Серьезная уязвимость на вашем сайте - Форум интернет-магазинов - Oborot.ru
Подписка
Вестник электронной коммерции
Е-коммерция для занятых и ленивых
Интернет магазин. Пособие для директора
Интернет и безопасность бизнеса 
Поиск
На сайте
В форуме
 
Гостям
Экспонентам
Регистрация
 

Тематический рубрикатор
Открытие бизнеса
 Бизнес-планированиеБизнес-планирование - форум
 Привлечение инвестицийПривлечение инвестиций - форум
 Название и регистрацияНазвание и регистрация - форум
 Создание сайтаСоздание сайта - форум
 ХостингХостинг - форум
 Первые шагиПервые шаги в электронной коммерции - форум

Привлечение клиентов
 Поисковики и сбытовая рекламаПоисковое продвижение и сбытовая реклама - форум
 Имиджевая рекламаИмиджевая реклама - форум
 Public RelationsPublic Relations - форум
 Нестандартные методы раскруткиНестандартные методы раскрутки - форум
 Эффективность рекламыЭффективность рекламы - форум

Удержание клиентов
 Дизайн и usabilityДизайн и usability - форум
 КонтентКонтент - форум
 CRM и взаимоотношения с клиентамиCRM и взаимоотношения с клиентами - форум

Ведение бизнеса
 АвтоматизацияАвтоматизация - форум
 Бухгалтерия и налогообложениеБухгалтерия и налогообложение электронной коммерции - форум
 БезопасностьБезопасность - форум
 Доставка и логистикаДоставка и логистика - форум
 Обучение и управление персоналомОбучение и управление персоналом - форум
 Общий менеджментОбщий менеджмент - форум
 Платежные системыПлатежные системы - форум
 Управление ассортиментомУправление ассортиментом - форум
 Юридические вопросыЮридические вопросы - форум

Тенденции развития
 Российские тенденцииРоссийские тенденции - форум


Главная >> Форумы >> Ведение бизнеса >> Безопасность
 Регистрация |  Профиль | Проверить письма | Вход Правила форума | Реклама на сайте
Главная >> Форумы >> Ведение бизнеса >> Безопасность
Страницы: 1, 2  >> НОВАЯ ТЕМА    Ответить   
Тема:

Серьезная уязвимость на вашем сайте


СообщениеАвтор: KaterinaKon 
Дата: 9:38, Пн., 18 Ноя. 13
Отправить личное сообщение
Уважаемые форумчане.
Сегодня мне пришло вот такое письмо :

Добрый день!
Меня зовут Александр.
Проанализировав Ваш сайт я нашел на нем серьезную уязвимость!
Данная уязвимость несет явную угрозу Вашему интернет магазину!
Я, как и любой другой нашедший такую уязвимость, с легкостью могу получить полное управление сайтом.
Например я могу слить Вашу базу товаров, разместить на сайте рекламу, или просто удалить весь сайт!
Однако, я пришел к вам с миром Smile
За скромное вознаграждение я могу помочь исправить данную ситуацию.Помогу закрыть эту «дыру", дам несколько советов, чтобы Ваш бизнес не пострадал и Вы не потеряли покупателей.
Ответьте на данное сообщение, если Вас заинтересовали мои услуги.

Получали ли вы такие письма? И как действовать в подобной ситуации? Заранее спасибо за ответы.

СообщениеАвтор: Алексей_К  Репутация: 14.7
голосов: 9
Дата: 10:04, Пн., 18 Ноя. 13
Отправить личное сообщение
KaterinaKon :
как действовать в подобной ситуации?

выделял письмо и нажимал shift+del
_________________
«Достоинство государства зависит в конечном счете от достоинства образующих его личностей.» Джон Стюарт Милль
СообщениеАвтор: qualified  Репутация: 118.5
голосов: 12
Дата: 10:51, Пн., 18 Ноя. 13
Отправить личное сообщение
Сайт можно перезалить из бэкапа. На любом нормальном хостинге бэкап делается раз в сутки.
_________________
Мой блог: Эксперт-Report
СообщениеАвтор: bukka  Репутация: 104.9
голосов: 12
Дата: 11:21, Пн., 18 Ноя. 13
Отправить личное сообщение
KaterinaKon :
как действовать в подобной ситуации

