик.
Где ваши принципы „не навреди“? Где этические и моральные аспекты, настоящих, гордых вайтхеков?
Удачных рабочих дней, Лицемеры.»

Скрин приложить не могу.
У-у-у-у-у, ещё и «так-же»… Не забудем, не простим! :D

Правда, матюки стоило замазать, т.к. они здесь вне закона.
Добрые хакеры пишут не гуглу и хабру, а админу. А теперь в логах потоптались сотни человек и крайнего не найти.
Правда случай с дырами в ПО подводной локации на даче президента говорит о безполезности мягких предупреждений.
https://habrahabr.ru/post/273249/
Нам на корп.почту с одного сервака спам сыпался с вирусней в архивах. Я в добром душевном порыве нашел админа, позвонил, сказал, что похоже у них или спам-бот завелся или еще что, т.к. спам от вас приходит. Только услышал невнятное «А? эээ… ммм… океей» и все.
Хоть убейте не понимаю…
Видимо было какое-то или обновление на сервере или переезд, а настройки Апача перенести забыли
Это не может быть оправданием. Таких людей нельзя допускать к веб-проектам, принципиально.
Таких людей к кофеваркам-то допускать опасно. Про федеральные проекты речи нет.
Это вы сейчас про какой-то идеальный мир из другой галактики, в реальности разгильдяйство ещё суровее чем здесь попадается сплошь и рядом
Это не про идеальный мир. Просто каждый должен заниматься своим делом. Если такое разгильдяйство и имеет место быть, то в любом случае нормального тут нет. Чей-то зад вполне оправдано должен увеличиться на r = время реакции * количество спаленных личных данных клиентов. Желательно в сантиметрах.
Да я ж не спорю что каждый должен заниматься своим делом, только постоянные наши кризисы превращают путем оптимизации администратора, программиста, верстальщика, дизайнера в одного универсального человека, возможно школьника без опыта работы, ибо так дешевле:)
Видимо было какое-то или обновление на сервере или переезд, а настройки Апача перенести забыли
Скорее всего да, но… это было бы хоть как-то простительно, если бы были видны пхп файлы — код движка, файлы верстки.
Но логи, приватные документы — это все должно хранится так, что бы любой сбой конфигурации веб-сервера не приводил к их доступности. Простейшее решение требующее мозга на уровне детсада — положить их выше корня.
мы ещё не всё прочитали :)
Кстати, в одном из файлов раскрытие путей. Судя по имени пользователя, это (возможно) он (или админ, или владелец ресурса):
image
http://traveladmin.ru/admin/library/sliders.inc.php_
http://traveladmin.ru/admin/library/get_avia_form.php_
Исходники, типа.
Я же теперь сам спать не смогу… Как люди в 2016 году без использование элементарных инструментов строят такие проекты? Детский велосипед с дырявыми колесами и без седла.
Нам даже как-то завидно стало:)
Это же какой надо иметь талант, что бы такое продавать?
По второй ссылке — кромешный ад. 7098(!) строк. PHP, Html, JS, CSS и все в одном файле. Без фильтрации запросов.
недавно видел книгу mysql+php+js 2016 года издательства Питер. Там все так же учат
Меня больше удивил размер комиссионных вознаграждений, у многих компаний он составляет 1 рубль, разве это выгодно для сервисов, работать с таким то «вознаграждением»?
p.s.
У ребят утро начнется явно не с кофе.
Да, ладно будет у них утром кофе — эксклюзивный, от начальства.
утро начнётся с истерического набирания телефона вот этим гомнокодерам www kproject su
Оттуда услышал ответ, что они не виноваты, это все их подрядчики фрилансеры :)
Помимо комиссии взимается скрытая комиссия, билеты покупаются напрямую через систему бронирования, что часто дешевле чем даже на сайте а/к. Так же посредники везде пихают свои бонусные карты, а так же авиакомпании за хорошие продажи могут давать вообще бесплатные билеты, скидки, которые потом можно продать, например. Тут путей много, могу сказать, как человек работающий в одном довольно крупном агрегаторе авиабилетов.
поздно, качаем любой php http://traveladmin.ru/admin/ext_images/download2.php?file=../change_pass.php
В таких случаях принято отключать сайт и не включать пока все баги программист не исправит(ведь сохранность личной информации клиентов важнее бизнеса) и все пароли на все сервисы менять. Вместо этого кто то РУКАМИ удаляет файлы в папке ext_images. Просто смотрит и удаляет. Ну нельзя же так...)))
Правильнее сказать, отсюда ДО СИХ ПОР можно загрузить ЛЮБОЙ php файл.
Эти лапухи криворукие не додумались пару файлов удалить или конфигурацию поменять)
Уже додумались, веселье закончилось, выкатили обратно backup и подтерли uploader. Ну хоть у кого-то на что-то ума хватило… Правда и архивы опять на месте =)
Это даже в гугле есть)
https://www.google.com/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=xmlsearch+TGTPass
Все PDF закешированы гуглом:
https://www.google.com/?gfe_rd=cr&gws_rd=ssl#q=site:traveladmin.ru+pdf&filter=0
Некоторые закешированные исходники:
https://www.google.com/search?q=site:traveladmin.ru+function+php&biw=1280&bih=593&noj=1&filter=0
Который до сих пор открывается, несмотря на то, что по остальным ссылкам 404
Если Вы про ссылку из основного текста, то да — недоступно уже!
Но тут в комментариях проскочила идея подняться выше — traveladmin.ru/admin — там много чего ещё доступно!
У нас, как известно, теперь есть закон о защите персональных данных,
под соусом которого кошмарят визу, гугл и фейсбук и заставляют их переносить сервера в РФ,
терпеть миллиардные убытки и позориться из-за провалов НСПК.

