Пользователь
0,0
рейтинг
28 июля 2015 в 11:18

Разработка → Очередной взлом FL.ru

Печальное зрелище представилось сейчас моему усталому рабочему взгляду…

Буквально полчаса назад на главной странице проектов на всем известной некогда флагманской бирже Рунета был опубликован очень интригующий проект. Который сразу привлек внимание мониторящих ленту фрилансеров. Проект опубликован с аккаунта главного администратора биржи.

Поскольку в конкурсе присутствует ненормативная лексика, она была заретуширована.

image

К этому конкурсу тут же подключились некоторые фрилансеры.

image

Через пять минут такой забавы саппорт отреагировал моментально, и биржа на данный момент закрыта.

image

Учитывая, что на бирже действительно с каждым апдейтом все больше закручиваются гайки как для фрилансеров так и для работодателей только с одной целью — получить как можно больше монеток, и «улучшить» жизнь пользователям. Цены на услуги ничем не обоснованы и являются самыми высокими на всех биржах Рунета (да и с заморскими биржами некоторыми тоже зашкаливают).

Хорошая иллюстрация к несоответствию своих аппетитов и предоставляемых возможностей. А так же — показатель участившихся взломов и сливов явно не на пользу квалификации тех. персонала биржи.

PS Ребята из команды АД.кг — вернитесь на Землю, и биржа еще возможно вернет свое былое величие.

UPD: Помимо взлома аккаунта администратора, хакером были выкачаны с сервера и выложены в паблик все файлы рабочего сайта FL.ru. По утверждению хакера, базу данных он заполучить не смог (тыц, тыц). Хотя, верится в это с трудом.

UPD 2: Биржа уже работает, но с перебоями. Отключены «Сообщества» и «Конкурсы».
И время от времени на ленте публикуются странные проекты с вполне нормальных аккаунтов работодателей с набором аббракадабры в заголовке проекта и содержании — на подобии, ФЫВАРОМВ.
Так что, не лишним будет сменить пароли на своих учетных записях, уважаемые пользователи.

UPD 3: Хакер продолжает выкладывать новые сведения о взломе, том что нашел на сервере — тыц, тыц, тыц
А так же — очередные уязвимости — тыц (уже закрыта).
@Mark29
карма
24,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (257)

  • +4
    Более того в сеть уже утекли исходники сайта. Ссылку, по понятным причинам, давать не буду.
    Скриншот уведомления о новой теме в сообществе, в которой была дана ссылка на архив с исходниками — yadi.sk/i/8o3NRCg1i8QpJ
    • +14
      Если это правда — биржа заработает не скоро. И уже не сегодня — это точно.
      И это жирная запятая в ее судьбе… или точка?
      • –26
        Fl.ru один основных источников заказов для многих фрилансеров. Надеюсь востановят.
        • +21
          Не будет Fl — основной источник заказов для многих фрилансеров так же сменит имя. Не вижу проблемы, это интернет.
        • +12
          free-lance.ru (FL) умер еще 5-6 назад.
          Во всяком случае для меня.
          Как администрация начала вводить множество платных услуг, читать переписки, делать тотальный контроль, когда заехали «гастарбайтеры» которые стали жестко демпинговать и т.д.
          • +5
            5-6 лет назад меня убивали заказы типа: Сделать новую социальную сеть. Бюджет 5000 р. Это на серьезных щах люди предлагали и получали 100500 откликов. Тогда fl умер и для меня)
            Не знаю как сейчас лет 5 не заходил.
            • +13
              Сейчас предлагают то же самое… но за 3 000…
              • +1
                Кризис и все такое…
            • 0
              а куда перешли с него, если не секрет?
              • 0
                Перешел к частным заказам, они по-крупнее были и по-надежнее в отличие от fl. Но пришлось напрячься с собственной раскруткой. Хотя и там приходили персонажи с «маленькими доделками» за 1000 рублей. Но я уже мог позволить себе их отправить на фабрику сайтов.
                • 0
                  Работаете на локальный (СНГ) рынок или на западных заказчиков? Искали на каких то других биржах или выходили напрямую?
                  • +1
                    были постоянные заказчики с украины и россии еще в бытность фрилансером набрал базу, но в итоге офисная работа все таки поглотила меня( се ля ви
                    Другие биржы на тот момент были полумертвыми, да и сейчас как то там кисло

                    fl.ru можно сделать крутым, но оно им надо?) покупай PRO и греби бабло вот и весь посыл fl
                    полезен в случае подверстать по-быстрому баннер за 500р )
                • +1
                  За последний год стал замечать, что странная манера отделять дефисами приставку «по» превратилась в вирус и получила необъяснимое распространение в интернете. Даже среди, казалось бы, грамотных людей.
                  • 0
                    а разве писать правильно — это плохо? еще в слове «как то» забыл написать, пардон за оффтоп
                    • +1
                      JFYI, приставка по- пишется через дефис далеко не всегда. В словах «покрупнее» и «понадёжнее» она пишется слитно.
                      • +5
                        по-нятно
                        • 0
                          Х-о-р-о-ш-о, что вы это понимаете. То автор комментария, на который я и отвечал, имплицитно утверждал противоположное…
                        • +1
                          узнал о вашей шутке с баша… не мог удержаться, чтобы не найти ее и не сообщить вам досадную весть — в вашем пример «по» — не приставка.
                          • 0
                            думаю, что это все и так знали…
                            • +1
                              Но ведь если «по» не приставка — шутка смысла не имеет.
                              • +1
                                Хватило схожей визуальной структуры ,)
                              • +1
                                Шутка демонстрирует любовь некоторых людей отделять дефисами все подряд. На самом деле, шутка не имеет смысла, когда приходится ее объяснять.
                                • –1
                                  Братья что ль?
                  • 0
                    А что не так?

                    Дефисное написание наречий
                    1. Пишутся через дефис наречия с приставкой по-, образованные от полных прилагательных и местоимений и оканчивающиеся на -ому, -ему, -ки, -ьи, например: работать по-новому, пусть будет по-вашему, советовать по-дружески, говорить по-французски, хитрить по-лисьи, по-видимому, по-пустому, по-прежнему.