Да очень просто. Если вас интересуют услуги по повышению безопасности вашего сайта, спишитесь с человеком. Если предпочитаете стандартную схему "пока гром не грянет, мужик не перекрестится" - игнорируйте до тех пор, пока ваш сайт не ломанут несколько раз подряд и вам не надоест.
СообщениеАвтор: Александр Фролов  Репутация: 103.5
голосов: 15
Дата: 11:41, Пн., 18 Ноя. 13
Отправить личное сообщение Посетить сайт автора
Есть такая утилита, x-spider, компания http://www.ptsecurity.ru/. Не сочтите за рекламу, но это относительно недорогой способ просканировать сайт на уязвимости. Утилита обновляется периодически, подобно антивирусу. Анализ создаваемого отчета требует определенной квалификации, но Вы можете передать этот отчет специалисту, который создавал Ваш магазин.
_________________
Разработчик интернет-магазинов Shop2YOU
СообщениеАвтор: AlexRich 
Дата: 11:50, Пн., 18 Ноя. 13
Отправить личное сообщение
KaterinaKon :
Получали ли вы такие письма? И как действовать в подобной ситуации?


Получаю довольно часто, т.к. много сайтов (не только магазинов) поддерживаю.

Если боитесь что "дыра" в сайте действительно есть, спишитесь с человеком и обязательно попросите доказательство.
99% что такого доказательства не будет и вы больше не получите от него писем.
Ну а если человек действительно нашел уязвимость и написал вам об этом, то я думаю он нормально отнесется к такой просьбе.

Но в любом случаю поменяйте все пароли не только к админке магазина, но и к панели хостинга, фтп и т.д. А еще проверьте компьютер на вирусы.
СообщениеАвтор: Александр Фролов  Репутация: 103.5
голосов: 15
Дата: 12:07, Пн., 18 Ноя. 13
Отправить личное сообщение Посетить сайт автора
AlexRich :
Но в любом случаю поменяйте все пароли не только к админке магазина, но и к панели хостинга, фтп и т.д. А еще проверьте компьютер на вирусы.


В реальности чаще всего на сайтах бывают уязвимости типа SQL-инъекция и кросс-сайт скриптинг. Могут быть дыры в движках, а также в плагинах к ним. Также воруют FTP-пароли с компьютеров разработчиков, не защищенных антивирусами как надо.

Часто пароли менять бесполезно, т.к. атаки проводятся без использования паролей, через открытые разделы сайтов. Поэтому я и рекомендую сканер уязвимостей, такой как x-spider.

И в любом случае необходимо постоянно устанавливать обновления движков, и, что важно, обновления плагинов к движкам.
_________________
Разработчик интернет-магазинов Shop2YOU
СообщениеАвтор: KaterinaKon 
Дата: 12:10, Пн., 18 Ноя. 13
Отправить личное сообщение
Спасибо за ваши мнения.
В-общем, я так и думала - вряд ли что-то серьезное.
А насчет
Цитата:
Если вас интересуют услуги по повышению безопасности вашего сайта, спишитесь с человеком.
- думаю, лучше заплатить разработчикам магазина за услуги по повышению безопасности, чем поддерживать таких вот шантажистов.
СообщениеАвтор: AlexRich 
Дата: 12:18, Пн., 18 Ноя. 13
Отправить личное сообщение
Александр Фролов :
В реальности чаще всего на сайтах бывают уязвимости типа SQL-инъекция и кросс-сайт скриптинг. Могут быть дыры в движках, а также в плагинах к ним. Также воруют FTP-пароли с компьютеров разработчиков, не защищенных антивирусами как надо.


по моему опыту чаще все-таки воруют пароли у пользователей, особенно у сеошников, много клиентов так пострадали.


Александр Фролов :
Поэтому я и рекомендую сканер уязвимостей, такой как x-spider.

Полностью поддерживаю.

Но если бы человек просканировал сайт на sql инъекции и xss и нашел уязвимость, я думаю он немного другое письмо написал.
СообщениеАвтор: Александр Фролов  Репутация: 103.5
голосов: 15
Дата: 12:23, Пн., 18 Ноя. 13
Отправить личное сообщение Посетить сайт автора
AlexRich :
Но если бы человек просканировал сайт на sql инъекции и xss и нашел уязвимость, я думаю он немного другое письмо написал.


