top
logo


Подтверждён взлом jQuery.com. Зафиксирована вторая успешная атака PDF Печать E-mail
Автор: adm   
25.09.14 08:26

Администраторы инфраструктуры проекта jQuery несколько часов назад зафиксировали повторную атаку на сайт jQuery.com и подтвердили компрометацию сервера злоумышленниками. В настоящее время сайт jQuery.com оперативно перемещён на новый сервер, на котором запущены только проверенные сервисы. В отличие от первой атаки, в рамках которой было организовано распространение вредоносного ПО, в рамках второй атаки была осуществлена подмена содержимого сайта (дефейс).

Содержимое главной страницы было заменено на текст "Common, guys! All your base are belong to us. Just please reinstall dat backdoored spenssh deamon. And all will be fine", что может свидетельствовать об организации сбора паролей через подставной ssh сервер. Предполагается, что атаки проведены разными лицами, но использовали для проникновения одну и ту же брешь в системе безопасности. Через какую именно уязвимость был совершён взлом не сообщается.

В настоящее время проводится анализ остаточных следов, работа по усилению безопасности и обновление зависимостей. Не исключается, что в результате атаки, злоумышленники получили доступ к базе учётных записей администраторов и разработчиков jQuery, использующих jQuery.com и ряд других сайтов проекта, работающих на основе движка WordPress. Следов модификации кода библиотеки jQuery и нарушения работы сервисов по её распространению пока не выявлено.

  1. Главная ссылка к новости (http://blog.jquery.com/2014/09/24/update...)
  2. OpenNews: Зафиксировано распространение вредоносного кода через инфраструктуру jQuery
Тип: Проблемы безопасности
Ключевые слова: jquery, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, Аноним, 11:33, 25/09/2014 [ответить] [смотреть все]     [к модератору] +/
Я думал, всем уже ясно, что на вордпрессе можно делать только сайты уровня фига... весь текст скрыт [показать]
 
  2.2, Silver Ghost, 11:39, 25/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +2 +/
Ага-ага, сломали через ssh, а виноват WordPress.
 
  3.3, Аноним, 11:42, 25/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +2 +/
Через вордпресс получают шелл С этим шеллом ломают дальше ... весь текст скрыт [показать]
 
  4.10, Silver Ghost, 12:04, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Где об этом написано в данном случае, что сломали именно WP?
Жду ссылку. Иначе считаю пустой болтовней.
 
  5.43, Silver Ghost, 15:44, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Чего и следовало ожидать. Голословные заявления - не более того.
 
2.4, jedie, 11:43, 25/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +1 +/ расскажи это techcrunch.com
 2.6, 321, 11:51, 25/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +1 +/ В твоем воображаемом мире ломают только вордпресс?
 
  3.14, Аноним, 12:15, 25/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Сначала читаем статистику взломов, смотрим и сравниваем уязвимости в распростран... весь текст скрыт [показать]
 
  4.20, Аноним, 12:32, 25/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Уж сколько раз твердили миру - абсолютно надёжных систем не существует, если оче... весь текст скрыт [показать]
 
  5.25, Аноним, 12:43, 25/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/
Да, и это никак не противоречит тому, что написано выше ... весь текст скрыт [показать]
 
2.8, MidNighter, 12:00, 25/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +3 +/ ну конечно, только написав с нуля можно получить идеальное качество и не сделать в коде ни одной ошибки. ерунду пишите.
 
  3.13, Аноним, 12:12, 25/09/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
Написав свой код, можно,очевидно, сделать код, который не подвержен широко распр... весь текст скрыт [показать]
 
  4.16, MidNighter, 12:19, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
то что описали это обратная сторона популярности продукта. чем выше популярность тем больше людей ищут возможности взлома и тем больше этих уязвимостей находится. К коду созданному вами сомнительно чтобы кто то искал возможности взлома, но это не означает что там нет ошибок. возможно даже наоборот, то что этот код ещё более дырявее чем популярный.
 
  5.24, Аноним, 12:41, 25/09/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
Так именно об этом я и писал, о чем спор-то ... весь текст скрыт [показать]
 
  6.26, MidNighter, 12:44, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
та тут я скорее решил просто дополнить
 
2.40, vitalif, 15:30, 25/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/ а jquery.com на вордпрессе что ли? O_O
 
1.5, Аноним, 11:49, 25/09/2014 [ответить] [смотреть все]     [к модератору]  +1 +/
Зачем апач и его форки запускать под аккаунтом, который может подменить демона s... весь текст скрыт [показать]
  1.7, Отражение луны, 11:58, 25/09/2014 [ответить] [смотреть все]    [к модератору]  +/ Зачем вообще нужен jQuery?
 
  2.9, MidNighter, 12:01, 25/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +3 +/
эту библиотеку используют разработчики сайтов, будете делать сайт узнаете подробности.
 
