Очередной взлом FL.ru

    Печальное зрелище представилось сейчас моему усталому рабочему взгляду…

    Буквально полчаса назад на главной странице проектов на всем известной некогда флагманской бирже Рунета был опубликован очень интригующий проект. Который сразу привлек внимание мониторящих ленту фрилансеров. Проект опубликован с аккаунта главного администратора биржи.

    Поскольку в конкурсе присутствует ненормативная лексика, она была заретуширована.

    image

    К этому конкурсу тут же подключились некоторые фрилансеры.

    image

    Через пять минут такой забавы саппорт отреагировал моментально, и биржа на данный момент закрыта.

    image

    Учитывая, что на бирже действительно с каждым апдейтом все больше закручиваются гайки как для фрилансеров так и для работодателей только с одной целью — получить как можно больше монеток, и «улучшить» жизнь пользователям. Цены на услуги ничем не обоснованы и являются самыми высокими на всех биржах Рунета (да и с заморскими биржами некоторыми тоже зашкаливают).

    Хорошая иллюстрация к несоответствию своих аппетитов и предоставляемых возможностей. А так же — показатель участившихся взломов и сливов явно не на пользу квалификации тех. персонала биржи.

    PS Ребята из команды АД.кг — вернитесь на Землю, и биржа еще возможно вернет свое былое величие.

    UPD: Помимо взлома аккаунта администратора, хакером были выкачаны с сервера и выложены в паблик все файлы рабочего сайта FL.ru. По утверждению хакера, базу данных он заполучить не смог (тыц, тыц). Хотя, верится в это с трудом.

    UPD 2: Биржа уже работает, но с перебоями. Отключены «Сообщества» и «Конкурсы».
    И время от времени на ленте публикуются странные проекты с вполне нормальных аккаунтов работодателей с набором аббракадабры в заголовке проекта и содержании — на подобии, ФЫВАРОМВ.
    Так что, не лишним будет сменить пароли на своих учетных записях, уважаемые пользователи.

    UPD 3: Хакер продолжает выкладывать новые сведения о взломе, том что нашел на сервере — тыц, тыц, тыц
    А так же — очередные уязвимости — тыц (уже закрыта).
    Метки:
    Поделиться публикацией
    Похожие публикации
    Комментарии 257
    • +4
      Более того в сеть уже утекли исходники сайта. Ссылку, по понятным причинам, давать не буду.
      Скриншот уведомления о новой теме в сообществе, в которой была дана ссылка на архив с исходниками — yadi.sk/i/8o3NRCg1i8QpJ
      • +14
        Если это правда — биржа заработает не скоро. И уже не сегодня — это точно.
        И это жирная запятая в ее судьбе… или точка?
        • –26
          Fl.ru один основных источников заказов для многих фрилансеров. Надеюсь востановят.
          • +21
            Не будет Fl — основной источник заказов для многих фрилансеров так же сменит имя. Не вижу проблемы, это интернет.
            • +12
              free-lance.ru (FL) умер еще 5-6 назад.
              Во всяком случае для меня.
              Как администрация начала вводить множество платных услуг, читать переписки, делать тотальный контроль, когда заехали «гастарбайтеры» которые стали жестко демпинговать и т.д.
              • +5
                5-6 лет назад меня убивали заказы типа: Сделать новую социальную сеть. Бюджет 5000 р. Это на серьезных щах люди предлагали и получали 100500 откликов. Тогда fl умер и для меня)
                Не знаю как сейчас лет 5 не заходил.
                • +13
                  Сейчас предлагают то же самое… но за 3 000…
                • 0
                  а куда перешли с него, если не секрет?
                  • 0
                    Перешел к частным заказам, они по-крупнее были и по-надежнее в отличие от fl. Но пришлось напрячься с собственной раскруткой. Хотя и там приходили персонажи с «маленькими доделками» за 1000 рублей. Но я уже мог позволить себе их отправить на фабрику сайтов.
                    • 0
                      Работаете на локальный (СНГ) рынок или на западных заказчиков? Искали на каких то других биржах или выходили напрямую?
                      • +1
                        были постоянные заказчики с украины и россии еще в бытность фрилансером набрал базу, но в итоге офисная работа все таки поглотила меня( се ля ви
                        Другие биржы на тот момент были полумертвыми, да и сейчас как то там кисло