Давайте же посмотрим, какая кара ждет компанию, слившую все персональные данные клиентов прямо в интернет:

КоАП 13.12.6. Нарушение требований о защите информации (за исключением информации,
составляющей государственную тайну), установленных федеральными законами и принятыми
в соответствии с ними иными нормативными правовыми актами Российской Федерации,
за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, — влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей;
на должностных лиц — от одной тысячи до двух тысяч рублей;
на юридических лиц — от десяти тысяч до пятнадцати тысяч рублей.

Заплати 15тр и сливай персональные данные дальше.
Сейчасhttp://traveladmin.ru/admin/ext_images/ ведет на http://fsb.ru/
Шевелиться начали?

Подозреваю, что шутят
не… кто то из месных похоже шутит… шелл получили — веселятся :)
Теперь там уже сообщение такого содержания: «Передаю привет сообществу Хабр, а так-же geektimes, благодаря вам, ху@#сосы, был испорчен данный сайт, слита вся информация, и будет выложена в паблик.
Где ваши принципы „не навреди“? Где этические и моральные аспекты, настоящих, гордых вайтхеков?
Удачных рабочих дней, Лицемеры.»
У меня есть такое ощущение, что я знаю, кто это написал… но ладно.
Только вот испорчен он был не благодаря сообществу ГТ и Хабра, а благодаря криворуким разработчикам. Нечего перекидывать вину на всех.
То есть они накосячили, дыры до сих пор не закрыли, а виноват Хабр.
Прэлестно! (С)
Так это скорее всего кто-то с хабра/гиктаймса и написал. Там до сих пор веселится школота.
У меня есть такое ощущение, что я знаю, кто это написал… но ладно.

Страна должна знать своих героев в лицо! Ссылку на профиль ))
Группа Hello Kitty обнаружила полностью открытый сайт с полностью открытыми данными, слила данные, написала об этом в твитер. TJournal написал об этом новость. Ализар перепостил нововсть с TJournal. Вывод — виноват хаб\гиктаймс.
Г — Логика!
Ах, ну да, и ещё совсем забыл — также благодаря «группе хакеров-подростков» Hello Kitty.
Сложно ожидать от хакеров-подростков «этических и моральных аспектов настоящих годных вайтхеков», учитывая, что они и к хакерам-то настоящим мало отношения имеют.
И да, то что произошло вроде бы преступление и по законодательству и по логике вещей. Никто не скажет ведь, что человек, который зашёл в открытую квартиру чужих людей и взял оттуда что-то, не совершил кражу.
Но оставлять абсолютно открытой квартиру с довереннымми тебе чужими данными, при том что мимо дверей этой квартиры ходит несколько миллиардов человек, — полное разгильдяйство, если вообще не преступная халатность.
Интересно, открыл для себя wget для windows. GNU — все как положено.
И решил потренироваться на… нет. :) — на geektimes.
Выяснил, что wget не хочет скачивать https://geektimes.ru/ — ругается на сертификат. Типа недействительный. Полез в Chrome в «зеленый замочек» — все ок… только выдан сертификат на habrastorage.org.
Выяснилось, что сертификаты бывают мультидоменными!
И именно с мультидоменными SSL сертификатами не хочет (не умеет без отключения проверки) работать wget!

О сколько нам открытий чудных…
Вероятно у вас плохой, протухший, wget с gnuwin32.sourceforge.net. Хороший и свежий можно скачать с https://eternallybored.org/misc/wget/ — там всё работает.
И, внезапно:
Core was generated by `wget --recursive http://traveladmin.ru/admin/files/services/'.
Program terminated with signal SIGSEGV, Segmentation fault.
#0  0x00007f12a54410b0 in __memset_sse2 () from /usr/lib/libc.so.6
gdb-peda$ bt
#0  0x00007f12a54410b0 in __memset_sse2 () from /usr/lib/libc.so.6
#1  0x0000000000426b29 in create_image ()
#2  0x0000000000426f70 in bar_create ()
#3  0x00000003bbd0b5d0 in ?? ()
#4  0x0000000001f3b250 in ?? ()
#5  0x0000000000000000 in ?? ()
У меня как-то на днях тоже так упал — какой-то урок на stepic листал, там было про закачку wget'ом. Отдал wget-у страницу с уроком, он упал. Скачал последний релиз, собрал — всё в порядке. Кстати, забыл баг в дистрибутив зарепортить, пойду сделаю.
Ах да, об этом я не упомянул. У меня тоже была последняя, но видимо какой-то неудачный патч наложили. Думал репортить в upstream, решил проверить релиз без патчей. Он заработал как надо, как уже упоминал.
PS. Тот же релиз на traveladmin не падает.
У меня, к сожалению или счастью, последний релиз без каких-либо патчей. Только что его пересобрал с debug-символами, чтобы посмотреть, где упал.
А гугл то там давно уже поселился. Открыто на просмотр, открыто для индексации, доступно для заливки файлов, чего ещё для счастья не хватает?
http://traveladmin.ru/admin/library/jd_orders.inc.php%20(%f3%e4%e0%eb%e8%f2%fc) — божественный код! :D
http://pastebin.com/XrLuk7pr

$SiteID = $_GET['SiteID'];

$PaymentTypes = array();

$pt_result = $conn->query(«SELECT pt.PaymentTypeID as PID, pt.PaymentTypeName as PName FROM SitePayments sp JOIN PaymentsType pt ON (sp.PaymentTypeID = pt.PaymentTypeID) WHERE (SiteID = '».$SiteID."')");
А это действительно массовый живой проект? А то по главной сайта так сразу и не скажешь…
Насколько понимаю, они не являются непосредственно продавцом билетов.
Они свое ПО предоставляли другим сайтам для оплаты/заказа билетов.
Всё, кончилось представление:)

На главной «КАДРЫ РЕШАЮТ ВСЕ професионализм и опыт». Так и написано — профеСионализм.
Да помогите же проекту. Грохните сайт полностью. У людей есть бэкапы. А школота сейчас все угробит к чертям. Хотя, наверное, уже все равно. Проект скорее мертв.
Да кто то уже сносил все. Сайт кто то заливает, потому что недавно половины файлов не было.

Зачем заливают этих жуков не понятно. Тут надо заглушку ставить(еще вчера), мол извините, ведутся работы. И сидеть и править все баги в PHP оффлайн.

Даже тупо index.php раскидать по всем каталогам не поможет горемыкам, так как все дыры в PHP-творениях известны и shell не перестают заливать.
И кстати к БД доступ уже не секрет (не думаю что пароль кто то поспешил менять).
Не понятно зачем заливают сайт. Может на автомате синхронизация?
Прям машина времени какая то, нечто подобное я наблюдал лет 10 назад, не думал что и сейчас такое возможно…
Лично я всё готов простить, но у них есть форма с автодополнением, которая выдаёт «Ни чего не найдено!».
Как написано на главной странице: «Кадры решают все: професионализм и опыт».
Тематически!
А теперь там DDoS от того что школьники пытаются найти еще баги Acunetix-ом)
Можно ли где-то еще проверить свою Фамлиию, фигурировала ли в списках?
Надо было на peers dot fm выложить.

