How to become an author
Search
Write a publication
Pull to refresh

Comments 133

да там и уровнем выше можно подняться :) http://traveladmin.ru/admin/
Total votes 4: ↑4 and ↓0+4
До сих пор не залатали доступ.
По ссылке traveladmin.ru/admin/ext_images даже уже кто-то текст с приветствием сообществу Хабра и geektimes туда зафигачил.
This comment wasn’t rated yet0
М-да… шедеврально. Видимо их админы не догадались даже до
такого решения
index.html
<html>
 <title>Этой страницы нет</title>
 <body>
 Нехер тут смотреть!
 </body>
</html>


Ну или просто забыли. Бывает…
Total votes 3: ↑2 and ↓1+1
Мне кажется, здесь ошибка в слове забили. Хотя согласен, бывает…
Total votes 5: ↑5 and ↓0+5
<?php // Silence is golden
© WordPress
Total votes 5: ↑1 and ↓4-3
Там даже можно получить исходники некоторых .php файлов! А это уже чревато…
This comment wasn’t rated yet0
Мда, интересно.

if(Sex == 0)
{
$("#Sex"+PassangersID+" [value=\«MALE\»]").attr(«selected», «selected»);
}
else
{
if(Sex == 1)
{
$("#Sex"+PassangersID+" [value=\«FEMALE\»]").attr(«selected», «selected»);

Почему так? Кодила девушка?
Total votes 5: ↑5 and ↓0+5
http://www.traveladmin.ru/acquiro/ — короче…

«userID» => 4008, «password» => «Sol0*****» РЕШЕТО… :)

+ фамилии администраторов всплывают. если php поковырять… короче печально.
Total votes 3: ↑3 and ↓0+3
А мне понравилось содержимое http://traveladmin.ru/admin/ext_images/
Там такие приказы есть, просто закачаешься :)
This comment wasn’t rated yet0
уже все, ругаются по этой ссылке
«Передаю привет сообществу Хабр, а так-же geektimes, благодаря вам, ху№; сы, был испорчен данный сайт, слита вся информация, и будет выложена в паблик.
Где ваши принципы „не навреди“? Где этические и моральные аспекты, настоящих, гордых вайтхеков?
Удачных рабочих дней, Лицемеры.»

Скрин приложить не могу.
Total votes 5: ↑5 and ↓0+5
У-у-у-у-у, ещё и «так-же»… Не забудем, не простим! :D