                        fl.ru можно сделать крутым, но оно им надо?) покупай PRO и греби бабло вот и весь посыл fl
                        полезен в случае подверстать по-быстрому баннер за 500р )
                      • +1
                        За последний год стал замечать, что странная манера отделять дефисами приставку «по» превратилась в вирус и получила необъяснимое распространение в интернете. Даже среди, казалось бы, грамотных людей.
                        • 0
                          а разве писать правильно — это плохо? еще в слове «как то» забыл написать, пардон за оффтоп
                          • +1
                            JFYI, приставка по- пишется через дефис далеко не всегда. В словах «покрупнее» и «понадёжнее» она пишется слитно.
                            • +5
                              по-нятно
                              • 0
                                Х-о-р-о-ш-о, что вы это понимаете. То автор комментария, на который я и отвечал, имплицитно утверждал противоположное…
                                • +1
                                  узнал о вашей шутке с баша… не мог удержаться, чтобы не найти ее и не сообщить вам досадную весть — в вашем пример «по» — не приставка.
                                  • 0
                                    думаю, что это все и так знали…
                                    • +1
                                      Но ведь если «по» не приставка — шутка смысла не имеет.
                                      • +1
                                        Хватило схожей визуальной структуры ,)
                                        • +1
                                          Шутка демонстрирует любовь некоторых людей отделять дефисами все подряд. На самом деле, шутка не имеет смысла, когда приходится ее объяснять.
                            • 0
                              А что не так?

                              Дефисное написание наречий
                              1. Пишутся через дефис наречия с приставкой по-, образованные от полных прилагательных и местоимений и оканчивающиеся на -ому, -ему, -ки, -ьи, например: работать по-новому, пусть будет по-вашему, советовать по-дружески, говорить по-французски, хитрить по-лисьи, по-видимому, по-пустому, по-прежнему.


                              PS: Извините, не заметил, что вы действительно про приставки.
                        • +5
                          а потом когда сдаешь работу, получаешь ответ: мамка денег не дала
                  • +3
                    На этом скриншоте есть упоминание bebrain.ru, на этом домене есть ссылка на портфолио, которое ведет на fl.ru/users/bebrain
                    Это случаем не автор взлома засветился?
                    • +1
                      Нет, не угадали)
                    • +2
                      Ничего не найдено
                      Возможно, владелец удалил файлы или закрыл к ним доступ.
                      А может быть, вам досталась ссылка с опечаткой.
                      • 0
                        Удалил скриншот, т. к. тут всякие подозрения появились. К тому же в скриншоте хоть и не полная ссылка, но цифры последние можно подобрать. Не хочу что бы я стал одним из источников распространения исходников.
                        Я думаю такое уведомление пришло не только мне.
                      • +5
                        Вот бы пост разоблачение написали «Взломать fl.ru бесплатно без регистрации и смс».

                      • +3
                        Фл.ру взломали и уже через пару минут новость разлетелась по инету, успели посливать движок по ссылке и даже местами разобрать его. Имею подозрения что тот кто взломал об этом сейчас везде и постит.
                        А вообще разберите, пожалуйста, базу и посмотрите какие там личные данные юзеров.
                        • +7
                          Вы потом зайдите на биржу (когда она заработает) — и почитайте «официальную статистику» количества посещений ресурса ;)
                          И прикиньте, сколько людей увидели этот конкурс. И сколько успели заскринить и опубликовать новость по Рунету. Видимо это одна команда… это заговор…