                    PS: Извините, не заметил, что вы действительно про приставки.
            • +5
              а потом когда сдаешь работу, получаешь ответ: мамка денег не дала
    • +3
      На этом скриншоте есть упоминание bebrain.ru, на этом домене есть ссылка на портфолио, которое ведет на fl.ru/users/bebrain
      Это случаем не автор взлома засветился?
      • +1
        Нет, не угадали)
    • +2
      Ничего не найдено
      Возможно, владелец удалил файлы или закрыл к ним доступ.
      А может быть, вам досталась ссылка с опечаткой.
      • 0
        Удалил скриншот, т. к. тут всякие подозрения появились. К тому же в скриншоте хоть и не полная ссылка, но цифры последние можно подобрать. Не хочу что бы я стал одним из источников распространения исходников.
        Я думаю такое уведомление пришло не только мне.
    • +5
      Вот бы пост разоблачение написали «Взломать fl.ru бесплатно без регистрации и смс».

  • +3
    Фл.ру взломали и уже через пару минут новость разлетелась по инету, успели посливать движок по ссылке и даже местами разобрать его. Имею подозрения что тот кто взломал об этом сейчас везде и постит.
    А вообще разберите, пожалуйста, базу и посмотрите какие там личные данные юзеров.
    • +7
      Вы потом зайдите на биржу (когда она заработает) — и почитайте «официальную статистику» количества посещений ресурса ;)
      И прикиньте, сколько людей увидели этот конкурс. И сколько успели заскринить и опубликовать новость по Рунету. Видимо это одна команда… это заговор…

      Как вариант — слоган: «ВВВ решил вернуться!?»
    • +1
      По той ссылке только движок. БД нет
      • +2
        Угу. Но есть конфиги, которые я ради праздного любопытства поизучал)) Много интересного) Например «Настройки сервиса бекапа файлов в облачное зранилище», Ключи API, даже логин и пароль к БД, правда без адреса сервера, но это и не суть… в общем, я думаю не особо скоро он заработает, особенно с такой утечкой…
        • +13
          define('WM_VERIFY_KEYPASS', 'xyitebe');
          
          • +18
            Ну даже и без конфигов, представим что они все ложные, изучив исходники можно спокойно найти кучу дыр, и повторно положить этот сервис. Так что по логике, необходимо было бы переписать этот сервис с нуля, ИМХО))
            • НЛО прилетело и опубликовало эту надпись здесь
              • +10
                Совершенно необязательно.
                Говнокод никак не мешает рубить бабло
                • 0
                  Тут как раз пример, что мешает…
                  • 0
                    В остальных случаях не мешает
              • +2
                PHP7-beta2? =)
  • +2
    Хорошо бы намёк, где сейчас скачать заветный архив. O;-)
    • +4
      Если подписаны на официальное их сообщество, то таких намеков на почту должно было прийти писем 10 до того, как сайт из розетки выключили.
      • +1
        На бирже уведомления на е-мейл работают через пень-колоду.
        Иногда — моментально, а иногда — могут и через неделю прийти. А может и вообще не прийти :)
    • 0
      Были тут: myfolder.ru/files/44004298
      Но файл уже удален. Может кто успел скачать.
      • +1
        Значит саппорт фл.ру сразу написал абузу ребятам из файлообменника — удалили достаточно оперативно.
        • –9
          Нашли, конечно, куда заливать. Даже по этому уже можно сделать выводы о профессиональном уровне взломщика.
          • +3
            На торренты надо :)
            • +6
              Вот и рабочая ссылка:
              www.ex.ua/92838442
              Содержимое:
              Извиняюсь, но пока только так
              image
              image
              • +2
              • +20
                Ловите) github.com/veryEvilMan/fl-ru-damp
                Какой-то чудак уже успел загрузить на гитхаб)) Думаю долго там оно не продержится — скоро забанят))
                • +8
                  Форкнул.
                • +57
                  Ну и зачем я это рефакторю?
                  • –13
                    лол )))
                    • +2
                      мда, запостил две статьи по спрингу — два плюса в карму
                      развеселило что я не один таким рефакторингом как в комменте выше занимаюсь — два минуса в карму.
                      вот и пиши после такого статьи сюда…
                      • +5
                        Почти угадали с выводом.
                      • +9
                        Вариант «Вот и пиши такие комментарии сюда» не рассматривали?
                • 0
                  На самом деле идея с размещением этого движка на гитхаб гениальна. Команда должна взять это на вооружение, и дать людям поправить все что можно поправить. Но увы. Удалят же.
                  • +2
                    Там нужно править слишком много, проще написать с нуля.
                    • 0
                      Сейчас у руководства fl.ru есть отличный шанс поправить ситуацию. Все будет зависеть от того как они этот шанс используют
                    • +11
                      Так говорит 99% разрабов, когда видит чужой код первый раз :))
                • +15
                  О, там уже есть pull request и issue.
                  Вот это я понимаю, краудсорсинг!

                  Кстати, в issue отметился сам хакер и выложил конфиги nginx до кучи.
                  github.com/veryEvilMan/fl-ru-damp/issues/3
                • 0
                  185 форков =)
                • +7
                  УЖАС… этот код даже бесплатно не нужен, ибо его и поддерживать намного расточительнее, чем создать новый.

                  Эти папки, в каждой папке index.php — это т и х и й у ж а с
                  То есть, разработчики не знаю ни про ЧПУ, ни про правильную архитектуру.
                  И конечно же, лапша кода в html… о боже
                  • 0
                    Зато мы теперь примерно знаем, что внутри и различных старейших проектов Рунета
                  • 0
                    Да ладно вам «расточительнее», им даже не надо искать людей, которые за 3000р прикрутят что хочешь
                  • 0
                    Разработчики я думаю все знают, а вот руководству на это скорей всего наплевать и поэтому им не нужен новый код на новом движке, им нужна поддержка старого. Что их в конце концов и погубило.
              • –6
                уже нету
                • +2
                  все есть по ссылке на гитхабе)
                  • +23
                    Сколько человек сегодня будет глаза с мылом мыть после просмотра исходников, страшно представить.
                    • +11
                      я никогда не называл себя программистом и был уверен что мне за мой пхп код должно быть стыдно… но после этого…
                      пойду погляжу вакансии :)
                      • +5
                        Нам лет назад 5 приходило предложение работать на фрилансе, уровень зарплаты был в 2 раза ниже чем для новичка-программера без ВО в питере.
                        Если у них осталась та же зарплатная политика, то код в общем-то не так и ужасен, с учетом затрат на него:)
                        При чем в самом сервисе-то ничего сложного нет, за пару воропаевских зарплат можно было нормальный проект заказать свободно у нормальной студии.
                        • +2
                          я не имел в виду у них, упаси бог
                    • 0
                      Мыли всю ночь) Тредик на гитлабе просто огонь!
  • +12
    Насчет того, что база не слита, я бы не спешил с выводами.
    База слишком ценный ресурс, чтобы кидать ее в открытый доступ вместе с исходниками.
    • +2
      Если удалось слить полностью все файлы сайта с сервера, вполне возможно что и до БД добрались.
      Значит руки прямые и голова соображает.
      Таких бы ребят ООО Ваан взяло на работу — биржа бы работала стабильно и быстро, и без глюков.