Правда, матюки стоило замазать, т.к. они здесь вне закона.
Total votes 7: ↑7 and ↓0+7
Добрые хакеры пишут не гуглу и хабру, а админу. А теперь в логах потоптались сотни человек и крайнего не найти.
Правда случай с дырами в ПО подводной локации на даче президента говорит о безполезности мягких предупреждений.
https://habrahabr.ru/post/273249/
Total votes 3: ↑3 and ↓0+3
Нам на корп.почту с одного сервака спам сыпался с вирусней в архивах. Я в добром душевном порыве нашел админа, позвонил, сказал, что похоже у них или спам-бот завелся или еще что, т.к. спам от вас приходит. Только услышал невнятное «А? эээ… ммм… океей» и все.
Хоть убейте не понимаю…
Total votes 1: ↑1 and ↓0+1
Апач с активным directory listing.
Классика!
This comment wasn’t rated yet0
Видимо было какое-то или обновление на сервере или переезд, а настройки Апача перенести забыли
Total votes 1: ↑1 and ↓0+1
Это не может быть оправданием. Таких людей нельзя допускать к веб-проектам, принципиально.
Total votes 7: ↑6 and ↓1+5
Таких людей к кофеваркам-то допускать опасно. Про федеральные проекты речи нет.
Total votes 1: ↑1 and ↓0+1
Это вы сейчас про какой-то идеальный мир из другой галактики, в реальности разгильдяйство ещё суровее чем здесь попадается сплошь и рядом
Total votes 3: ↑3 and ↓0+3
Это не про идеальный мир. Просто каждый должен заниматься своим делом. Если такое разгильдяйство и имеет место быть, то в любом случае нормального тут нет. Чей-то зад вполне оправдано должен увеличиться на r = время реакции * количество спаленных личных данных клиентов. Желательно в сантиметрах.
Total votes 2: ↑2 and ↓0+2
Да я ж не спорю что каждый должен заниматься своим делом, только постоянные наши кризисы превращают путем оптимизации администратора, программиста, верстальщика, дизайнера в одного универсального человека, возможно школьника без опыта работы, ибо так дешевле:)
This comment wasn’t rated yet0
Видимо было какое-то или обновление на сервере или переезд, а настройки Апача перенести забыли
Скорее всего да, но… это было бы хоть как-то простительно, если бы были видны пхп файлы — код движка, файлы верстки.
Но логи, приватные документы — это все должно хранится так, что бы любой сбой конфигурации веб-сервера не приводил к их доступности. Простейшее решение требующее мозга на уровне детсада — положить их выше корня.
Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
мы ещё не всё прочитали :)
Кстати, в одном из файлов раскрытие путей. Судя по имени пользователя, это (возможно) он (или админ, или владелец ресурса):
image
Total votes 2: ↑2 and ↓0+2
у кого-то будет секс ......xD
Total votes 2: ↑1 and ↓10
Жесть…
http://traveladmin.ru/admin/library/ckeditor/uploader/
This comment wasn’t rated yet0
Даже после слива, всё равно есть доступ. Что за люди?!
Total votes 2: ↑2 and ↓0+2
Я же теперь сам спать не смогу… Как люди в 2016 году без использование элементарных инструментов строят такие проекты? Детский велосипед с дырявыми колесами и без седла.
Total votes 1: ↑1 and ↓0+1
Нам даже как-то завидно стало:)
Это же какой надо иметь талант, что бы такое продавать?
Total votes 1: ↑1 and ↓0+1
Что-то захотелось супа с лапшой… К чему бы это?
Total votes 1: ↑1 and ↓0+1
Хакаси? ) и Даймонд-сити.
This comment wasn’t rated yet0
По второй ссылке — кромешный ад. 7098(!) строк. PHP, Html, JS, CSS и все в одном файле. Без фильтрации запросов.
Total votes 4: ↑4 and ↓0+4
Как учили в книжке по ПХП 2001-го года!
Total votes 3: ↑3 and ↓0+3
недавно видел книгу mysql+php+js 2016 года издательства Питер. Там все так же учат
This comment wasn’t rated yet0
Меня больше удивил размер комиссионных вознаграждений, у многих компаний он составляет 1 рубль, разве это выгодно для сервисов, работать с таким то «вознаграждением»?
p.s.
У ребят утро начнется явно не с кофе.
This comment wasn’t rated yet0
Да, ладно будет у них утром кофе — эксклюзивный, от начальства.
This comment wasn’t rated yet0
утро начнётся с истерического набирания телефона вот этим гомнокодерам www kproject su
This comment wasn’t rated yet0
первые 2 учетки их прогеров
Total votes 2: ↑2 and ↓0+2
Оттуда услышал ответ, что они не виноваты, это все их подрядчики фрилансеры :)
This comment wasn’t rated yet0
Помимо комиссии взимается скрытая комиссия, билеты покупаются напрямую через систему бронирования, что часто дешевле чем даже на сайте а/к. Так же посредники везде пихают свои бонусные карты, а так же авиакомпании за хорошие продажи могут давать вообще бесплатные билеты, скидки, которые потом можно продать, например. Тут путей много, могу сказать, как человек работающий в одном довольно крупном агрегаторе авиабилетов.
Total votes 2: ↑2 and ↓0+2
поздно, качаем любой php http://traveladmin.ru/admin/ext_images/download2.php?file=../change_pass.php
Total votes 4: ↑2 and ↓20
В таких случаях принято отключать сайт и не включать пока все баги программист не исправит(ведь сохранность личной информации клиентов важнее бизнеса) и все пароли на все сервисы менять. Вместо этого кто то РУКАМИ удаляет файлы в папке ext_images. Просто смотрит и удаляет. Ну нельзя же так...)))
Total votes 5: ↑5 and ↓0+5
Правильнее сказать, отсюда ДО СИХ ПОР можно загрузить ЛЮБОЙ php файл.
Эти лапухи криворукие не додумались пару файлов удалить или конфигурацию поменять)
Total votes 1: ↑1 and ↓0+1
Уже додумались, веселье закончилось, выкатили обратно backup и подтерли uploader. Ну хоть у кого-то на что-то ума хватило… Правда и архивы опять на месте =)
Total votes 2: ↑2 and ↓0+2
Все PDF закешированы гуглом:
https://www.google.com/?gfe_rd=cr&gws_rd=ssl#q=site:traveladmin.ru+pdf&filter=0
Total votes 2: ↑2 and ↓0+2
Некоторые закешированные исходники:
https://www.google.com/search?q=site:traveladmin.ru+function+php&biw=1280&bih=593&noj=1&filter=0
This comment wasn’t rated yet0
выше написал кто создатель сея делов
This comment wasn’t rated yet0
пожалейте их, залейте корректный deny all robots.txt…
Total votes 6: ↑6 and ↓0+6
Все условия. Даже phpmyadmin есть http://151.248.120.155/myadmin/…
This comment wasn’t rated yet0
Который до сих пор открывается, несмотря на то, что по остальным ссылкам 404
This comment wasn’t rated yet0
Поздновато зашёл. Хорошо что хоть архив ещё не грохнули )))
This comment wasn’t rated yet0
Если Вы про ссылку из основного текста, то да — недоступно уже!
Но тут в комментариях проскочила идея подняться выше — traveladmin.ru/admin — там много чего ещё доступно!
Total votes 1: ↑1 and ↓0+1
У нас, как известно, теперь есть закон о защите персональных данных,
под соусом которого кошмарят визу, гугл и фейсбук и заставляют их переносить сервера в РФ,
терпеть миллиардные убытки и позориться из-за провалов НСПК.