Скорее всего да, тупой шантаж. Но просканировать все равно не помешает)
_________________
Разработчик интернет-магазинов Shop2YOU
СообщениеАвтор: Hasta LaVista  Репутация: 24.1Репутация: 24.1
голосов: 4
Дата: 13:20, Пн., 18 Ноя. 13
Отправить личное сообщение
Делюсь вариантом ответа, который отлично помогает от школоты, начитавшейся журнала "Хакер" -

Дорогой Александр,

Напоминаем, что все указанные вами действия являются уголовным преступлением и согласно части 2 статьи 272 УК РФ наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.

Надеемся, что вы понимаете всю серьезность уголовного преступления, которое планируете совершить. Если мы обнаружим любые признаки совершенного преступления, то немедленно перешлем ваше письмо в следственные органы.


На школоту действует безотказно, но проявлять бдительность и следить за безопасностью сайта нужно всегда, а не только при получении подобных писем. А уж коли сломали, то немедленный откат из свежего бэкапа и обращение в компанию, которая профессионально занимается компьютерной безопасностью. Иначе так и будете кормить школоту всю оставшуюся жизнь. Smile
СообщениеАвтор: Дмитрий Осипов  Репутация: 33.7Репутация: 33.7Репутация: 33.7
голосов: 11
Дата: 15:03, Пн., 18 Ноя. 13
Отправить личное сообщение
Цитата:
Дорогой Александр,

Напоминаем, что все указанные вами действия являются уголовным преступлением и согласно части 2 статьи 272 УК РФ

Цитата:
На школоту действует безотказно,


Похоже на меру "школоты" от "школоты". На самом деле никакое из указанных деяний не нарушает указанной статьи УК РФ и предстоит длинное увлекательное доказательство обратного даже при условии доказанности совершения всех перечисленных действий автором письма.

Письмо, однозначно, в корзину. Если есть желание попереписываться с роботами, то не возбраняется Smile

Касательно всяких утилит-сканеров, то тут нужно понимать, что штуки это хоть и полезные, но подобное ПО укажет лишь на типовые ошибки безопасности, уже загржуенные вирусы, подозрительные ссылки и зараженные клиентские срипты. Однако качественные шеллы оно не выявит. Как тут правильно сказали, — храните бекапы ресурса. При наличии бекапов (для коммерческих проектов рекомендуется создавать автоматически при любом изменении) и логов найти точки входа и удалять всякие вирусы будет проще.
_________________
Разработка E-commerce-сайтов
E-mail: dmitry.a.ocipov@gmail.com
СообщениеАвтор: Александр Фролов  Репутация: 103.5
голосов: 15
Дата: 15:53, Пн., 18 Ноя. 13
Отправить личное сообщение Посетить сайт автора
Дмитрий Осипов :
Касательно всяких утилит-сканеров, то тут нужно понимать, что штуки это хоть и полезные, но подобное ПО укажет лишь на типовые ошибки безопасности, уже загржуенные вирусы, подозрительные ссылки и зараженные клиентские срипты. Однако качественные шеллы оно не выявит. Как тут правильно сказали, — храните бекапы ресурса.


Да, сканеры не панацея, а бекапы нужны по любому. Причем нужны ежедневные, еженедельные, ежемесячные, в идеале полугодовые и годовые бекапы.

Ручной анализ безопасности стоит дорого, но и сканеры могут много чего найти, особенно в дырявых скриптах. Пользуйтесь сканерами, в этом деле лишней информации не бывает.
_________________
Разработчик интернет-магазинов Shop2YOU
СообщениеАвтор: Вадим Петров 
Дата: 15:41, Вт., 19 Ноя. 13
Отправить личное сообщение
Явно, это письмо – неправда. Если бы я был на месте человека, нашедшего дыру в сайте, то предпринял бы какие-либо действия, чтобы доказать этот факт. Чтобы сомнений не осталось.
СообщениеАвтор: Alexx Weiss 
Дата: 23:55, Пт., 20 Мар. 15
Отправить личное сообщение
Эти люди не сидят сутками и не ищут дыры в чужих сайтах. Есть 2 типа таких спамеров:
1. Просто шлют письма всем подряд надеясь на дурака. Они не опасны вообще.
2. Знают всем известную уязвимость в популярном движке и шлют письма только владельцам сайтов на этом движке, но на саму уязвимость они сайт не проверяли. Могут попытаться сломать сайт, но скорее всего не будут париться и просто напишут кому-нибудь другому.