      А вот если и БД взяли полностью — это уже не айс. Особенно паспортные и финансовые данные пользователей. Там же и сканов целая куча.
      • +2
        Мне бы вообще интересно было бы послушать официальные заявления от FL.ru
        • +13
          Особенно после того, как некий новый админ (или менеджер) в этом самом официальном сообществе недавно забанил кучу пользователей, которые «выражались не по теме топика»… или просто ему не понравились.

          Правды все равно никто не скажет.
        • 0
          По ссылке на новости выдает ошибку 403 (https://www.fl.ru/commune/drugoe/5100/flru/), видимо там пока только неофициальные новости.
      • 0
        База весит побольше, чем исходники, на порядки.
        И слить её без шума сложнее — dump создает повышенную нагрузку на сервер БД, это становится видно на графиках.
        Т.е. в случае БД могут среагировать раньше, чем докачается дамп.
        • +3
          Да, товарищ хакер все это провернувший уже дал свой ответ про БД на другом ресурсе:
          konardo commented an hour ago
          На ЦП и Хабре многие сокрушались по поводу отсутствия БД. Отвечаю: она слишком велика (размер исчисляется гигабайтами). Даже схему мне не удалось получить, так как PgSQL не дампит названия колонок, их формат и прочее...


          UPD Или вы он и есть? :)))
          • +1
            Странно.
            Казалось бы, у pg_dump есть флаг --schema-only
            • +4
              Ничего странного, всё продумано. Когда у тебя есть шелл на сервере, кто вообще верит, что базу слить не удалось?
          • +2
            Ой, да ладно вам! Такой взрослый и в сказки верите. Базу там он не слил. В коде есть все модели, названия колонок и таблиц. Сливать базу возможно не только pg_dump'ом за раз, а тихими селектами и отправкой себе за неделю. Мониторинг вряд ли что покажет. Не удивлюсь, если хакер порядком поюзал средства, находящиеся на счетах биржи и отправил их себе на пенсию. С таким-то раздолбайством на fl.ru. Уж если он нашёл время в конфигах позаменять реальные финансовые ключи на 'hyuitebe'…

            Одно печалит, что там куча паспортных данных, кредиток, сканов и прочей персональной информации, которую скоро можно будет увидеть на экранах всем, кому не хотелось бы это показывать. :(
    • 0
      Учитывая то количество SQL-i, которое у них имеется, слить базу можно было без проблем, а вот как файлы слили — это уже интересно.
      • 0
        Таки да. Это же полная структура со всем хламом — значит скачивали напрямую по фтп…
        Как вариант — кто-то из бывших тех. работников постарался или решил сказать «Чао» на прощание.
        • +4
          Отвечу сам на свой вопрос цитатой из репозитория, куда залиты сорцы (ссылка на него была выше):
          Да, поднялась такая шумиха, что оглохнуть можно…
          А ведь всё дело было только в том, что эти придурки оставили на сервере разработки (beta.free-lance.ru) порт 8080, который принимал PUT-запросы к WebDav, что позволило мне залить PHP-шелл и получить доступ к движку сайта.
  • 0
    А это что значит?
    • +1
      free-lance.ru

      Сертификат на *.free-lance.ru прописан. А на *.fl.ru не прописали.
      • +2
        В Opera отображаются корректно оба домена и сертификата.
    • +3
      в сертификате написано ж)
      www.free-lance.ru
  • +24
    Глобальные переменные в проекте на PHP в 2015-м году.
    Говорите что хотите, но эти люди заслужили подобный исход.
    • +8
      легаси же
      • +7
        Я даже из своего говн^W легаси выкинул глобал весь, хватит уже некрофилией заниматься.
        • 0
          Мне кажется, если код уже сильно на них завязан, то не выкинешь.
          • +9
            Мне кажется, что если код сильно завязан на глобальных переменных, его надо выкинуть, и переписать проект заново.
            Тащить за собой это проклятье четвёрки — самоубиство, маразм и гимн лени в одной куче.
    • 0
      Контейнеры же!
  • +6
    Очень вероятно, что БД тоже слили, так как в конфигах есть пароли к ней

    Если взломщик конечно не почистил конфиги перед тем, как выкладывать в публичный доступ
    И БД на том же хосте, что и скрипты, что тоже эпичненько, если опять же, исходники не были модифицированы
    • +7
      вы еще в .htpwd гляньте :)
      • 0
        Пароль от логина viktor — juni0r
    • 0
      БД не слили, писали же.
      Просто большие объемы, слить не получилось.
      • 0
        Или просто не хочется светиться, Или садиться надолго.
  • +23
    вангую, что если бы им просто написали об уязвимости, то эта контора не только бы спасибо не сказала, а начала грозиться судами и т.п. у них вообще есть контакты куда об уязвимостях писать?
  • +8
    RewriteCond %{HTTP_REFERER} ^http://project/users/[^/]+/[^\.]+\.swf$
    RewriteRule ^(.*)$ /xui.php [L]
  • +4
    Для истории и справки.
    $ cloc fl-ru-damp/
        4260 text files.
        4172 unique files.
         238 files ignored.
    
    http://cloc.sourceforge.net v 1.62  T=33.11 s (120.4 files/s, 26810.1 lines/s)
    -------------------------------------------------------------------------------
    Language                     files          blank        comment           code
    -------------------------------------------------------------------------------
    PHP                           2668          68478          82864         368974
    Javascript                     714          34697          34444         163967
    CSS                            313           7765           1411          69765
    HTML                           152           1610            755          24951
    XSLT                            17           1272           2451          10235
    Smarty                          69            562            154           7655
    XML                             38            222             18           4291
    XSD                              2             18             32            498
    SASS                             2             19             23            205
    make                             2             34             27             80
    JSON                             2              0              0             57
    Bourne Shell                     2             14              6             48
    YAML                             2              4              0             40
    Perl                             1             15              4             39
    Visual Basic                     1              0              0             21
    -------------------------------------------------------------------------------
    SUM:                          3985         114710         122189         650826
    -------------------------------------------------------------------------------
    
    • 0
      А что ваша картинка обозначает?

      количество кода и комментариев в файлах?
      • 0
        Да, в том числе. Это вывод утилиты CLOC.
        • –8
          жестоко.
          комментарии: код грубо 1: 5

          Когда изучал дизайн, то там говорили: «Если к вашему дизайну (продукту) нужна большая инструкция (или инструкция вообще), то ваш дизайн — говно».
  • +5
    Почему у него мой аватар?
    • 0
      :)
    • +1
      Это подстава :D
  • +7
    Не удивительно почему их взломали, исходники отвратные
    • +7
      «Да оставляй так, все-равно никто не узнает!» (с) парадигма fl.ru
      • +25
        Местами можно узнать )
        if ($_GET['to'] != null) {
        $sql = «SELECT u.uid, u.email, u.login, u.uname, u.usurname, u.subscr, usk.key AS ukey FROM users AS u LEFT JOIN users_subscribe_keys AS usk ON usk.uid = u.uid WHERE email = '{$_GET['to']}'»; // TEST!!!
        }


        // TEST!!! — спаси и сохрани
        • +2
          Тест защитит от всех sql инъекций, чудесно. Странно что их только сейчас взломали.
          • +7
            Хорошее покрытие тестами.
  • 0
    Я немного пошарился, и так понял, что это не рабочая версия сайта, а какае-то бетка. Может с машины разработчика. Везде фигурирует слово beta. Не факт, что будет полное или частичное совпадение с рабочей версией.
    • +1
      Думаю, даже с беткой общая логика и суть ясны, скорее всего исходники имеют много общего с текущей версией сайта.
    • +1
      Судя по стабильности работы, количеству багов и количеству всякой хрени, которую они в последнее время «улучшают и расширяют функционал» (кому кроме них нужен этот функционал, если то, что просят фрилансеры-заказчики они не слышат и не делают?) — это может быть и вполне дамп с текущего рабочего сервера :)
    • +29
      We call it «beta», because it's «beta» than nothing
    • +3
      Движок действительно настоящий. Посмотрел и нашел свои строчки кода и комментарии

      dou.ua/forums/topic/14407
      • +4
        Оказывается, dou.ua заблокирован Роскомнадзором в соответствии с решением суда Самары. Сильно удивился, когда прошёл по ссылке и увидел заглушку…
        Вот уж действительно, в наше время без VPN никуда. Реестр запрещённых ресурсов так разросся, что на блокировку натыкаешься теперь чуть не ежедневно.
        • +3
          dou.ua заблокирован, github периодически блокируется, web.archive блокируется время от времени, lurk выпилили, nasper закрывает часть направлений бизнеса в рф, в частности аукцион molotok.ru с 20-го августа, fl.ru взломали и выложили код на github последовательности в действиях роскомнадзор не наблюдается. действуют как по книгам пелевина.
          интересно, что вообще останется в рунете в 2017 году?
          • 0
            Lurk закрыли? У меня на МТС и Ростелекоме работает
            • 0
              • 0
                Да, но его не закрыли.
                • 0
                  Нет, его закрыли, есть предписание и оно не устранено. И не будет. Потому что предписание конфликтует с 29-ой статьей Конституции РФ и Международной конвенцией которую РФ ратифицировало. Таким образом надо не предписания Роскомнадзора выполнять, а следовать букве закона более верхнего порядка. А так как все наше сегодняшнее законодательство это большой сборник взаимоисключающих параграфов то на мой взгляд будущее рунета туманно. Через год два мы можем уже не увидеть его в том виде в котором он есть сейчас. У большинства провайдеров сайт не открывается. Если непосредственно у вас он открывается, то это не отменяет того что у большинства сайт прикрыт по решению Роскомнадзора.
                  • 0
                    МТС и Ростелеком это все-таки дофига в плане абонентов. Но печально, да.
                    • 0
                      Да, наверное, но у меня какой-то там никому не известный региональный Sunlink и тот заблокировал. И теперь когда мне нужно найти точную цитату «когда они пришли», а гугл меня при этом перекидывает на лурк, то я должен взять и переключиться на проксю не то немецкую не то американскую, и только лишь после этого скопировать эту цитату. Постоянно сидеть под squid смысла не вижу, скорость падает. Но и это цензурное самодурство конечно не от большого ума.
                      • 0
                        Вы не поверите. У меня никому не известное интернет-кафе в республике Калмыкия, и то получаю регулярные наезды на то, чтобы своими силами блокировать эти ресурсы. Хотя я получаю инет от Ростелекома, который и так уже все заблокировал.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      пока дыру не закроют луче не запускаться)
      • +1
        Думаю, что исходники уже изучаются на предмет поиска других дыр.
  • +1
    Таки поняли, что до 02:00 проблему они не исправят.
    • +4
      они ведь не сказали, до 02:00 какого дня (и месяца, и года), хехе
  • +21
    Специальная акция по переходу на опенсурс и правок с помощью комьюнити?
  • +7
    Правду скажу — вообще не удивлен… Я не раз писал им о их уязвимостях… В ответ или игнор или отписки (Типа все ОК).
  • –10
    Не удивлюсь, если их еще и шантажировали перед взломом. Хакеры обычно ничего просто так не делаю.
    • –6
      Чаще всего самоутверждаются, ну и естественно зарабатывают
    • +12
      «Избавьтесь от говнокода и 100000$ или хуже будет»?
    • +12
      Тут скорее можно предположить, что им написали об уязвимости, а в ответ получили порцию отборного мата плюс угрозы. К сожалению, вполне типичная ситуация для многих компаний.
      Кажется, давно уже пора проводить специализированные курсы и семинары для менеджеров на тему "почему посылать на три буквы сообщившего об уязвимости — не самый удачный из маркетинговых ходов".
    • –1
      Ох уж эти хакеры!
    • +1
      Ну по себе скажу — не раз «Взламывал» (Находил серьезные уязвимости и баги) на том же Webmoney — я им просто предоставлял всю информацию о уязвимостях и они уже с благодарностями мне $Пасибо выписывали. Думаю fl.ru хоть и пофигисты, но понимают что выгоднее заплатить Хакеру и исправить уязвимость, чем потерять клиентов.
    • –1
      Видимо минусуют хакеры.
  • +3
    А куда теперь все пошли? клиенты и исполнители
    • +5
      roem.ru/26-05-2015/196230/voropaev-start-rubrain

      «26 мая в 15:06
      Сооснователь free-lance.ru (fl.ru) Василий Воропаев, продавший свою долю в сервисе два года назад, запускает новый сервис для фриланс-заказов Rubrain ...»