                          Как вариант — слоган: «ВВВ решил вернуться!?»
                          • +1
                            По той ссылке только движок. БД нет
                            • +2
                              Угу. Но есть конфиги, которые я ради праздного любопытства поизучал)) Много интересного) Например «Настройки сервиса бекапа файлов в облачное зранилище», Ключи API, даже логин и пароль к БД, правда без адреса сервера, но это и не суть… в общем, я думаю не особо скоро он заработает, особенно с такой утечкой…
                              • +13
                                define('WM_VERIFY_KEYPASS', 'xyitebe');
                                
                                • +18
                                  Ну даже и без конфигов, представим что они все ложные, изучив исходники можно спокойно найти кучу дыр, и повторно положить этот сервис. Так что по логике, необходимо было бы переписать этот сервис с нуля, ИМХО))
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • +10
                                      Совершенно необязательно.
                                      Говнокод никак не мешает рубить бабло
                                      • 0
                                        Тут как раз пример, что мешает…
                                        • 0
                                          В остальных случаях не мешает
                                      • +2
                                        PHP7-beta2? =)
                            • +2
                              Хорошо бы намёк, где сейчас скачать заветный архив. O;-)
                              • +4
                                Если подписаны на официальное их сообщество, то таких намеков на почту должно было прийти писем 10 до того, как сайт из розетки выключили.
                                • +1
                                  На бирже уведомления на е-мейл работают через пень-колоду.
                                  Иногда — моментально, а иногда — могут и через неделю прийти. А может и вообще не прийти :)
                                • 0
                                  Были тут: myfolder.ru/files/44004298
                                  Но файл уже удален. Может кто успел скачать.
                                  • +1
                                    Значит саппорт фл.ру сразу написал абузу ребятам из файлообменника — удалили достаточно оперативно.
                                    • –9
                                      Нашли, конечно, куда заливать. Даже по этому уже можно сделать выводы о профессиональном уровне взломщика.
                                      • +3
                                        На торренты надо :)
                                        • +6
                                          Вот и рабочая ссылка:
                                          www.ex.ua/92838442
                                          Содержимое:
                                          Извиняюсь, но пока только так
                                          image
                                          image
                                            • +20
                                              Ловите) github.com/veryEvilMan/fl-ru-damp
                                              Какой-то чудак уже успел загрузить на гитхаб)) Думаю долго там оно не продержится — скоро забанят))
                                              • +8
                                                Форкнул.
                                                • +57
                                                  Ну и зачем я это рефакторю?
                                                  • –13
                                                    лол )))
                                                    • +2
                                                      мда, запостил две статьи по спрингу — два плюса в карму
                                                      развеселило что я не один таким рефакторингом как в комменте выше занимаюсь — два минуса в карму.
                                                      вот и пиши после такого статьи сюда…
                                                      • +5
                                                        Почти угадали с выводом.
                                                        • +9
                                                          Вариант «Вот и пиши такие комментарии сюда» не рассматривали?
                                                    • 0
                                                      На самом деле идея с размещением этого движка на гитхаб гениальна. Команда должна взять это на вооружение, и дать людям поправить все что можно поправить. Но увы. Удалят же.
                                                      • +2
                                                        Там нужно править слишком много, проще написать с нуля.
                                                        • 0
                                                          Сейчас у руководства fl.ru есть отличный шанс поправить ситуацию. Все будет зависеть от того как они этот шанс используют
                                                        • +11
                                                          Так говорит 99% разрабов, когда видит чужой код первый раз :))
                                                      • +15
                                                        О, там уже есть pull request и issue.
                                                        Вот это я понимаю, краудсорсинг!

                                                        Кстати, в issue отметился сам хакер и выложил конфиги nginx до кучи.
                                                        github.com/veryEvilMan/fl-ru-damp/issues/3
                                                        • 0
                                                          185 форков =)
                                                          • +7
                                                            УЖАС… этот код даже бесплатно не нужен, ибо его и поддерживать намного расточительнее, чем создать новый.

