Уязвимость MODX: факты, домыслы и выводы

Очередной вольный перевод записи из блога MODX. Ценителей английского просьба не беспокоить — язык я учил в обычной школе.

После обширного обсуждения уязвимости на modx.com, мы бы хотели осудить это происшествие, выразить уверенность в архитектуре безопасности MODX и поделиться планами на будущее. Отдельно хотим выраззить благодарность FireHost за неоценимую поддержку в анализе атаки и рекомендации по восстановлению.

Мы знаем, что этот случай причинил много беспокойства юзерам MODX, и очень об этом сожалеем (отдельным гражданам он доставил и нескрываемую радость — прим. переводчика). Уверяем всех пользователей MODX, что мы очень заботимся о безопасности наших решений и продуктов.

Подчеркиваем, что это происшествие никаким образом не связано с кодом релизов MODX Revolution. И никак не трогает MODX Cloud.

Направление атаки
29 августа мы в срочном порядке остановили и почистили наш сайт, после сообщений в Twitter о том, что он выдает пустую страницу. Мы выяснили, что на сайте была уязвимость, которая позволяла загружать скрипты через старую, давно не используемую форму.
Заодно удалили тестовый файл, который был уязвим для бага php, могущего напричинять всякого.

Ущерб
На многих других сайтах MODX ущерб мог быть гораздо серьезнее. Однако, благодаря архитектурным решениям хранить персональные данные юзера и его закачки отдельно от хостинга сайта — мы легко отделались. Платой за это стало раскрытие критической, как думал взломщик, таблицы юзеров modx.com. То есть — пронесло.

Мы опубликовали несколько сообщений об этом происшествии, не вдаваясь в подробности. Это оттого, что мы разбирались с атакой и строили защиту.

Код системы не пострадал, никаких бэкдоров на сервере не осталось. Все расширения в репозитории чисты, и вообще, в целом — все зашибись. Как говорится — приняли удар на себя.

Что мы поняли
По итогам этого происшествия, мы создали отдельную команду безопасности, которая будет изучать опыт других систем и помогать пользователям MODX. Заодно, она тепрь мониторит наш сервер на предмет всякой фигни.

На будущее, советуем всем: на MODX надейся, но сам не плошай.

P.S. От переводчика: парни расслабились и оставили всякое добро на сервере. Недобрые люди его нашли и использовали. Но благодаря тому, что сайт и важные данные хранятся в разных местах — ничего не вышло. Не оставляйте тестовое добро на продакшене, друзья!

Вот тут описано как проводятся такие мощные взломы.
Василий Наумкин
11 сентября 2012, 18:52
modx.pro
1 418
0
Поблагодарить автора Отправить деньги

Комментарии: 5

    Viktor Minator
    12 сентября 2012, 00:20
    0
    в продолжение истории
      Иван Брежнев
      12 сентября 2012, 02:45
      0
      гы)
        Василий Наумкин
        12 сентября 2012, 06:04
        0
        Сказочный долбоеб. Как его только из дурдома выпустили? (с) Даун Хаус

        Клинический скрипт-кидди. Многоточия в предложениях придают подростку загадочности.
        Максим Рогальский
        12 сентября 2012, 16:07
        0
        Зато у этого «взлома» есть положительный момент
          Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
          5