      Возможно эти два события связаны друг с другом, кто знает.
  • 0
    Интересно, если там была слита и ещё и рабочая база, могут ли работодатели/исполнители собираться и писать на fl коллективные иски?
    • 0
      Это будет возможно только тогда, когда появится сама эта база на просторах сети, платно или бесплатно. А так никто в этом не признается.
    • 0
      Иск о чем? Название статьи из кодекса, плиз?
      • +6
        Ну, например, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» Статья 24. Ответственность за нарушение требований настоящего Федерального закона

        2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
        • +4
          А если еще и международный иск — пользователи то с разных стран… ой-йо-йой…
  • 0
    Буквально наверное месяца два назад или чуть более.
    В районе 2.00 ночи появилось два проекта, нецензурные выражения в заголовке и тексте.
    Ночью эти проекты провисели достаточно долго.
    На один из них народу даже «набилось» в кандидаты.
    Чую что между тем и сегодняшним событием есть связь.
  • 0
    Не знаю с этим ли связано, но с моего кошелька ЯД, который был привязан к fl.ru в воскресенье увели некоторую сумму.
    Пароль там не самый простой был, да и везде стоят антивирусы.
    • +1
      Делайте привязку к телефону.
  • 0
    Тем временем сайт заработал снова.
    • 0
      Видимо закрыли какую-то очевидную дыру, и сразу же запустились. Знать бы, сколько еще этих дыр осталось
      • +16
        смелые ребята
        • +1
          Учитывая их, может они даже не догадываются о том, что исходники уплыли?:)
          • +3
            как это не догадываются, в статье же написано :)
            а если вдруг они хабр не читают, то поделом
            • +55
              — «Ребята! Нас хакнули! Сайт лежит! Что делать?!»
              — «Бегом на хабр, там уже наверняка есть описание проблемы и её решение!»
    • +2
      <наивность> Ждем, может они скажут чего интересного или важного </наивность>
    • +1
      Никто ещё не изучил код рядом с grep -rn '$_GET'?
    • +1
      Заработал, только нет ни одного конкурса, и «сообщества» не работают.
      Я до сих пор не могу понять, как администрация сайта в такой ситуации может молчать и не делать никаких заявлений.
  • +4
    Очень удивлен был, что один из самых популярных фриланс сайтов имеет столько дыр, видимо админы слишком увлеклись заработком монеток что а забыл пятачки закрывать после обнов. Вот и наказание
  • +3
    Я удивлён, что fl ещё жив и работает. После всех их фейлов и утечек данных. И ведь, кто-то даже продолжается пользоваться их услугами.
    • +3
      Они не особо то афишируют свои фейлы, а Хабр не каждый пользователь читает.
  • +5
    А где теперь все фрилансеры обитают?
    • –1
      freelancer.com :)
  • +4
    Некий комментарий сообщает, что проблема была в открытых портах.
    Там ниже по треду есть ужасающие конфиги nginx`а
  • +14
    смс-ки шлют :)

    • +15
      Ух, сколько людей сейчас напряглось — и не от SMS, а от индикатора заряда в углу.
    • +5
      А вот и последствия. Вообще конечно смех сквозь слёзы!
      • +30
        smsmarket гениален. По http протоколу открытые логины с паролем и никаких хэшей… они нашли друг друга…
  • +7
    Отличный комментарий в коде статистики:
    // Удаляем данные из stat_hourly где _time < D - 1 (оставляем только сегодня и вчера). Ошибка, ну и хрен с ней, потом удалятся.

    И ещё там же:
    Получится нулевая доля... Хреновато. Или наоборот в праздник какой-нить ненормально много народу набежало. Правда, вряд ли они именно из каталога полезут...
  • +1
    За что боролись, на то и сели

    image
    • 0
      А ведь сейчас можно слить все деньги с кошелька WM… Если это ещё не сделали.
      • 0
        Вряд ли. Там телефон должен быть привязан.
        • 0
          А жаль. Думаю, вывод средств с кошелька стимулировал бы работу. Причем, как хакера, так и команды FL.RU :)
      • +2
        Пароль, думаю, изменили перед слитием исходников в сеть.
        • 0
          вполне возможно, ключей самих там точно нет
  • +4
    Не работал на этой бирже, но судя по комментариям к последним новостям из рассылки, администрация жестко там насиловала на материальные взносы и фрилансеров, и заказчиков. Оставалось только ввести плату за каждое сообщение.

    В последней рассылке читал, что даже размещение больше Х (небольшая цифра) заказов в день/неделю уже было платным.

    И сам дизайн и удобство сайта было так себе.
    • –7
      • 0
        Слишком тонко
        • 0
          Это к чему было сказано в контексте изображения?
      • +1
        Можете, плиз, пояснить смысл картинки? Я не очень понял. Трудно спутать облако с самолетом.

        П.С. Под «не работал» имел ввиду, что не брал заказов.
        • +1
          Имелось ввиду, что все пользователи, оставившие здесь порядка 150 комментариев, в курсе тех очевидных вещей, которые вы описали в своём комментарии.