                                                            Эти папки, в каждой папке index.php — это т и х и й у ж а с
                                                            То есть, разработчики не знаю ни про ЧПУ, ни про правильную архитектуру.
                                                            И конечно же, лапша кода в html… о боже
                                                            • 0
                                                              Зато мы теперь примерно знаем, что внутри и различных старейших проектов Рунета
                                                              • 0
                                                                Да ладно вам «расточительнее», им даже не надо искать людей, которые за 3000р прикрутят что хочешь
                                                                • 0
                                                                  Разработчики я думаю все знают, а вот руководству на это скорей всего наплевать и поэтому им не нужен новый код на новом движке, им нужна поддержка старого. Что их в конце концов и погубило.
                                                              • –6
                                                                уже нету
                                                                • +2
                                                                  все есть по ссылке на гитхабе)
                                                                  • +23
                                                                    Сколько человек сегодня будет глаза с мылом мыть после просмотра исходников, страшно представить.
                                                                    • +11
                                                                      я никогда не называл себя программистом и был уверен что мне за мой пхп код должно быть стыдно… но после этого…
                                                                      пойду погляжу вакансии :)
                                                                      • +5
                                                                        Нам лет назад 5 приходило предложение работать на фрилансе, уровень зарплаты был в 2 раза ниже чем для новичка-программера без ВО в питере.
                                                                        Если у них осталась та же зарплатная политика, то код в общем-то не так и ужасен, с учетом затрат на него:)
                                                                        При чем в самом сервисе-то ничего сложного нет, за пару воропаевских зарплат можно было нормальный проект заказать свободно у нормальной студии.
                                                                        • +2
                                                                          я не имел в виду у них, упаси бог
                                                                      • 0
                                                                        Мыли всю ночь) Тредик на гитлабе просто огонь!
                                                      • +12
                                                        Насчет того, что база не слита, я бы не спешил с выводами.
                                                        База слишком ценный ресурс, чтобы кидать ее в открытый доступ вместе с исходниками.
                                                        • +2
                                                          Если удалось слить полностью все файлы сайта с сервера, вполне возможно что и до БД добрались.
                                                          Значит руки прямые и голова соображает.
                                                          Таких бы ребят ООО Ваан взяло на работу — биржа бы работала стабильно и быстро, и без глюков.

                                                          А вот если и БД взяли полностью — это уже не айс. Особенно паспортные и финансовые данные пользователей. Там же и сканов целая куча.
                                                          • +2
                                                            Мне бы вообще интересно было бы послушать официальные заявления от FL.ru
                                                            • +13
                                                              Особенно после того, как некий новый админ (или менеджер) в этом самом официальном сообществе недавно забанил кучу пользователей, которые «выражались не по теме топика»… или просто ему не понравились.

                                                              Правды все равно никто не скажет.
                                                              • 0
                                                                По ссылке на новости выдает ошибку 403 (https://www.fl.ru/commune/drugoe/5100/flru/), видимо там пока только неофициальные новости.
                                                              • 0
                                                                База весит побольше, чем исходники, на порядки.
                                                                И слить её без шума сложнее — dump создает повышенную нагрузку на сервер БД, это становится видно на графиках.
                                                                Т.е. в случае БД могут среагировать раньше, чем докачается дамп.
                                                                • +3
                                                                  Да, товарищ хакер все это провернувший уже дал свой ответ про БД на другом ресурсе:
                                                                  konardo commented an hour ago
                                                                  На ЦП и Хабре многие сокрушались по поводу отсутствия БД. Отвечаю: она слишком велика (размер исчисляется гигабайтами). Даже схему мне не удалось получить, так как PgSQL не дампит названия колонок, их формат и прочее...


                                                                  UPD Или вы он и есть? :)))
                                                                  • +1
                                                                    Странно.
                                                                    Казалось бы, у pg_dump есть флаг --schema-only
                                                                    • +4
                                                                      Ничего странного, всё продумано. Когда у тебя есть шелл на сервере, кто вообще верит, что базу слить не удалось?
                                                                    • +2
                                                                      Ой, да ладно вам! Такой взрослый и в сказки верите. Базу там он не слил. В коде есть все модели, названия колонок и таблиц. Сливать базу возможно не только pg_dump'ом за раз, а тихими селектами и отправкой себе за неделю. Мониторинг вряд ли что покажет. Не удивлюсь, если хакер порядком поюзал средства, находящиеся на счетах биржи и отправил их себе на пенсию. С таким-то раздолбайством на fl.ru. Уж если он нашёл время в конфигах позаменять реальные финансовые ключи на 'hyuitebe'…

                                                                      Одно печалит, что там куча паспортных данных, кредиток, сканов и прочей персональной информации, которую скоро можно будет увидеть на экранах всем, кому не хотелось бы это показывать. :(
                                                                • 0
                                                                  Учитывая то количество SQL-i, которое у них имеется, слить базу можно было без проблем, а вот как файлы слили — это уже интересно.
                                                                  • 0
                                                                    Таки да. Это же полная структура со всем хламом — значит скачивали напрямую по фтп…
                                                                    Как вариант — кто-то из бывших тех. работников постарался или решил сказать «Чао» на прощание.
                                                                    • +4
                                                                      Отвечу сам на свой вопрос цитатой из репозитория, куда залиты сорцы (ссылка на него была выше):
                                                                      Да, поднялась такая шумиха, что оглохнуть можно…
                                                                      А ведь всё дело было только в том, что эти придурки оставили на сервере разработки (beta.free-lance.ru) порт 8080, который принимал PUT-запросы к WebDav, что позволило мне залить PHP-шелл и получить доступ к движку сайта.
                                                                • 0
                                                                  А это что значит?
                                                                  • +1
                                                                    free-lance.ru

                                                                    Сертификат на *.free-lance.ru прописан. А на *.fl.ru не прописали.
                                                                    • +2
                                                                      В Opera отображаются корректно оба домена и сертификата.
                                                                    • +3
                                                                      в сертификате написано ж)
                                                                      www.free-lance.ru
                                                                    • +24
                                                                      Глобальные переменные в проекте на PHP в 2015-м году.
                                                                      Говорите что хотите, но эти люди заслужили подобный исход.
                                                                      • +8
                                                                        легаси же
                                                                        • +7
                                                                          Я даже из своего говн^W легаси выкинул глобал весь, хватит уже некрофилией заниматься.
                                                                          • 0
                                                                            Мне кажется, если код уже сильно на них завязан, то не выкинешь.
                                                                            • +9
                                                                              Мне кажется, что если код сильно завязан на глобальных переменных, его надо выкинуть, и переписать проект заново.
                                                                              Тащить за собой это проклятье четвёрки — самоубиство, маразм и гимн лени в одной куче.
                                                                        • 0
                                                                          Контейнеры же!
                                                                        • +6
                                                                          Очень вероятно, что БД тоже слили, так как в конфигах есть пароли к ней

                                                                          Если взломщик конечно не почистил конфиги перед тем, как выкладывать в публичный доступ
                                                                          И БД на том же хосте, что и скрипты, что тоже эпичненько, если опять же, исходники не были модифицированы
                                                                          • +7
                                                                            вы еще в .htpwd гляньте :)
                                                                            • 0
                                                                              Пароль от логина viktor — juni0r
                                                                            • 0
                                                                              БД не слили, писали же.
                                                                              Просто большие объемы, слить не получилось.
                                                                              • 0
                                                                                Или просто не хочется светиться, Или садиться надолго.
                                                                            • +23
                                                                              вангую, что если бы им просто написали об уязвимости, то эта контора не только бы спасибо не сказала, а начала грозиться судами и т.п. у них вообще есть контакты куда об уязвимостях писать?
                                                                              • +8
                                                                                RewriteCond %{HTTP_REFERER} ^http://project/users/[^/]+/[^\.]+\.swf$
                                                                                RewriteRule ^(.*)$ /xui.php [L]
                                                                                • +4
                                                                                  Для истории и справки.
                                                                                  $ cloc fl-ru-damp/
                                                                                      4260 text files.
                                                                                      4172 unique files.
                                                                                       238 files ignored.
                                                                                  