Что нужно сделать в случае получения такого письма.
1. Срочно сделать бэкап сайта и базы данных.
2. Погуглить про базовую защиту вашего движка.
3. Провести мероприятия по защите, описания которых вы найдете в гугле.

Что делать с письмом.
Не отвечать, и тем более не отвечать отказом. Если откажете - можете разозлить и тогда он реально будет предпринимать попытки сломать ваш сайт.
Если согласитесь на услуги, то для устранения дыры ему понадобится доступ к серваку, а это 100% означает, что он сольет вашу базу клиентов и продаст ее конкурентам.
НаверхПоказать сообщения:   
Страницы: 1, 2  >> НОВАЯ ТЕМА    Ответить   
Главная >> Форумы >> Ведение бизнеса >> Безопасность

Авторизоваться
Для участия в форуме необходима регистрация (займёт не более минуты). Если вы уже зарегистрированы, введите логин и пароль
Логин:
Пароль: 
Автоматически входить при каждом посещении
Забыли пароль?
Регистрация


 
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах

Сделать стартовой Добавить в избранное
Новости электронной коммерции и торговли
20.03  "Яндекс.Деньги" расплатятся за ошибки онлайн-продавцов (1)
31.01  Россияне готовы обменивать персональные данные на скидки
24.01  SIM-карты разрешат продавать через Интернет?
10.01  Alibaba "обеляет" репутацию
26.12  Интернет-пиццерия "попала" на 10 млн рублей (2)
12.12  Покупателей Amazon вновь атаковали мошенники
09.12  Достучаться до Amazon



Форум
23:53 22.02 Darya-Borunova  Возможно, новая схема разводки. Сталкивались? (22)
21:13 10.01 Симон  Оплатил один, забирает другой. Как правильно выдать товар? (10)
19:54 10.01 Anton Shishkin  Купили не у нас, возвращают нам, угрожают прокуратурой (22)
01:07 10.11 Anton Shishkin  Клиент 3 дня динамит курьера но трубует доставку! (7)
13:26 22.09 BeautyPride.ru  Интернет-магазин Babadu.ru недобросовестно относится к своим поставщикам!!! (3)
11:44 12.07 Александр Фролов  СПАМ через обратную связь (14)
17:20 28.06 Фролик  Осторожно мошенники (26)
10:19 05.10 anstrem  ssl сертификат (4)
21:08 04.09 mih455  Накрутка поведенческих факторов конкурентами. Чем может грозить и как избавиться от данной проблемы? (63)
12:05 26.08 remusok  А как Вы обеспечиваете безопасность своего сайта? (5)


Статьи и аналитика
15.03  Реальный e-commerce. Советы новичкам
13.02  Новая ККТ и интернет-магазин: все подробности (5)
16.02  Наглядно: как планируют регулировать работу онлайн-агрегаторов (1)
02.02  Как eBay ограбил меня в пользу покупателя (6)
17.12  Интернет-магазин и курьерская компания: как правильно оформить договор? (3)
02.12  "За товар ответишь?"
19.11  Публичная оферта интернет-магазина: как ее составить (2)
22.10  С чего начать при создании интернет-магазина: чек-лист
02.02  Как интернет-магазинам выжить в кризис: три главных вызова (7)
24.11  Скандал: Admitad выбивает долги из интернет-магазинов (8)




Зарегистрированным пользователям |  Реклама на сайте |  ECOM Expo |  О проекте
Главная |  Все новости |  Все статьи | Форум
Rambler's Top100 Рейтинг@Mail.ru rax.ru: показано число хитов за 24 часа, посетителей за 24 часа и за сегодня
© Oborot.ru 2001 - 2017. Корреспонденцию присылайте на info@oborot.ru. Адрес для новостей и пресс-релизов: news@oborot.ru. Forum powered by phpBB