          Без обид, но вспомнил капитана очевидность. Кстати, тут подробнее о нём (самому история интересна стала =) )
          • +1
            Я знаю, кто такой кэп. Просто не понял последнего мата на картинке. А точнее в чем его смысл по отношению к моему комменту )
    • 0
      Когда-то там было хорошо году в 2007-2008 примерно. Но потом жажда денег все загубила. Началось все с ограничений ответов тем кто без PRO, потом была платная СБР. Ну а потом просто количество заказов стало настолько минимальным, что не стало смысла там обитать. Не знаю кто там хотел больше всех денег, но ресурс превратился в непонятно что. Последний заказ оттуда взял в конце 2012 года.
      • 0
        А я только там и обитаю. Конечно подобные фейлы очень напрягают. Но где еще можно найти такое гигантское количество заказов в рунете, я просто не знаю.
  • +1
    Ё… Таким кодом можно даже нубу глаза высверлить ко всем чертям! Разочарован, откровенно говоря. И это на `самой известной фриланс-бирже России`.

    В большинстве файлов мешанина. Если такое хотя бы редизайнить, это будет тихий ужас. Последний раз я такое видел на «плеер-ру». Только там хоть в половине случаев код был сносным. А здесь на каждый чих гора кода. Намешано всего и сразу. Рядом могут соседствовать современный класс и код под «четвёрку». Обнаружены следы Yii. Много чужого кода. В общем сборная солянка. Впрочем мало удивительно, если учесть, что проекту много лет. Налицо ярчайшая иллюстрация того, к чему приводит неграмотное проектирование в начале жизни проекта. Похоже на дом в трущобах, этажи которого надстраивали много лет над обычной избушкой.
    • +1
      А достраивали следующие этажи, скорее всего, другие фрилансеры.
  • –2
    Мне непонятно, как эти сайты ещё живы то?

    Намного проще найти заказчика или исполнителя, просто ища через поисковики, или пересматривая вакансии или резюме на разных сайтах — та же яндекс.мойкруг и т.п.

    А ещё выгоднее — общаться и искать среди знакомых и друзей. Или на тематических форумах. Или на том же хабре.
    • +5
      Вы фрилансер (работаете как фрилансер)? Вы ищите заказы через друзей и знакомых?
      Как " через поисковики" найти заказ я не представляю.
      • +1
        Заказы сами находят фрилансера, благо сейчас жуткий дефицит хороших специалистов.
        • 0
          Каких специалистов. На том сайте на две буквы таких уже не было. По тому что социальные сети и целых 10 000 р. «Гуляй рванина я плачу!» — вещи несовместимы.

          Тех заказчиков, которые не с улицы их всегда было не так чтобы как рыбы в пруду. Но ваша правда тот человек что с опытом себе найдет достойных проектов.
    • +2
      Совершенно не соглашусь по поводу — общаться и искать среди знакомых и друзей.
      Брать заказ у знакомых/друзей/родственников, зачастую себе дороже.

      Проще использовать сервисы ТМ / linkedin / hh

      upd.
      Как писал выше, фрилансом давно не занимаюсь, теперь работаю только командой.
      • 0
        согласен.
        наверное, под друзьями я имел в виду всё же какой-то общий круг знакомых профессионалов и команду =)
  • +1
    Кто-то из гуру мог бы сделать разбор полетов в плане кода сайта.

    Думаю, что многим было бы интересно. Мне как новичку в программировании очень.
    • +3
      Разбор кода нужно делать на хорошем коде, а не на плохом, чтобы узнавать трюки, паттерны и т.д. От знания «вот так — не надо» сильно лучше новичкам не станет.
      • +2
        Если показывать только как надо, то как понять, что кое-что не нужно делать? Иногда нужно пояснение и на плохих примерах
        • +1
          Опыт — он сын ошибок трудных. Только поглядев на разбор хорошего кода и на свой, уже написанный тоннами, можно понять, что и где не так. А через годик повторить.
    • +1
      Даже не надейтесь. Это адская работа — понять как устроен движок, а потом искать в нём ошибки (которые не ищутся обычным grep'ом).
      Если показывать только как надо, то как понять, что кое-что не нужно делать?
      Очень просто, следуя из первого выражения. Когда Вы знаете хорошие приёмы написания кода, то плохой видно сразу.

      Если хочется смотреть на код, а не читать книги — добро пожаловать на Github, где десятки проектов с хорошим кодом.
      • 0
        я же имел ввиду суперглубокий анализ. fl.ru даже не достоен этого

        но вас понял
      • –1
        > Когда Вы знаете хорошие приёмы написания кода, то плохой видно сразу.

        Я вполне уверен, что все думают, что пишут код почти идеально (как минимум, знают как надо).
        А все эти ваши «приёмы» — это усложнение на ровном месте ©

        Это я к тому, что тыкать носом в «типа хороший код» с объяснением — полезно. Или надо подождать пока ногу отстрелят, и сами придут за помощью (конечно не придут)

        > добро пожаловать на Github, где десятки проектов с хорошим кодом.

        и тысячи с плохим )
  • +2
    С фантазией у взломщиков туговато…
  • 0
    Интересно, исполнителей/заказчиков администрация хотя бы уведомит о взломе и желательности смены паролей? Или понадеются на то, что все читают Хабр, а кто не читает, тому и волноваться лишний раз не нужно?
    • +9
      если пользователи внесли предоплату за уведомления, то сообщат :)
  • +1
    Я так понимаю, большинство комментаторов не осознает, что fl.ru — это около 50-90% заказов на фриланс в рунете в зависимости от специализации фрилансера?

    Выбора особого что использовать нет, пока это монополист.
    • +3
      Пока монополист? Забудьте! Даже если и восстановятся, репутацию они себе подпортили.
      На мой взгляд, произошедшия ситуация должна решить проблему с тем, что использовать и основная масса заказчиков / исполнителей с fl сама подберет подходящий ресурс на приемлемых условиях. Главное конкурентам двигаться дальше верным курсом и продумать монетизацию, судя по критике в адрес fl, очень острая проблема.
      • +2
        Да уж сколько фейлов было со стороны fl! И что? Всё равно все сидят на нём, и очень сильно подсели
        • 0
          Те кто там все-равно сидят пусть лучше там и остаются, со своими «Тут работы на 3 часа я знаю по этому 300р. цену не задирать :)» или новыми мега-супер-пупер-проектами по 10 000р. за пачку.
          • 0
            Что правда, то правда. В последнее время, Fl.ru знатно пополнился крохоборами. А в качестве исполнителей — школота, да голодные студенты. 5 лет назад еще было сносно, хотя тож не особо. Единственный плюс от него был — это периодически относительно нормальные заказы от заков, которые находили меня по каталогу и напрямую выходили на разговор. А по основным заявкам — предложения за доширак.
            • 0
              За доширак верно говорите, причем люди там просто не адекватные были, сами бы хоть прикинули ставку, которую они людям предлагают. Грузчик в Москве и то больше заработает, да грузчик в провинции наверное получает поменьше, но и обучатся им особо не надо.

              Я помню как-то давно там видел проект, человек на серьезных щах, искал того кто ему сделает лендинг, чтобы обязательно с отдачей в 90% — не меньше :D. На лендинге должно было продаваться что-то с ценой в районе 15 000р. за экземпляр и при этом за лендинг платили 13 000р. Те. утрирую человек планировал одной продажей окупить все разом та еще чтобы осталось на морожено. Это даже если не брать в расчет цифру в 90%

              Тамошние перлы можно собирать в коллекции будут как анекдоты.
        • 0
          Правильно. Пользователи почти не пострадали. Чтобы пользователи отказались от fl.ru, с их счетов нужно слить все деньги, сканы паспортов и зарегать на них кучу всякого.
          • 0
            Этого тоже недостаточно. На место одного ушедшего придут десять новых.
            Нужен сильный конкурент, чтобы была альтернатива куда уходить недовольным и которые потянут за собой остальных исполнителей/заказчиков. А сильного конкурента нет.
            Все в чём-то недотягивают: либо мало возможностей, либо мало заказчиков/исполнителей. Сила fl как раз в этой огромной базе юзеров
      • +1
        А почему лично я как фрилансер должен перейти на другой сервис? Поймите, 90% моих заказов идут с fl.ru и до сих пор даже близко не появился сервис в рунете, который мог бы принести мне столько же заказов. Так что да, я обеспокоен, что их постоянно ломают, но пользоваться и дальше продолжу, так как тупо их некем заменить.
        • 0
          Извиняюсь, а параллельно нельзя работать на двух биржах, переходя плавно? Именно вы и делаете эту биржу бессмертной не смотря на все ее недостатки. Если все разом перейдут на другую биржу, то 90% ваших заказов будет уже с неё.
          • 0
            Несколько раз пробовал начать работать на odesk (сейчас upwork) Но это реально трудно. По совокупности факторов трудно. Менталитет, язык, конкурировать приходится с индусами, знание языка должно быть действительно на уровне, чтобы быть готовым по skype обсуждать детали, т.е. разговорный лучше. Так что остановился на том, что брал заказы из реальности, не с бирж, в своем регионе. С 2012 года до 2015 делал клиентам из своего региона по сарафанному радио. Но сейчас в 2015 стало весьма тоскливо с изменением ситуации в целом. Клиент как бы зажал бюджеты.
            • –2
              Аналогично пытался работать с одеском. Но тупо конкурировать с индусами у меня не получилось, они постоянно сбивали цену. А вот на fl.ru я обычно нахожу заказ просто щелкнув пальцами, реально очень легко. И спрашивается почему я их должен хоронить?
              • 0
                На fl.ru было очень много заказов поправить вот тут за 500 руб. или сделать как в IE за 1000 руб. Если нет постоянного «длинного» заказа, можно было тысяч на 5000 надергать такой вот мелочью. Раньше, когда брался за все подряд, там мог очень много таких заказов забрать. Были и сайты вроде вот этого prezi-dent.ru за большие деньги. Этот заказ я взял с free-lance.ru как раз это был последний заказ. Сумму не буду называть. Сейчас мне все это надоело, я плюнул на эту биржу, и работаю только напрямую с клиентами. Конечно тут больше уже интересна не непосредственно разработка, а контекстная реклама, ведение клиента. Это уже немного другое.
                • 0
                  Согласен, каждому свое. Я обычно за совсем мелкие заказы не берусь, а начинаю с заказов тысяч за 30, их там навалом тоже.
              • 0
                А и не надо конкурировать с индусами — они лезут десятками абсолютно во все проекты. На одеске вполне есть нормальные и адекватные люди. Кроме того, там очень удобная категоризация по бюджету: дешевые проекты, средние, дорогие и выше (видел ставки до $100 в час) — так что найти проект, подходящий по бюджету и трудозатратам вполне можно.
                • +1
                  Спора нет. Но в это нужно погрузиться серьезно. Порог входа точно не для среднестатистического фрилансера с fl.ru
                  • 0
                    На самом дело вполне реально для нормального фрилансера.
                    Под «нормальным» понимаю достаточный опыт фриланса в целом и достаточный опыт в своей специализации.
                    Реально необходим только более-менее нормальный письменный английский, без этого будет сложно. С разговорным английским конечно будет комфортнее и больше доступных заказов, но он не является необходимостью.
                    С индусами конкурировать не нужно, Азия — сама по себе, Восточная Европа — сама по себе, это разные категории фрилансеров, работающие с разными категориями заказчиков.
                    Это из личного опыта. Я — среднестатистический фрилансер с fl.ru. Просто пришел на odesk и начал оставлять заявки. Все как на обычной бирже — несколько дешевых заказов, первые отзывы, потом уже не проблема брать нормальные проекты, приходят приглашения в проекты и т.д.
                    • 0
                      Возможно все так. Просто у каждого свой опыт, и мне с odesk было сложно. Заявки оставлял, а откликов нет. Анализируя тех, кто оставлял заявки, я увидел что большой поток именно индусов. Возможно просто более серьезно надо было этим заниматься, я же просто переключился на что-то другое.
          • +1
            Но зачем мне это делать? Их сервис меня полностью устраивает. Да, я когда-то тоже от них уходил, когда они запретили контакты в сообщениях передавать. Но они давно такой херней не страдают. Каких-то личных приватных данных у меня там нет, поэтому мне лично как-то по барабану ломают их или нет, как бы я ничего с этого не потеряю. Так что если всё устраивает и куча заказов, то зачем мне переходить на другой сервис? Поэтому меня всегда удивляет, что на хабре постоянно хоронят fl.ru. Пока там есть заказчики, я там буду сидеть, и думаю также считают многие фрилансеры.
            • 0
              Вы так тонко троллите, да?