                                                                                  http://cloc.sourceforge.net v 1.62  T=33.11 s (120.4 files/s, 26810.1 lines/s)
                                                                                  -------------------------------------------------------------------------------
                                                                                  Language                     files          blank        comment           code
                                                                                  -------------------------------------------------------------------------------
                                                                                  PHP                           2668          68478          82864         368974
                                                                                  Javascript                     714          34697          34444         163967
                                                                                  CSS                            313           7765           1411          69765
                                                                                  HTML                           152           1610            755          24951
                                                                                  XSLT                            17           1272           2451          10235
                                                                                  Smarty                          69            562            154           7655
                                                                                  XML                             38            222             18           4291
                                                                                  XSD                              2             18             32            498
                                                                                  SASS                             2             19             23            205
                                                                                  make                             2             34             27             80
                                                                                  JSON                             2              0              0             57
                                                                                  Bourne Shell                     2             14              6             48
                                                                                  YAML                             2              4              0             40
                                                                                  Perl                             1             15              4             39
                                                                                  Visual Basic                     1              0              0             21
                                                                                  -------------------------------------------------------------------------------
                                                                                  SUM:                          3985         114710         122189         650826
                                                                                  -------------------------------------------------------------------------------
                                                                                  
                                                                                  • 0
                                                                                    А что ваша картинка обозначает?

                                                                                    количество кода и комментариев в файлах?
                                                                                    • 0
                                                                                      Да, в том числе. Это вывод утилиты CLOC.
                                                                                      • –8
                                                                                        жестоко.
                                                                                        комментарии: код грубо 1: 5

                                                                                        Когда изучал дизайн, то там говорили: «Если к вашему дизайну (продукту) нужна большая инструкция (или инструкция вообще), то ваш дизайн — говно».
                                                                                  • +5
                                                                                    Почему у него мой аватар?
                                                                                  • +7
                                                                                    Не удивительно почему их взломали, исходники отвратные
                                                                                    • +7
                                                                                      «Да оставляй так, все-равно никто не узнает!» (с) парадигма fl.ru
                                                                                      • +25
                                                                                        Местами можно узнать )
                                                                                        if ($_GET['to'] != null) {
                                                                                        $sql = «SELECT u.uid, u.email, u.login, u.uname, u.usurname, u.subscr, usk.key AS ukey FROM users AS u LEFT JOIN users_subscribe_keys AS usk ON usk.uid = u.uid WHERE email = '{$_GET['to']}'»; // TEST!!!
                                                                                        }


                                                                                        // TEST!!! — спаси и сохрани
                                                                                        • +2
                                                                                          Тест защитит от всех sql инъекций, чудесно. Странно что их только сейчас взломали.
                                                                                          • +7
                                                                                            Хорошее покрытие тестами.
                                                                                    • 0
                                                                                      Я немного пошарился, и так понял, что это не рабочая версия сайта, а какае-то бетка. Может с машины разработчика. Везде фигурирует слово beta. Не факт, что будет полное или частичное совпадение с рабочей версией.
                                                                                      • +1
                                                                                        Думаю, даже с беткой общая логика и суть ясны, скорее всего исходники имеют много общего с текущей версией сайта.
                                                                                        • +1
                                                                                          Судя по стабильности работы, количеству багов и количеству всякой хрени, которую они в последнее время «улучшают и расширяют функционал» (кому кроме них нужен этот функционал, если то, что просят фрилансеры-заказчики они не слышат и не делают?) — это может быть и вполне дамп с текущего рабочего сервера :)
                                                                                          • +29
                                                                                            We call it «beta», because it's «beta» than nothing
                                                                                            • +3
                                                                                              Движок действительно настоящий. Посмотрел и нашел свои строчки кода и комментарии