  3.12, Отражение луны, 12:12, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Я в курсе, кто и где её использует, но не понимаю, зачем. Так же готов поставить под сомнение профессионализм этих самых "разработчиков", т.к. яваскрипт сам по себе вполне самодостаточен.
 
  4.15, Аноним, 12:17, 25/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Потому что фигак-фигак и в продакшен Качество вторично, быстрее сделал - быст... весь текст скрыт [показать]
 
4.18, MidNighter, 12:22, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +2 +/ есть такая особенность работы над проектом которая называется разделение труда. это когда не вам самому надо париться над написанием библиотеки из самодостаточного яваскрипта, а взять уже готовую и использовать. если бы вам заказали создать сайт то без разделения труда вы бы сорвали все сроки и имели бы не конкурентную цену создавая то же самое что уже есть и готово к использованию.
 
  5.23, Отражение луны, 12:39, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Зачем вообще париться над написанием библиотеки, если яваскрипт самодостаточен? Возможно, стоит просто нормально изучить яваскрипт вместо использования всяких коленных поделок?
 
  6.28, MidNighter, 13:26, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
вы поймёте когда попытаетесь сделать хоть какой нибудь сайт. пока судя по высказываниям вы лишь склонны теоретически рассуждать о "о самодостаточности языка", а не применять эти знания на практике.
 
  7.31, arisu, 13:37, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> вы поймёте когда попытаетесь сделать хоть какой нибудь сайт.

только идиоты пихают в «какой-нибудь сайт» кучу js в надежде, что благодаря этому контент станет ненужным.

 
  8.33, MidNighter, 14:09, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
заказчик просит сайт исходя из того каким он его видит, разработчики его делают согласно требованиям заказчика. только глупый человек может назвать кого то из участников создания этого продукта идиотом.
 
  9.34, arisu, 14:28, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
я понимаю, тебе неприятно ощущать себя идиотом. это нормально. ненормально — защищать две кучки идиотов.
 
7.35, Отражение луны, 14:36, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ Я давно и крайне успешно применяю яваскрипт для немного других целей. И, в принципе, я не против библиотек как таковых, просто реальной пользы от jquery не вижу (м.б. дело в нормальном проектировании просто?). Но мнение делальщика сайтиков, уверен, имеет куда больший вес. (Сарказм).
 7.42, vitalif, 15:36, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ > вы поймёте когда попытаетесь сделать хоть какой нибудь сайт. пока судя по
> высказываниям вы лишь склонны теоретически рассуждать о "о самодостаточности языка", а
> не применять эти знания на практике.

Не-не. jQuery много юзать - это реально моветон. JS действительно почти самодостаточен, нужна-то только пара обёрток на 20 строчек.

Почему моветон? А вот почему: условно говоря, JS, PHP, Perl и прочие питоны - это распи**яйство по сравнению с C, Java, C++, но jQuery - это такое же распи**яйство по сравнению с JS. Т.е. jQuery - это ВЫСШАЯ СТЕПЕНЬ распи**яйства. Есть элемент, нет элемента, нам пох, всё равно все селекторы отрабатывают. Отвалилось что-то где-то - не беда, скрипт всё равно не упадёт... И ищи потом, чего там ему не хватает, сиди, отлаживайся.

Кроме того, когда jQuery во все поля - обычно из этого получается ужасный прибитый гвоздями к представлению код. А когда ещё и динамически добавляется ВСЁ... Ухуху...

 4.21, Аноним, 12:34, 25/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Кросбраузерность не, не слышал... весь текст скрыт [показать]
 
  5.32, arisu, 13:38, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> Кросбраузерность? не, не слышал

не, слышал. берём, значит, js — и выкидываем нафиг. дальше берём «-»-свойства в css — и выкидываем нафиг. ура-ура, пока Крутые Уебмастера продолжают затейливый секс с разными браузерами, у нас уже всё работает.

 
  6.37, Аноним, 14:49, 25/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Ну тогда HTML нафиг, да и TCP IP вместе с HTTP - тоже Качай себе фидопочту моде... весь текст скрыт [показать]
 
  7.41, arisu, 15:32, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
у тебя братьев и сестёр нет? а если есть — они такие же идиоты, или ты в семье уникум?
 
4.22, Hoboh3zefahB3zoh, 12:35, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ Ассемблер сам по себе вполне самодостаточен
 
  5.27, Отражение луны, 12:56, 25/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Даешь разработку движка на движке!
 
  2.38, Аноним, 14:49, 25/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/  1.30, Аноним, 13:37, 25/09/2014 [ответить] [смотреть все]     [к модератору]  +/
Защитники ищут уязвимость методом обновить все подряд и посмотреть будут ли взл... весь текст скрыт [показать]
 
  2.39, Аноним, 14:50, 25/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Так заметь, левые включения довольно быстро нашли А так нефиг инклюдить хлам с ... весь текст скрыт [показать] [показать ветку]
 

Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40671

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика