Гражданские активисты не перестают удивлять горожан.
Как сообщил один из представителей активистов (через приватные каналы связи), в этот раз критическая уязвимость была обнаружена на сайте Администрации Курска kurskadmin.ru
Помимо отсутсвия банальной авторизации в администраторской панели, в ней была обнаружена sql-инъекция и возможность загрузки любого файла (в т.ч PHP скрипта) на сервер, без какой-либо фильтрации. Подобные оплошности допустимы на сайтах деревенских школ, но никак не на ресурсе городской администрации. Активисты не стали дефейсить сайт из-зажалости соображений безопасности, но предоставили скриншот «внутренностей» сайта и админ панели с найденой внутри неё уязвимостью.
Помимо отсутсвия банальной авторизации в администраторской панели, в ней была обнаружена sql-инъекция и возможность загрузки любого файла (в т.ч PHP скрипта) на сервер, без какой-либо фильтрации. Подобные оплошности допустимы на сайтах деревенских школ, но никак не на ресурсе городской администрации. Активисты не стали дефейсить сайт из-за
158 комментариев
вот у них и CMS несамописная есть
на курскадмин — самопис.
(не знаю что сейчас стоит у курскадмина, на них — да, можно понаезжать, по всей видимости)
Кстати, любая админка когда-то была «самописной».
это относилось к конкретной админке.
:-)
В наше время, если сам не умеешь писать CMS — сходи купи, делов-то.
Если зарплата их программера, скажем 15 000…
Уф, чет пропала охота продолжать. Есть такое слово — мудаки.
попробуй может получится узнать
Авторизация-невидимка.
кому интересно (там exe файл, вирусов нету).
вот от
а вот
Он уже давно используется в злонамерненных целях: уже несколько лет какие-то мудаки всякую хуйню пишут.
я имел ввиду что-нибудь «За вклад в развитие курского Веба».
Пошел тщательно заметать следы ;)
//openkursk.ru/blogs/62/blog-aleksandra-nemceva/portal-OpenKursk-novyi-obraz.html#c
Музыкой навеяло )) Даешь говно и нигр на главной! ))
Утешительный приз.
Сущности в наличии.
Палитесь же )
«Давно пора, а то уже следы коллег своих нашел. Только вот сколько их не знаю: один два или больше.»
гастарбайтеровполиттехнологов, накладно), после чего появилась другая надпись что пароль сменен на такой же как от его простого аккаунта, тут другой некто, увел или заранее знал этот пароль, после чего спокойно зашел в админку и натворил что хотел, что он хотел конечно не известно, но факт остается фактом: на данный момент — Forbidden You don't have permission to access / on this server.Будем следить за развитием событий, очень веселые версии собрал
ЗЫж с этими кривыми руками ливстрит не поможет. В инструкции по установке инстанта (что на опенкурске до выпиливания было) чодко про чмоды сказано. Не осилили — получили
плюсов в жопуминусов к карме. А вот резвые анонимусы таки да, поторопились.domain: OPENKURSKTV.RU
nserver: ns.majordomo.ru.
nserver: ns2.majordomo.ru.
nserver: ns3.majordomo.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
e-mail: [email protected]
registrar: REGRU-REG-RIPN
created: 2011.04.18
paid-till: 2012.04.18
source: TCI
nic-hdl: REGRU-REG-RIPN
org: Domain Registrar REG.RU
phone: +7 495 5801111
fax-no: +7 495 4915553
e-mail: [email protected]
www: //www.reg.ru
whois: whois.reg.ru
source: TCI
Стараемся )
А че пацаны в Оберег тоже не промах фишку быстро прочухали, нормальное такое превью сделали.
Вот сто лет живёшь и если бы не Немцев с Инхотебом, то ещё столько же не знал про ведуших: «Оупен курск», «Абирег» — жуть, где и кого, и куда они ведут? Кто вообще читает эту хуту. Нее я понимаю хочется как раньше в комсомоле примазаться там и прорваться к власти, но судя по текстам( благодаря Инхотебу) я большего маразма не читал, а это же Элита бля, молодёжи. Куда катиться мир, они как с луны там, как из за железного занавеса, как из горкома комсомола — жуть и жуть. ЕДРО ЕСЛИ У ВАС ТАКАЯ ГВАРДИЯ, ИДИТЕ НА ХУЙ, голос свой не отдам!
И да. Присоединяйтесь же.
Я: @Nemtsev Тут очевидный вопрос — а почему openkursktv.ru был зареган 18 апреля, а openkursk.ru упал 23 апреля? Не палитесь!?
Он:@inhotteb Ресурс обновлялся. Тв — идёт как добавление. Я это анонсировал. Поэтому я вас не понимаю.
То есть если вдруг задумается еще более новый ресурс это будет openkursktv_new.ru, то есть почему-то задача обновления ресурсов решается сменой домена.
Теперь о письме неизвестного хаккера, который читает я думаю этот мой коммент. Меня предупредили о том чтобы не использовать одни и те же пароли везде в связке с электронным адресом — тут отвечаю ему — я и не использую )
Цитирую письмо:
Хотелось бы высказать пару слов о ситуации с опенкурском 24-25 апреля:
1. Взломщиков было кроме меня было минимум двое. Шелл одного из них я обнаружил — замаскирован очень слабо. Второй видно сбрутил админку или попал в нее через какую-то уязвимость и копался в ней всю ночь, заливать шелл вроде не стал, хотя я поискать не успел — быстро потушили сайт слишком. Про себя умолчу)))
2. По крайней мере мои действия, за других ручаться не могу, были направлены на привлечение внимания администрации к проблемам уязвимости их сайта.
3. Очень похоже, если порыться в БД, что один из товарищей Александра, если не взламывал сайт, то по крайней пытался. Хотя это м.б. ктото из злоумышленников заметал следы, тут я не знаю.
Так же мне прислали md5 моего пароля с сервиса — но я не знаю что мне с ним делать, чтобы убедиться что это именно он )
Вот так.
Веселый был, орешки грыз, кусался, в колесе бегал.
Садисты малолетние. Пичалько.
Меня умиляет Ваша способность по-доброму, по-отечески называть своих политических оппонентов то Сашами, то Димами, то еще как нибудь в этом роде. Эдак снисходительно.
Саш, а что это за политические метания вместе со своей лодкой?
Кэш гугла хранит вот эти слова «© „Молодежная оппозиционная партия“.
При полном или частичном использовании материалов ссылка обязательна.
Создание и поддержка: Фонд Эффективной Политики 2008, 2009»
Это самый или один из первых копирайтов под проектом.
//efir.kursk2.ru/3481.html#comment31847
Теперь Вы член Единой России и всё такое в молодежных делах спец — и тут бабах. О чем еще говорить?! Зачем раздувать какие-то политические мотивы — если просто Ваш проект был не защищен должным образом. А Вам как специалисту по интернет-технологиям Единой России (да хоть Партии Юных Сурков) должно быть как-то неловко что кто-то смог взломать то, на что выделялись деньги, в том числе и на защиту ресурса от незаконного проникновения.
Юного Суркова звали Дудаев Асламбек Андарбекович
Я про него вообще не слышал ^^
Депутат Р.Гуторов на том то посту аж лоснился. Правда, иногда били. Но чаще лоснился. Сейчас Немцев лоснится.
ЭЫ:
Если эти фотки не разрывают твое сердце, не вызывают в тебе негодования и порыва немедленно отмстить за побитого единоросса, дорогой Анонимус, то ты черствое, бездушное жЫвотное.
Вдумайтесь: Миронов и мальчик, игры с подушками. Ваш этот Немцев… у него же фантазии педофильские. Надеюсь, он не контактирует с детьми.
Да и кто он такой, этот Миронов, чтобы на него целую подушку тратить.
Тема постельной принадлежности зародилась позже. Где то в недрах партийных педофилен, полагаю.
Хочется обратить внимание ужаваемого Анонимуса на сразу два тревожных симптома. Во первых, в комментариях этих ваших комментаторов, мальчик был омоложен до несовершеннолетнего возраста, а во вторых мусорный мешок был заменен ими на постельную принадлежность.