Давайте же посмотрим, какая кара ждет компанию, слившую все персональные данные клиентов прямо в интернет:

КоАП 13.12.6. Нарушение требований о защите информации (за исключением информации,
составляющей государственную тайну), установленных федеральными законами и принятыми
в соответствии с ними иными нормативными правовыми актами Российской Федерации,
за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, — влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей;
на должностных лиц — от одной тысячи до двух тысяч рублей;
на юридических лиц — от десяти тысяч до пятнадцати тысяч рублей.

Заплати 15тр и сливай персональные данные дальше.
Total votes 12: ↑12 and ↓0+12
это за единицу персональных данных или за весь пакет?
Total votes 4: ↑4 and ↓0+4
Сейчасhttp://traveladmin.ru/admin/ext_images/ ведет на http://fsb.ru/
Шевелиться начали?

Подозреваю, что шутят
This comment wasn’t rated yet0
не… кто то из месных похоже шутит… шелл получили — веселятся :)
Total votes 6: ↑6 and ↓0+6
Буду обновлять комментарии. К тому же выводу пришел.
This comment wasn’t rated yet0
Теперь там уже сообщение такого содержания: «Передаю привет сообществу Хабр, а так-же geektimes, благодаря вам, ху@#сосы, был испорчен данный сайт, слита вся информация, и будет выложена в паблик.
Где ваши принципы „не навреди“? Где этические и моральные аспекты, настоящих, гордых вайтхеков?
Удачных рабочих дней, Лицемеры.»
У меня есть такое ощущение, что я знаю, кто это написал… но ладно.
Только вот испорчен он был не благодаря сообществу ГТ и Хабра, а благодаря криворуким разработчикам. Нечего перекидывать вину на всех.
Total votes 7: ↑6 and ↓1+5
То есть они накосячили, дыры до сих пор не закрыли, а виноват Хабр.
Прэлестно! (С)
Total votes 4: ↑3 and ↓1+2
Это сложно назвать дырой, если люди прописывают 777 на админку.
Total votes 1: ↑1 and ↓0+1
Так это скорее всего кто-то с хабра/гиктаймса и написал. Там до сих пор веселится школота.
Total votes 1: ↑1 and ↓0+1
У меня есть такое ощущение, что я знаю, кто это написал… но ладно.