                                                                                              dou.ua/forums/topic/14407
                                                                                              • +4
                                                                                                Оказывается, dou.ua заблокирован Роскомнадзором в соответствии с решением суда Самары. Сильно удивился, когда прошёл по ссылке и увидел заглушку…
                                                                                                Вот уж действительно, в наше время без VPN никуда. Реестр запрещённых ресурсов так разросся, что на блокировку натыкаешься теперь чуть не ежедневно.
                                                                                                • +3
                                                                                                  dou.ua заблокирован, github периодически блокируется, web.archive блокируется время от времени, lurk выпилили, nasper закрывает часть направлений бизнеса в рф, в частности аукцион molotok.ru с 20-го августа, fl.ru взломали и выложили код на github последовательности в действиях роскомнадзор не наблюдается. действуют как по книгам пелевина.
                                                                                                  интересно, что вообще останется в рунете в 2017 году?
                                                                                                  • 0
                                                                                                    Lurk закрыли? У меня на МТС и Ростелекоме работает
                                                                                                      • 0
                                                                                                        Да, но его не закрыли.
                                                                                                        • 0
                                                                                                          Нет, его закрыли, есть предписание и оно не устранено. И не будет. Потому что предписание конфликтует с 29-ой статьей Конституции РФ и Международной конвенцией которую РФ ратифицировало. Таким образом надо не предписания Роскомнадзора выполнять, а следовать букве закона более верхнего порядка. А так как все наше сегодняшнее законодательство это большой сборник взаимоисключающих параграфов то на мой взгляд будущее рунета туманно. Через год два мы можем уже не увидеть его в том виде в котором он есть сейчас. У большинства провайдеров сайт не открывается. Если непосредственно у вас он открывается, то это не отменяет того что у большинства сайт прикрыт по решению Роскомнадзора.
                                                                                                          • 0
                                                                                                            МТС и Ростелеком это все-таки дофига в плане абонентов. Но печально, да.
                                                                                                            • 0
                                                                                                              Да, наверное, но у меня какой-то там никому не известный региональный Sunlink и тот заблокировал. И теперь когда мне нужно найти точную цитату «когда они пришли», а гугл меня при этом перекидывает на лурк, то я должен взять и переключиться на проксю не то немецкую не то американскую, и только лишь после этого скопировать эту цитату. Постоянно сидеть под squid смысла не вижу, скорость падает. Но и это цензурное самодурство конечно не от большого ума.
                                                                                                              • 0
                                                                                                                Вы не поверите. У меня никому не известное интернет-кафе в республике Калмыкия, и то получаю регулярные наезды на то, чтобы своими силами блокировать эти ресурсы. Хотя я получаю инет от Ростелекома, который и так уже все заблокировал.
                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                • 0
                                                                                                  пока дыру не закроют луче не запускаться)
                                                                                                  • +1
                                                                                                    Думаю, что исходники уже изучаются на предмет поиска других дыр.
                                                                                                • +1
                                                                                                  Таки поняли, что до 02:00 проблему они не исправят.
                                                                                                  • +4
                                                                                                    они ведь не сказали, до 02:00 какого дня (и месяца, и года), хехе
                                                                                                  • +21
                                                                                                    Специальная акция по переходу на опенсурс и правок с помощью комьюнити?
                                                                                                    • +7
                                                                                                      Правду скажу — вообще не удивлен… Я не раз писал им о их уязвимостях… В ответ или игнор или отписки (Типа все ОК).
                                                                                                      • –10
                                                                                                        Не удивлюсь, если их еще и шантажировали перед взломом. Хакеры обычно ничего просто так не делаю.
                                                                                                        • –6
                                                                                                          Чаще всего самоутверждаются, ну и естественно зарабатывают
                                                                                                          • +12
                                                                                                            «Избавьтесь от говнокода и 100000$ или хуже будет»?
                                                                                                            • +12
                                                                                                              Тут скорее можно предположить, что им написали об уязвимости, а в ответ получили порцию отборного мата плюс угрозы. К сожалению, вполне типичная ситуация для многих компаний.
                                                                                                              Кажется, давно уже пора проводить специализированные курсы и семинары для менеджеров на тему "почему посылать на три буквы сообщившего об уязвимости — не самый удачный из маркетинговых ходов".
                                                                                                              • –1
                                                                                                                Ох уж эти хакеры!
                                                                                                                • +1
                                                                                                                  Ну по себе скажу — не раз «Взламывал» (Находил серьезные уязвимости и баги) на том же Webmoney — я им просто предоставлял всю информацию о уязвимостях и они уже с благодарностями мне $Пасибо выписывали. Думаю fl.ru хоть и пофигисты, но понимают что выгоднее заплатить Хакеру и исправить уязвимость, чем потерять клиентов.
                                                                                                                  • –1
                                                                                                                    Видимо минусуют хакеры.
                                                                                                                  • +3
                                                                                                                    А куда теперь все пошли? клиенты и исполнители
                                                                                                                    • +5
                                                                                                                      roem.ru/26-05-2015/196230/voropaev-start-rubrain

                                                                                                                      «26 мая в 15:06
                                                                                                                      Сооснователь free-lance.ru (fl.ru) Василий Воропаев, продавший свою долю в сервисе два года назад, запускает новый сервис для фриланс-заказов Rubrain ...»

                                                                                                                      Возможно эти два события связаны друг с другом, кто знает.
                                                                                                                  • 0
                                                                                                                    Интересно, если там была слита и ещё и рабочая база, могут ли работодатели/исполнители собираться и писать на fl коллективные иски?
                                                                                                                    • 0
                                                                                                                      Это будет возможно только тогда, когда появится сама эта база на просторах сети, платно или бесплатно. А так никто в этом не признается.
                                                                                                                      • 0
                                                                                                                        Иск о чем? Название статьи из кодекса, плиз?
                                                                                                                        • +6
                                                                                                                          Ну, например, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» Статья 24. Ответственность за нарушение требований настоящего Федерального закона

                                                                                                                          2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
                                                                                                                          • +4
                                                                                                                            А если еще и международный иск — пользователи то с разных стран… ой-йо-йой…
                                                                                                                      • 0
                                                                                                                        Буквально наверное месяца два назад или чуть более.
                                                                                                                        В районе 2.00 ночи появилось два проекта, нецензурные выражения в заголовке и тексте.
                                                                                                                        Ночью эти проекты провисели достаточно долго.
                                                                                                                        На один из них народу даже «набилось» в кандидаты.
                                                                                                                        Чую что между тем и сегодняшним событием есть связь.
                                                                                                                        • 0
                                                                                                                          Не знаю с этим ли связано, но с моего кошелька ЯД, который был привязан к fl.ru в воскресенье увели некоторую сумму.
                                                                                                                          Пароль там не самый простой был, да и везде стоят антивирусы.
                                                                                                                          • +1
                                                                                                                            Делайте привязку к телефону.
                                                                                                                          • 0
                                                                                                                            Тем временем сайт заработал снова.
                                                                                                                            • 0
                                                                                                                              Видимо закрыли какую-то очевидную дыру, и сразу же запустились. Знать бы, сколько еще этих дыр осталось
                                                                                                                              • +16
                                                                                                                                смелые ребята
                                                                                                                                • +1
                                                                                                                                  Учитывая их, может они даже не догадываются о том, что исходники уплыли?:)
                                                                                                                                  • +3
                                                                                                                                    как это не догадываются, в статье же написано :)
                                                                                                                                    а если вдруг они хабр не читают, то поделом
                                                                                                                                    • +55
                                                                                                                                      — «Ребята! Нас хакнули! Сайт лежит! Что делать?!»
                                                                                                                                      — «Бегом на хабр, там уже наверняка есть описание проблемы и её решение!»
                                                                                                                              • +2
                                                                                                                                <наивность> Ждем, может они скажут чего интересного или важного </наивность>
                                                                                                                                • +1
                                                                                                                                  Никто ещё не изучил код рядом с grep -rn '$_GET'?
                                                                                                                                  • +1
                                                                                                                                    Заработал, только нет ни одного конкурса, и «сообщества» не работают.
                                                                                                                                    Я до сих пор не могу понять, как администрация сайта в такой ситуации может молчать и не делать никаких заявлений.