Обсуждение Бэкдор в NoNumber от создателя

[Omny]

Трындец, не понимаю логики тех, кто это сделал. Ну удалил они контент, написали "Pirate Software", а толку то?
Может это сам автор расширения выкладывает такие версии в свободный доступ, чтобы потом те, кто пострадает купили у него уже нормальную версию?

 

[kolio]

тоже думал об этом
возможно такой версии не было вообще так как только бекдорные попадались на глаза именно с этой версией

но главнее еще вот что: то, что там был бекдор это понятно и они знали как удалить контент, но ведь они как-то узнали на какой сайт был установлен этот архив
я не изучал эту тему, но как вариант при установке:
1. был удаленный вызов процедуры на удаленном сайте - для пометки
2. был подгружен какой-то файл (даже фотка) с удаленного сайта и по логам вычислили какие ip дергали эту фотку (для примера)
3. может при открытии сайта постоянно куда-то стучало из плагина (там ведь был код onAfterRoute)

это одному из юзеров попался с часовым
а мне попался с командной строкой, если в url есть doCamelcase то удаляло контент

 

[Android]

Трындец, не понимаю логики тех, кто это сделал. Ну удалил они контент, написали "Pirate Software", а толку то?
Может это сам автор расширения выкладывает такие версии в свободный доступ, чтобы потом те, кто пострадает купили у него уже нормальную версию?

А ты бы купил, что-то у того кто зафигачил тебе сайт? Однозначно репутация такого разработчика в глазах клиента бы постарадала. К томуже это незаконно уничтожать контент сайта, даже если используется нелицензионное ПО (что в случае с джумлой практически недоказуемо), а вот создание таких бекдоров попадает под нарушение закона.

 

[Taipan]

Не знаю, как сейчас, но года три назад в NoNumber Framework была дыра, через которую под видом апдейта можно было получить всякую фигню от злоумышленников. Я даже сохранил часть обсуждения по этому поводу на форуме самого NoNumber в 2013 году:

"We recently discovered one of our websites was hacked. A search through the directories revealed three harmful scripts. images/j.php, images/jos_bvsk.php, images/jos_nk9z.php. These scripts contained a shell-script. They could literally 'open' any and all files on our website. They had FULL access, to do whatever the hell they wanted to do. The NoNumber framework is the only extension we use, which uses the variable nn_qp. I quote:
loadajax: function(url, succes, fail, query) {
if (url.substr(0, 4) == 'http' || url.substr(0, 4) == 'Для просмотра ссылки Войди или Зарегистрируйся.') {
url = url.replace('Для просмотра ссылки Войди или Зарегистрируйся', '');
url = 'index.php?nn_qp=1&url='+escape(url);
}
var myXHR = new XHR({
onSuccess: function(data) {
if (succes) {
eval(succes+';');
}
},
onFailure: function(data) {
if (fail) {
eval(fail+';');
}
}
}).send(url, query);
}

This is javascript. I don't quote understand how they managed to upload PHP files using javascript: I always thought it was impossible. But the logs and Для просмотра ссылки Войди или Зарегистрируйся speak for themselves: THEY DID. Even the latest version of the NoNumber Framework has this exact same piece of code. I checked".

Часть текста я убрал, чтобы не загромождать топик. В-общем, лично я с опаской отношусь к продукции этого разработчика.

 

[Omny]

А ты бы купил, что-то у того кто зафигачил тебе сайт? Однозначно репутация такого разработчика в глазах клиента бы постарадала. К томуже это незаконно уничтожать контент сайта, даже если используется нелицензионное ПО (что в случае с джумлой практически недоказуемо), а вот создание таких бекдоров попадает под нарушение закона.

Я бы не купил однозначно. Но у людей какая логика: меня взломали, наверно от пиратского софта, придётся теперь этот софт покупать. Я думаю на это был расчёт.

 

[a_MeR]

Если у вас подобная проблема, то перед восстановлением сайта замените следующие файлы на аналогичные из более старых версий плагинов от NN (например, из advancedmodule pro 4.8.2) :
plugins\system\nnframework\helpers\licenses.php
plugins\system\nnframework\nnframework.php

Если не заменить, тогда удаление контента автоматически повторится опять.