База жителей Турции 2016 cronos 5.29 GB
База данных жители Тольятти с фото cronos 9.49GB
Админки от разных сайтов — ? год
Базы данных для Пранкеров и Просто Троллей — 2014-2016 год
Аккаунты WOT — 2016 год Проверяйте сами я не играю)
Почта — 2014-2016 год Много почты в основном свежак!
BAZA AVITO.rar — по — РФ — 2014-2016 год (84 региона) 1.87GB

Потом себя там найти и гневно судиться с виновниками утечек, требуя 5 млн за «моральный усчерб» ))
Интересно: это админы удалили, или им хабраюзеры помогли через залитый шелл?
Подумаешь...)
" Госфискальная служба потеряла 3 терабайта информации, говорится в приказе главы ГФС Романа Насирова от 1 апреля.

Речь идет о «ненадлежащей эксплуатации серверного оборудования и систем хранения данных». Уточняется, что информация была утеряна вследствие перегревов серверов из-за сбоя в системе охлаждения с 6 по 11 декабря 2015 года.

Какие точно данные были утрачены, в документе не уточняется: говорится о «531 тыс. электронных документов, 26 тысяч в регистрационных карточках, 4,1 тыс. регистрационных карточек, из них 128 — Верховной Рады, 174 — Министерства финансов и центральных органов исполнительной власти, 1547 — юрлиц, 3,1 тыс. контрольных карточек». Утрачена также внутренняя корреспонденция ведомства, однако ее количество «не установлено». Отмечается, что работы по восстановлению информации продолжаются.

«Причинами стали перегревы серверного оборудования, вызванные ненадлежащей работой системы охлаждения — на отдельных элементах системы охлаждения отсутствовали системы бесперебойного питания, сбои в работе, отключения электроэнергии», — отмечается в приказе.

Установлено, что из-за сбоев системы кондиционирования в серверных помещениях случались резкие перепады температур. «Был исследован журнал учета нештатных ситуаций, лог-файлы, журналы ошибок, согласно которым во время перебоев энергоснабжения температура достигала более, чем 50 градусов по Цельсию», — говорится в документе. При этом резервное копирование не велось.

Сообщается, что после проверки был уволен замдиректора департамента развития IT-отдела ГФС Д.Доронин, а ряд других сотрудников получили дисциплинарные взыскания."
и всё )
Вот как всех «битых» (опытных) с госслужбы поувольняют и шифрования запретят, станем ходить в базы ИФНС и ПФР как к себе на раб. стол и править там свой возраст и доходы :)

https://geektimes.ru/post/274584/ — запрет https?
Думаю, сказали Доронину: вот тебе 1 млн баксов, живи себе на Тайланде до конца жизни. Ну а мы на тебя повесим эти 3 Тб (а сами потирают ручки, потому что воровства там на 1 млрд).
Ну типа да…
Только вот (представим на минутку) пришли в ВР новые дяди и задались мыслью наказать прежних. И задались вопросом, а настолько ли глуп Д., что б не сохранить для себя (на всякий случай) хотябы парочку -другую документов? А не обвинить ли Д. в… торговле коксом или чего нить еще, и не истребовать его выдачу с Тайланду?
Перспективы для Д. будут очень грустные, для решения этой проблемы ему. и 3лямов не хватит.
Гарантий человеку никто не даёт. Дают 1 млн, а дальше уже как получится. Риск, понятно.
Да вряд ли. (в смысле " дают"). Зачем?
Понятно, что выполнено с использованием служебного доступа. А принудить можно и без лишних затрат, тем более они бессмысленны. Разоблачение не предотвратят, а только усугубят вину. Вот по принуждению. — можно рассчитывать/ожидать снисхождения.
Если выполнено было грамотно — спустя 3 м установить однозначно будет невозможно.
А вот вылет в Таиланд — это подозрение.
В лавочке такого уровня без допуска и подписанного согласованного распоряжения какгрится в серверную не пустят.(хотя для этого физдоступ не нужен конечно)
Но суть та же — все работы и операции с базами только с письменного разрешения и под журнал.
Only those users with full accounts are able to leave comments. Log in, please.