              Если нет, то отдайте мне пароль от вашего аккаунта.
              • 0
                Совсем не троллю. На кой мне отдавать пароль?)
                • 0
                  Как на кой? Вам не жалко, а мне пригодится =)
            • 0
              Ждём форк. На каких-нибудь забугорных серверах.
            • 0
              Серьезно?
              Даже если злоумышленник воспользовавшись вашим акаунтом наберет предоплат в проектах, то вы ничего не потеряете?
              • 0
                На моей практике еще ни один заказчик не согласился работать со мной по предоплате))) Я не спорю, что безусловно такие взломы напрягают и я надеюсь руководство сервиса всё-таки примет меры.
            • 0
              Если вас все устраивает, это не значит, что это же справедливо для других.

              Человек сделал предположение, вы вправе не согласиться. Время покажет, что будет дальше.

              Лично для меня большим минусом стало то, что они не удаляют информацию из своих систем, а просто блокируют аккаунт.
              После многочисленных сливов это выглядит просто свинством.
              • 0
                Мне фиолетово справедливо ли это для других или нет. Я четко написал, что пока там есть заказчики, я там буду сидеть. Не будет заказчиков, буду искать другое пристанище.
                • 0
                  Перечитайте первый комментарий Invision70, на который ответили, там было про основную массу, а не про вас конкретно.
                  Мне точно также фиолетово, где вы будете сидеть и где у вас заказчики, я всего лишь хотел обратить внимание, что для других сервис может быть ужасным в то же самое время, когда для вас он идеален.
    • 0
      Нет, это не так. После 2012 года хорошие заказчики активно ушли искать фрилансеров по-старинке через связи.
      Ну, по крайней мере, я бы не рассматривал всерьез заказы до 50$
      • 0
        Ниже 50$ — это новички и копирайтеры. Так как и первых и вторых много такие цены и популярны.
  • +5
    Знаете что странно, СМИ до сих пор молчат. Хотя будь то утечка мейлов Яндекса, лаги и тормоза ВК, всегда на первых полосах.
    • +1
      Адик давно уже даже не близко VK.
    • +1
      Вы код видели? На dou.ua люди пишут, что с 2004 года код не переписывали, даже находят свои куски. Вы реакцию компании видели? Реакция такая, как будто ничего не случилось. То есть нет официальной реакции. Тут или нет PR службы или она не считает нужным реагировать. Имеет ли смысл с такой компанией сотрудничать и иметь какие-то дела? Думаю что нет. Сотрудничество по схеме вы нам должны деньги, а мы вам должны ничего это что-то вроде мазохизма.
  • 0
    Вот вроде бы должен желать позлорадствовать, поглумиться над очередным эпикфейлом порядком зажравшихся хозяев «Адика»…
    Но сколько уже можно пинать эту мертвую лошадь. Цены задрали. Команду разогнали. Даже активных блоггеров с площадки погнали.

    150 рублей. Ровно столько с этого момента, на мой взгляд стоит их PRO аккаунт. Это та сумма, которую я готов пульнуть на ветер, даже не задумываясь. Да и 900 не много, но им будет жирно.

    Пусть мучаются, отрабатывают бабло, что собирают у наивных клиентов.
  • 0
    github.com/veryEvilMan/fl-ru-damp/blob/master/search/index.php#L33 coding LEVEL 80. А мне совесть не позволяет так делать.
  • +2
    Кто-то понял "Personal Home Page" в буквальном смысле.

    Напомнило:
    Под капотом самых критичных программ, которые вы используете на ежедневной основе (Mac OS X или Facebook) содержится ужасное количество хаков и костылей, которые с трудом уживаются друг с другом. Это как если бы вы разобрали боинг 747 и увидели, что топливопровод держится вешалкой для одежды, а шасси смотаны изолентой.

    © habrahabr.ru/post/263703/

  • –3
    Интересно, а появится ли форк? Например, на украинских серверах, с украинским юрлицом и украинскими создателями. Хотелось бы посмотреть, как fl.ru попробует предъявлять им претензии!
    • +4
      делать форк унылого говнокода? простите, зачем?
      • +1
        Во-первых, некоторые форки делаются, «потому что можем». Целесообразность и жизнеспособность — вопрос отдельный, но сам факт был бы примечателен.
        Во-вторых, чтобы фрилансерам было, куда бежать. Я не верю в неслитую базу, и если там пароли хранились хэшированными, то, может быть, есть шанс эту базу на первых порах задействовать и в предполагаемом форке — разумеется, настоятельно рекомендуя сменить. Иначе говоря, почти идентичная исходной площадка уже с потенциальной аудиторией, сильно близкой к переходу в «кинетическую».
        В-третьих, пулл-реквесты-то уже пошли, отмечают выше. От нас, линуксоидов, всего можно ожидать!
        • 0
          относительно недавнее мое шерстение odesk'a вызвало улыбку проектами вроде «социальная сеть за 100 баксов *(на вордпрессе)» и «убийца headhunter'а за 300», так что видимо, я знаю, куда перебралась часть заказчиков.

          А так — после такого «анализа» «кода», я бы сто раз подумал:
          а) хочу ли я «это» использовать в продакшене.

          б) хочу ли я вливать тонны денег в разработку и рекламу еще одного odesk'а, даже имея готовый алгоритм для написания биржи с чистого листа нормальными программистами.

          в) ну и понимание, как этот рынок работает, как его можно монетизировать, так чтобы не повторять сомнительный опыт fl.

          Это так, пару вопросов на вскидку, не учитывая стоимость железа и его обслуживания — вроде бы stackoverflow работает в одной стойке на технологиях Microsoft'a, судя по статьям в инете.
  • 0
    Всегда удивлялся, как эта биржа ещё жива, может для программеров и дизайнеров этот портал и популярен, но для инженеров совершенно бесполезен, все заказчики совершенно не разбираются в предмете, просят каких-то фантастических вещей за смешные деньги. Пару раз пробовал там искать заказы, но всё безуспешно.
    • 0
      Для программистов ситуация точно такая же)
  • 0
    Вопросы по рефакторингу и переписыванию движка поднимались еще 8 лет назад.
    Ностальгия. Это так мило, видеть, что со временем ничего не меняется.
  • 0
    А ведь не залочили даже пользователей, которые пароли не сменили. По идее надо было им принудительно заставить пользователей пароли поменять. Ох уж это их «Авось»…

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.