Оценить вероятность взлома 7.58
26 апреля 2018 в 9:37
Всем привет.
Есть несколько клиентов без поддержки, еле убедила в прошлый раз обновить до 7.58, теперь в обороне, то ли считают, это всё развод, то ли что. Посмотрела, попытки взлома идут каждый день через ajax form, но скорее всего ту дыру прикрыло прошлое обновление, тк никаких новых файлов или изменений в функционировании пока не обнаружено. Взломают в итоге?
/*друпалру стал более презентабельным, спасибо, кто занимается*/
- Блог
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Комментарии
Вероятность такая, что надо обновляться.
Если вы рассказали о рисках и этим не убедили заказчиков - ну, значит, им так сайты нужны, потратьте время на что-нибудь другое
в первой серии уверяли, что очень нужны. экономия на спичках такая, видимо.
и ваш аватар увидела, вспомнила, читала вашу тему про непривлекательность друпала для клиента- мои 5 центов туда: не смогла убедить клиента перейти с битрикса на друпал (сайт на битриксе - откровенно кривой, видимо, это первый проект автора, каталог надо переделывать и тд, с просроченной лицензией, всякие 1с свистелки не используются вообще), потому что сайт у конкурента, лидера в нише, на битриксе- ну там, естественно, всё богато и реализовано вообще всё, что можно.
Drupal не то, что не привлекательный, мы (большинство) не умеем продавать, так чтобы он имел дополнительную ценность в глазах заказчика, даже если умеем готовить.
Многолетняя культивация мнения, что Drupal это инструмент для разработчика - напрочь убила ощущение реальности и все забыли, что вообще-то, заказчики платят за разработку.
По итогу, мы можем рассказывать друг другу про нормализованную базу и прелести вьюсов, но что толку, если заказчик хочет битриксовую интеграцию с 1с одним кликом, которая, правда, никогда ни у кого не работает из коробки, но заказчик-то её хочет и знает, что в битриксе он её получит.
нет на рынке друпала, как это называется, евангелистов (?), а раз нет, значит это коммерчески нецелесообразно. прихожу к выводу, что с этим просто надо смириться, либо мигрировать. смотрю на битрикс, система внушает просто физическое отвращение, но запросов по ней просто шквал, мелкие задачи начала брать, понемногу вникать.
обновляемся до 7.59
https://www.drupal.org/sa-core-2018-004
Можете клиенту ссылку предоставить (если хотите с переводом)
предоставила, само собой, но глухо. жалко сайты, конечно, но ладно бы, это были какие-то благотворительные организации, я бы бесплатно обслуживала, а так, ладно.
Если жалко сайты и подозреваете, что клиенты тоже будут страдать, - сделайте резервные копии.
И пусть себе лежат потихоньку у Вас.
Если смотреть на предыдущую серию "необновление => взломы", - то эти резервные копии Вам и Вашим клиентам точно понадобятся. Приблизительно в течение месяца. Или даже скорее.
Вот тогда можно будет с них снять денюжку за эти копии.
Вероятность взлома обратно пропорциональна степени неуловимости Джо.
Да нифига. Есть сайт, о котором никто пока не знает. Тем не менее на него уже пришёл какой-то бот, определил CMS (запросами по характерным для CMS урлам), после чего попытался заюзать мартовскую уязвимость. Домену два дня, сайту день.
Астрологи предсказывают увеличение запросов на доработку в стиле "Спрятать версию друпала"
Да, вспомнила, во время первого друпалгеддона был взломан сайт, который еще не был проиндексирован гуглом. Интересно, как это работает.
Это верно, только для случая целенаправленной атаки на конкретный сайт.
В нашем же случае, этим занимаются боты, которые сканят всё подряд, поэтому, от "неуловимости джо", тут ничего не зависит...
Сделайте бэкапы. Ждите, когда они прибегут к вам и думайте, во сколько раз увеличите цену
Это как вариант.
Если клиенты считают, что это развод, то было бы неплохо, чтобы пришло ругательное письмо от хостера: "Немедленно обновите движок, иначе..."
Попробуйте попросить админа хостинга, чтобы написал такое письмо. И объяснить вот это про заказчиков.
Если хостинг виртуальный, то админы тоже заинтересованы, чтобы у них не было вирусов на сервере.
Вдогонку...
В принципе, даже если отдельный сервер / vps - всё равно можно написать админу хостинга и попросить прислать такое авторитетное ругательное письмо.
Лучше составьте авторитетное ругательное письмо сами.
Чтобы писаниной и подбором страшных слов про уязвимость не пришлось заниматься администратору хостинга.
То есть чтобы он мог просто копипастнуть текст.
спасибо за комментарии.нет задачи заставить обновиться, в что бы то ни стало. просто вцелом непонятная (озвученная цена обновления просто символическая) и неприятная (будут потом рассказывать: ой нас на друпале ломали) история. думала, может, обойдется, пока долбят в мартовскую уязвимость.
бэкапы есть, конечно.
Не совсем понимаю о чем речь. Все обновление, это один файл bootsrtap.inc. Заменили и весь разговор.
речь о том, насколько вероятно, что 7.58 будет поломан.
если вы осуществляете бесплатное обслуживание сайтов, да еще и без санкции клиентов на это, готова к вам направлять таких клиентов за поддержкой.
Вероятность 99.9%. Новый сайт с которым я начала работать http://dou.su поломали так, что вычистить весь вредоносный код было просто невозможно. Залили шелы и поменяли кучу системных файлов. Единственный выход откатывать бекап и восстанавливать материалы. По логам весь взлом занял 3 минуты. Одновременно в списке поломанных сайтов одним человеком в один день около 1000 сайтов.
Секундное обновление, которое вы сейчас не проведете, обернется часами кропотливой и нудной работы по восстановлению.
Скрины прикрепляю.
да уж, диванное подразделение армии курдистана взломало детсад) спасибо, интересно.
ну у меня на сайтах ежедневный бэкап, последнее обновление материала- месячной давности, не проблема откатить. вашу рекомендацию поняла, но когда клиент ваше обращение просто игнорирует, совершенно нет желания тихо бесплатно творить добро. буду держать в курсе, что будет дальше с сайтами, если интересно.
У вас просто нет (мало) опыта
Иногда бывает так что там реально охренеешь вычищать...
К сожалению, "диванное подразделение курдистана" за один день взломало около 1000 сайтов, и это далеко не детские сады, а крупные российские магазины и зарубежные проекты. (см.второй скрин, 50 страниц по 25 сайтов). Покажите клиенту информацию со второго скрина. Пусть посмотрит какие сайты получили дефейс. Лично у меня шоковое состояние от увиденного.
К тому же игнорирование разработчиками этой же проблемы в drupal 6, вообще обескураживает.
пережало скриншот, плохо видно, что там за синапс?
Для Drupal 6 делают патчи. Вот вчерашний D6LTS patch for SA-CORE-2018-004
https://www.drupal.org/project/d6lts/issues/2965601
Если клиент считает плановую работу за откровенное вымогательство денег, его можно поставить в самый конец списка, и всё.
перейдите просто по url из адресной строки, заодно поиском проверьте может ваши сайты уже тоже в том списке. Большинство взломанных похоже даже и не знают о том что они уже взломаны, поскольку дефейс активен.
Alex_on, спасибо.
На сайте xandeadx есть ссылка на эксплоит, доступ через форму подтверждения удаления материала.
Получается, этим моим сайтам на 7.58 с не скомпрометированным аккаунтом администратора и закрытой регистрацией, ничего не грозит. Но это не точно)
ИМХО тут проблема не в особенностях друпала, а в том что далеко не все клиенты адекватно оценивают важность сайтов и сложность работ.
Если у клиента возникает проблема с символической оплатой за обновление - лучше расстаться с этим клиентом.
Хм.. проблему придумали.. наши предки 1000 лет назад, а скорее всего еще много раньше знали: пока гром не грянет, мужик не перекрестится.
Успокойтесь, примите удобную позу для ожидания..
Все случиться, когда придет срок-))
Китайцы же тоже не дураки-)
Тут скорее: "пока жаренный петух ... не клюнет", потому как крестится уже не поможет. А в целом, я тоже присоединяюсь к советам, сидеть ровно и не дергаться, особенно, после того как мне озвучили в личку стоимость обновления.
Обновление до чего? До восьмерки?