Страна должна знать своих героев в лицо! Ссылку на профиль ))
Total votes 2: ↑1 and ↓10
Группа Hello Kitty обнаружила полностью открытый сайт с полностью открытыми данными, слила данные, написала об этом в твитер. TJournal написал об этом новость. Ализар перепостил нововсть с TJournal. Вывод — виноват хаб\гиктаймс.
Г — Логика!
Total votes 15: ↑15 and ↓0+15
Ах, ну да, и ещё совсем забыл — также благодаря «группе хакеров-подростков» Hello Kitty.
Сложно ожидать от хакеров-подростков «этических и моральных аспектов настоящих годных вайтхеков», учитывая, что они и к хакерам-то настоящим мало отношения имеют.
И да, то что произошло вроде бы преступление и по законодательству и по логике вещей. Никто не скажет ведь, что человек, который зашёл в открытую квартиру чужих людей и взял оттуда что-то, не совершил кражу.
Но оставлять абсолютно открытой квартиру с довереннымми тебе чужими данными, при том что мимо дверей этой квартиры ходит несколько миллиардов человек, — полное разгильдяйство, если вообще не преступная халатность.
Total votes 3: ↑3 and ↓0+3
Этому есть отдельный термин — виктимность
Total votes 2: ↑0 and ↓2-2
Интересно, открыл для себя wget для windows. GNU — все как положено.
И решил потренироваться на… нет. :) — на geektimes.
Выяснил, что wget не хочет скачивать https://geektimes.ru/ — ругается на сертификат. Типа недействительный. Полез в Chrome в «зеленый замочек» — все ок… только выдан сертификат на habrastorage.org.
Выяснилось, что сертификаты бывают мультидоменными!
И именно с мультидоменными SSL сертификатами не хочет (не умеет без отключения проверки) работать wget!

О сколько нам открытий чудных…
Total votes 2: ↑1 and ↓10
возможно у вас старый wget < 1.14 и он не поддерживает SNI.
This comment wasn’t rated yet0
Вероятно у вас плохой, протухший, wget с gnuwin32.sourceforge.net. Хороший и свежий можно скачать с https://eternallybored.org/misc/wget/ — там всё работает.
This comment wasn’t rated yet0
И, внезапно:
Core was generated by `wget --recursive http://traveladmin.ru/admin/files/services/'.
Program terminated with signal SIGSEGV, Segmentation fault.
#0  0x00007f12a54410b0 in __memset_sse2 () from /usr/lib/libc.so.6
gdb-peda$ bt
#0  0x00007f12a54410b0 in __memset_sse2 () from /usr/lib/libc.so.6
#1  0x0000000000426b29 in create_image ()
#2  0x0000000000426f70 in bar_create ()
#3  0x00000003bbd0b5d0 in ?? ()
#4  0x0000000001f3b250 in ?? ()
#5  0x0000000000000000 in ?? ()
This comment wasn’t rated yet0
У меня как-то на днях тоже так упал — какой-то урок на stepic листал, там было про закачку wget'ом. Отдал wget-у страницу с уроком, он упал. Скачал последний релиз, собрал — всё в порядке. Кстати, забыл баг в дистрибутив зарепортить, пойду сделаю.
This comment wasn’t rated yet0
У меня и так последняя версия.
This comment wasn’t rated yet0
Ах да, об этом я не упомянул. У меня тоже была последняя, но видимо какой-то неудачный патч наложили. Думал репортить в upstream, решил проверить релиз без патчей. Он заработал как надо, как уже упоминал.
PS. Тот же релиз на traveladmin не падает.
This comment wasn’t rated yet0
У меня, к сожалению или счастью, последний релиз без каких-либо патчей. Только что его пересобрал с debug-символами, чтобы посмотреть, где упал.
Total votes 1: ↑1 and ↓0+1
Скачайте offline explorer enterprise или teleport ultra и не мучайтесь.
Total votes 1: ↑1 and ↓0+1
А гугл то там давно уже поселился. Открыто на просмотр, открыто для индексации, доступно для заливки файлов, чего ещё для счастья не хватает?
Total votes 2: ↑2 and ↓0+2
http://traveladmin.ru/admin/library/jd_orders.inc.php%20(%f3%e4%e0%eb%e8%f2%fc) — божественный код! :D
http://pastebin.com/XrLuk7pr

$SiteID = $_GET['SiteID'];

$PaymentTypes = array();

$pt_result = $conn->query(«SELECT pt.PaymentTypeID as PID, pt.PaymentTypeName as PName FROM SitePayments sp JOIN PaymentsType pt ON (sp.PaymentTypeID = pt.PaymentTypeID) WHERE (SiteID = '».$SiteID."')");
This comment wasn’t rated yet0
А это действительно массовый живой проект? А то по главной сайта так сразу и не скажешь…
This comment wasn’t rated yet0
Насколько понимаю, они не являются непосредственно продавцом билетов.
Они свое ПО предоставляли другим сайтам для оплаты/заказа билетов.
Total votes 1: ↑1 and ↓0+1
Этож сколько сейчас дырочек по интернету раскидано)))
Total votes 1: ↑1 and ↓0+1
Кто-то уже залил shell
http://traveladmin.ru/admin/ext_images/_.php
Total votes 3: ↑0 and ↓3-3
Всё, кончилось представление:)

На главной «КАДРЫ РЕШАЮТ ВСЕ професионализм и опыт». Так и написано — профеСионализм.
Total votes 9: ↑9 and ↓0+9
Да помогите же проекту. Грохните сайт полностью. У людей есть бэкапы. А школота сейчас все угробит к чертям. Хотя, наверное, уже все равно. Проект скорее мертв.
Total votes 1: ↑1 and ↓0+1
Да кто то уже сносил все. Сайт кто то заливает, потому что недавно половины файлов не было.

Зачем заливают этих жуков не понятно. Тут надо заглушку ставить(еще вчера), мол извините, ведутся работы. И сидеть и править все баги в PHP оффлайн.

Даже тупо index.php раскидать по всем каталогам не поможет горемыкам, так как все дыры в PHP-творениях известны и shell не перестают заливать.
И кстати к БД доступ уже не секрет (не думаю что пароль кто то поспешил менять).
This comment wasn’t rated yet0
Не понятно зачем заливают сайт. Может на автомате синхронизация?
This comment wasn’t rated yet0
Прям машина времени какая то, нечто подобное я наблюдал лет 10 назад, не думал что и сейчас такое возможно…
Total votes 3: ↑3 and ↓0+3
Лично я всё готов простить, но у них есть форма с автодополнением, которая выдаёт «Ни чего не найдено!».
Total votes 6: ↑6 and ↓0+6
Чувствуется, кого-то сегодня уволят…
Total votes 1: ↑0 and ↓1-1
Как написано на главной странице: «Кадры решают все: професионализм и опыт».
Тематически!
Total votes 3: ↑3 and ↓0+3
А теперь там DDoS от того что школьники пытаются найти еще баги Acunetix-ом)
This comment wasn’t rated yet0
Все, закрыли сайт. Кино закончилось.
Total votes 1: ↑0 and ↓1-1
Неа, все прекрасно открывается
This comment wasn’t rated yet0
да, вижу. Видимо подняли обратно. И все по новой.
This comment wasn’t rated yet0
Можно ли где-то еще проверить свою Фамлиию, фигурировала ли в списках?
This comment wasn’t rated yet0
Парсить pdf/doc из архива, не?
This comment wasn’t rated yet0
увидел ссылку вверху добавили
This comment wasn’t rated yet0
Долго не заставило себя ждать… http://traveladmin.ru/admin/
Total votes 1: ↑0 and ↓1-1
Надо было на peers dot fm выложить.

База жителей Турции 2016 cronos 5.29 GB
База данных жители Тольятти с фото cronos 9.49GB
Админки от разных сайтов — ? год
Базы данных для Пранкеров и Просто Троллей — 2014-2016 год
Аккаунты WOT — 2016 год Проверяйте сами я не играю)
Почта — 2014-2016 год Много почты в основном свежак!
BAZA AVITO.rar — по — РФ — 2014-2016 год (84 региона) 1.87GB

Потом себя там найти и гневно судиться с виновниками утечек, требуя 5 млн за «моральный усчерб» ))
This comment wasn’t rated yet0
Уязвимость закрыта удалением всего. :)
Total votes 1: ↑1 and ↓0+1
Интересно: это админы удалили, или им хабраюзеры помогли через залитый шелл?
This comment wasn’t rated yet0
Подумаешь...)
" Госфискальная служба потеряла 3 терабайта информации, говорится в приказе главы ГФС Романа Насирова от 1 апреля.

Речь идет о «ненадлежащей эксплуатации серверного оборудования и систем хранения данных». Уточняется, что информация была утеряна вследствие перегревов серверов из-за сбоя в системе охлаждения с 6 по 11 декабря 2015 года.

Какие точно данные были утрачены, в документе не уточняется: говорится о «531 тыс. электронных документов, 26 тысяч в регистрационных карточках, 4,1 тыс. регистрационных карточек, из них 128 — Верховной Рады, 174 — Министерства финансов и центральных органов исполнительной власти, 1547 — юрлиц, 3,1 тыс. контрольных карточек». Утрачена также внутренняя корреспонденция ведомства, однако ее количество «не установлено». Отмечается, что работы по восстановлению информации продолжаются.

«Причинами стали перегревы серверного оборудования, вызванные ненадлежащей работой системы охлаждения — на отдельных элементах системы охлаждения отсутствовали системы бесперебойного питания, сбои в работе, отключения электроэнергии», — отмечается в приказе.

Установлено, что из-за сбоев системы кондиционирования в серверных помещениях случались резкие перепады температур. «Был исследован журнал учета нештатных ситуаций, лог-файлы, журналы ошибок, согласно которым во время перебоев энергоснабжения температура достигала более, чем 50 градусов по Цельсию», — говорится в документе. При этом резервное копирование не велось.

Сообщается, что после проверки был уволен замдиректора департамента развития IT-отдела ГФС Д.Доронин, а ряд других сотрудников получили дисциплинарные взыскания."
и всё )
This comment wasn’t rated yet0
Вот как всех «битых» (опытных) с госслужбы поувольняют и шифрования запретят, станем ходить в базы ИФНС и ПФР как к себе на раб. стол и править там свой возраст и доходы :)

https://geektimes.ru/post/274584/ — запрет https?
This comment wasn’t rated yet0
оттуда битые и опытные уже свалили, а это оч мутная история…
This comment wasn’t rated yet0
Думаю, сказали Доронину: вот тебе 1 млн баксов, живи себе на Тайланде до конца жизни. Ну а мы на тебя повесим эти 3 Тб (а сами потирают ручки, потому что воровства там на 1 млрд).
This comment wasn’t rated yet0
Ну типа да…
Только вот (представим на минутку) пришли в ВР новые дяди и задались мыслью наказать прежних. И задались вопросом, а настолько ли глуп Д., что б не сохранить для себя (на всякий случай) хотябы парочку -другую документов? А не обвинить ли Д. в… торговле коксом или чего нить еще, и не истребовать его выдачу с Тайланду?
Перспективы для Д. будут очень грустные, для решения этой проблемы ему. и 3лямов не хватит.
This comment wasn’t rated yet0
Гарантий человеку никто не даёт. Дают 1 млн, а дальше уже как получится. Риск, понятно.
This comment wasn’t rated yet0
Да вряд ли. (в смысле " дают"). Зачем?
Понятно, что выполнено с использованием служебного доступа. А принудить можно и без лишних затрат, тем более они бессмысленны. Разоблачение не предотвратят, а только усугубят вину. Вот по принуждению. — можно рассчитывать/ожидать снисхождения.
Если выполнено было грамотно — спустя 3 м установить однозначно будет невозможно.
А вот вылет в Таиланд — это подозрение.
В лавочке такого уровня без допуска и подписанного согласованного распоряжения какгрится в серверную не пустят.(хотя для этого физдоступ не нужен конечно)
Но суть та же — все работы и операции с базами только с письменного разрешения и под журнал.
This comment wasn’t rated yet0
Sign up to leave a comment.

Other news

Your account

Sections

Information

Services

Support
© 2006–2024, Habr