Перейти до

Релиз АСР системы ABillS 0.7x


Рекомендованные сообщения

  • Відповіді 171
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Точно так же, как у многих по 10 лет стоит abills 0.5x. Вопрос в количестве кастомизации и просчитаных вариантах конфигурации. abills гибче, но из-за этого все варианты просчитать невозможно, некотор

А чому ви так боїтеся показати безпосередньо розробникам? Плануєте експлуатувати цей баг надалі в комерційних цілях?

примеры в студию

Posted Images

+1 хром та ІЕ ламаються шрифти в демці

В IE все ломается :) .

По демке: у одних пользователей нормально отображается, у других - нет

Ссылка на сообщение
Поделиться на других сайтах

 

+1 хром та ІЕ ламаються шрифти в демці

В IE все ломается :) .

По демке: у одних пользователей нормально отображается, у других - нет

 

попробовал сейчас на деме на хроме - вроде тоже не рвет нигде:

QycO8iKn.jpg

Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...

Предположим, что я юзаю платный Абиллс.

Если разрешу Zibube взломать мою базу - разработчик будет утверждать, что мы в сговоре с Zibube.

Кроме того,  ~AsmodeuS~ не захочет в будущем платно "решать" мои проблемы, или платно проапгрейдить версию, продать модуль....

 

Если кто-то не разрешит, а Zibube взломает - хозяин взломанной базы обидется как минимум.

 

Вопрос однозначно нужно решать. Но как?

Ведь конкурент может захотеть заглянуть в мою базу, и используя "метод" Zibube узнает много чего ненужного...

Случилось ЧП и без предварительного согласования с Zibube

А именно:

- вредитель "удалил" админов  - утратилась возможность управлять биллингом через веб-интерфейс

- вредитель "удалил" абонентов, или "затёр" пароли - не поднимаются pptp, пользователи не могут попасть в "кабинет"

- вредитель оставил без изменений пароли на операционку с биллингом

 

Уважаемый ~AsmodeuS~ вручную восстановил 80% юзеров, балансы и остальные важные данные...

 

ВОПРОС: как вредитель мог нашкодничать биллингу, не взломав пароль операционки?

Как избежать подобных ситуаций?

Відредаговано optimus.w.net
Ссылка на сообщение
Поделиться на других сайтах

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется. 

Ссылка на сообщение
Поделиться на других сайтах

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется. 

 

Тепер Асмодеус має логи. І якщо ін'єкція була через GET - то 99% інформації про вразливість. Якщо через POST - то 90% інформації (назву вразливого скрипта або урл по якому відслідкує обробник). Відповідно багу пофіксає.

 

Все так як здогадувався Зібубе

 

"залогировали, поправили, послали нах@р"

 

Треба була жертва... 1 штука :)

Ссылка на сообщение
Поделиться на других сайтах

 

Предположим, что я юзаю платный Абиллс.

Если разрешу Zibube взломать мою базу - разработчик будет утверждать, что мы в сговоре с Zibube.

Кроме того,  ~AsmodeuS~ не захочет в будущем платно "решать" мои проблемы, или платно проапгрейдить версию, продать модуль....

 

Если кто-то не разрешит, а Zibube взломает - хозяин взломанной базы обидется как минимум.

 

Вопрос однозначно нужно решать. Но как?

Ведь конкурент может захотеть заглянуть в мою базу, и используя "метод" Zibube узнает много чего ненужного...

Случилось ЧП и без предварительного согласования с Zibube

А именно:

- вредитель "удалил" админов  - утратилась возможность управлять биллингом через веб-интерфейс

- вредитель "удалил" абонентов, или "затёр" пароли - не поднимаются pptp, пользователи не могут попасть в "кабинет"

- вредитель оставил без изменений пароли на операционку с биллингом

 

Уважаемый ~AsmodeuS~ вручную восстановил 80% юзеров, балансы и остальные важные данные...

 

ВОПРОС: как вредитель мог нашкодничать биллингу, не взломав пароль операционки?

Как избежать подобных ситуаций?

 

backup наши все ?

Ссылка на сообщение
Поделиться на других сайтах

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется.

пару фактов о системе

- были повреждены системные таблицы базы

- бекап больше месяца не создавался до конца

- ну и самое главное потёрты юникс логи выборочно

- а сегодян заметил, что те файлы которые вчера открывал уже забиты на половину мусором

 

итоги думаю подведете сами

Відредаговано ~AsmodeuS~
Ссылка на сообщение
Поделиться на других сайтах

 

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется.

пару фактов о системе

- были повреждены системные таблицы базы

- бекап больше месяца не создавался до конца

- ну и самое главное потёрты юникс логи выборочно

- а сегодян заметил, что те файлы которые вчера открывал уже забиты на половину мусором

 

итоги думаю подведете сами

 

Где вы там логи увидели потертые выборочно ? Чойто вы не договариваете...... а вот база ваша ушатана. только ваша база совпадение ? и сервант повис от глюка перлового процесса билинга....  взлома системы по ссх не было, попытки да были миллион, но взлома не было. Как то странно выглядит упала только база билинга...  Проблем по диску нету, да и рейд там как бы если чо... 

П.С.

Посмотрев тот сервант для себя сделал ИМХО былинг дырявый. Сори за прямоту но факт есть фактом. А вот как быть владельцу этой сети, тут уже вопрос, попал на бабло 100% потому что похерилась база билинга, но это пол беды, вот что делать дальше хз.... 

Ссылка на сообщение
Поделиться на других сайтах

Как избежать подобных ситуаций?

 

Якщо є софт, який можливо має баги, впроваджуйте додаткові рівні захисту.

 

Якщо доступ "до адмінки" потрібен тільки вам (і обмеженій кількості працівників) розгляньте наступне:

1. додайте HTTP Basic Auth - потрібно буде додатковий логін і пароль, щоб просто побачити хоч щось. Недолік - брутфорситься. Але якщо використовувати логін не "admin", а щось складніше - має право на життя.

2. додайте автентифікацію по HTTPS user сертифікатах. Не ламається, але адмін має вміти прочитати man openssl і нагенерити сертифікатів раз в рік.

3. пункт 1 разом з пунктом 2. (Я вибрав такий варіант, наприклад, для одного з своїх веб сервісів)

4. інші варіанти типу VPN в інтранет і адмінка доступна тільки звідти.

5. інші *збочені* варіанти типу port knocking.

 

Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше.

Відредаговано major12
Ссылка на сообщение
Поделиться на других сайтах

 

Как избежать подобных ситуаций?

 

Якщо є софт, який можливо має баги, впроваджуйте додаткові рівні захисту.

 

Якщо доступ "до адмінки" потрібен тільки вам (і обмеженій кількості працівників) розгляньте наступне:

1. додайте HTT Basic Auth - потрібно буде додатковий логін і пароль, щоб просто побачити хоч щось. Недолік - брутфорситься. Але якщо використовувати логін не "admin", а щось складніше - має право на життя.

2. додайте автентифікацію по HTTPS user сертифікатах. Не ламається, але адмін має вміти прочитати man openssl і нагенерити сертифікатів раз в рік.

3. пункт 1 разом з пунктом 2. (Я вибрав такий варіант, наприклад, для одного з своїх веб сервісів)

4. інші варіанти типу VNP в інтранет і адмінка доступна тільки звідти.

5. інші *збочені* варіанти типу port knocking.

 

Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше.

 

все це супер, а що робити абонам які з мобільного інтернету хочуть зайти в кабінет ? HTT Basic Auth  кожному роздати логін і пароль? або впн ? я думаю краще таки код перевірити найти баги, випустити багфікс і вирішити цю проблему. 

Відредаговано FTTH_VN
Ссылка на сообщение
Поделиться на других сайтах

Див останній мій абзац. Халяви нема.

 

Я просто запропонував кроки, які може зробити власник/адмін мережі, без авторів біллінгу.

Ссылка на сообщение
Поделиться на других сайтах

Див останній мій абзац. Халяви нема.

 

Я просто запропонував кроки, які може зробити власник/адмін мережі, без авторів біллінгу.

див - "Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше." ????

 

нормальний крок, може просто написати 3.14здец.... 

П.С.

Халяви нема є, є нормальний білінг, а якщо десь там прогери натупили, що буває це ж люди, то треба моментально пофіксити все, а не писати кроки 3.14здец.  Тут якби просто питання, як брати гроші за білінг то є кроки, а як прийшов 3.14 то  ми вам запропонуєм кроки які може зробити адмін/власник мережі ? охерене вирішеня пробелеми.  Хлопці робіть багфікс і то в срочному порядку, а то просрете всіх клієнтів. у вас хороший білінг, але не доводьте до 3.14.ца... і не пишіть тут кроки бо чесно виглядаєте "глуповато" пропонуючи такі кроки. Ви краще запропонуйте як власнику мережі бути з абонплатами які похерилися? дайте крок на вирішення.  

Ссылка на сообщение
Поделиться на других сайтах

Воу воу воу. Палєхче. :)

 

Я біллінгів не розробляю, Асмодеуса бачив 1 раз більше 10 років тому і на перлоту вже років 5 теж не дивлюсь, навіть краєм ока.

 

Просто мимо проходив, а народ тут поради питає.От і описав що може бути помічного.

За темою слідкую, щоб побачити коли буде фікс, зробити діфф 2-х версій і проаналізувати для себе у чому була проблема.

 

Хоча в рамках 1 квітня можу запропонувати власникам/адмінам вчити перл

https://jobs.dou.ua/salaries/#period=dec2016&city=all&title=Junior%20Software%20Engineer&language=Perl&spec=&exp1=0&exp2=10

Медіана $650 - для новичка чудово, хоча підозрюю що там вся статистика базується на 1-й вакансії.

Ссылка на сообщение
Поделиться на других сайтах

Воу воу воу. Палєхче. :)

 

Я біллінгів не розробляю, Асмодеуса бачив 1 раз більше 10 років тому і на перлоту вже років 5 теж не дивлюсь, навіть краєм ока.

 

Просто мимо проходив, а народ тут поради питає.От і описав що може бути помічного.

За темою слідкую, щоб побачити коли буде фікс, зробити діфф 2-х версій і проаналізувати для себе у чому була проблема.

 

Хоча в рамках 1 квітня можу запропонувати власникам/адмінам вчити перл

https://jobs.dou.ua/salaries/#period=dec2016&city=all&title=Junior%20Software%20Engineer&language=Perl&spec=&exp1=0&exp2=10

Медіана $650 - для новичка чудово, хоча підозрюю що там вся статистика базується на 1-й вакансії.

Вибачте, мені здалося ви команди розробників. 

Ссылка на сообщение
Поделиться на других сайтах

то треба моментально пофіксити все

Да так и было :)

 

ми вам запропонуєм кроки які може зробити адмін/власник мережі

А вы хотели за оплаченный биллинг получить рабочие бизнес процессы? :)

 

Ви краще запропонуйте як власнику мережі бути з абонплатами які похерилися? дайте крок на вирішення.

Логи дорогуша, ЛО-ГИ!

 

В последних 0.7* вынесли paysys_check.log в отдельный "файлик" где без проблем можно восстановить вашу "историю" оплат.

 

 

P.S. есть два типа админов, которые ещё не делают бекапы ...

и есть третий тип: которые проверяют бекапы на развёртывание

Ссылка на сообщение
Поделиться на других сайтах

 

 

 

Как избежать подобных ситуаций?

 

 

Якщо є софт, який можливо має баги, впроваджуйте додаткові рівні захисту.

 

Якщо доступ "до адмінки" потрібен тільки вам (і обмеженій кількості працівників) розгляньте наступне:

1. додайте HTTP Basic Auth - потрібно буде додатковий логін і пароль, щоб просто побачити хоч щось. Недолік - брутфорситься. Але якщо використовувати логін не "admin", а щось складніше - має право на життя.

2. додайте автентифікацію по HTTPS user сертифікатах. Не ламається, але адмін має вміти прочитати man openssl і нагенерити сертифікатів раз в рік.

3. пункт 1 разом з пунктом 2. (Я вибрав такий варіант, наприклад, для одного з своїх веб сервісів)

4. інші варіанти типу VPN в інтранет і адмінка доступна тільки звідти.

5. інші *збочені* варіанти типу port knocking.

 

Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше.

 

дякую за пораду

 

LOrDGje.png?1

Ссылка на сообщение
Поделиться на других сайтах

 

 

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется.

пару фактов о системе

- были повреждены системные таблицы базы

- бекап больше месяца не создавался до конца

- ну и самое главное потёрты юникс логи выборочно

- а сегодян заметил, что те файлы которые вчера открывал уже забиты на половину мусором

 

итоги думаю подведете сами

 

Где вы там логи увидели потертые выборочно ? Чойто вы не договариваете...... а вот база ваша ушатана. только ваша база совпадение ? и сервант повис от глюка перлового процесса билинга....  взлома системы по ссх не было, попытки да были миллион, но взлома не было. Как то странно выглядит упала только база билинга...  Проблем по диску нету, да и рейд там как бы если чо... 

П.С.

Посмотрев тот сервант для себя сделал ИМХО былинг дырявый. Сори за прямоту но факт есть фактом. А вот как быть владельцу этой сети, тут уже вопрос, попал на бабло 100% потому что похерилась база билинга, но это пол беды, вот что делать дальше хз....

 

не дуже уважно читали, але я постараюсь вам пояснити ще раз і можливо ви мені поясните в чому тут проблема білінга. Розкажу по крокам все що відбувалось.

 

1 звінок клієнта "все пропало, мене взламали не можу зайти в адмінку і в кабінет абонентів"

2 дає пароль я захожу в команді last 2 записи, досить підозріло перевірили зразу на експлоіти, проксі та пройшлись по логу апача все чисто.

3 перевіряємо базу зразу побачили що є користувачі і паролі сходяться

4 попробували запустити пару програм для тестування зразу побачили crash таблиць

5 запускаємо myisamchk і отримуємо обнулені таблиці, попробували злити з таблиць без перевірки SELECT іде до певного місця і вивалюється

6 Вирішили відновляти з дампу так як видно було що дампи створюються кожний день

7 створюємо додаткову базу на що система каже таблиці mysql.proc та mysql.func пошкоджені

8 відновили їх

7 заливаємо дамп виявляється він неповний (причина п 4-5), таблиця з користувачами порожня

8 так як ABillS зберігає бекапи за останніх 30 днів, їх було перевірено і всі вони мали ту ж проблему

9 Знайшли дамп за 14 рік залили обнулені таблиці звідти, але там тільки половина користувачів

10 інших ми відновили з остаточних логів системи, а іменно з історії адміністраторів

11 наступного побачив, що деякі файли які створені попереднього дня були забиті сміттям з чого можна зробити висновок що є проблеми з вінчестером і треба провести його аналіз, про що проінформував власника

 

ps. система 0.55 поверх 4 років в автономній роботі без нашої підтримки

Ссылка на сообщение
Поделиться на других сайтах

 

Как избежать подобных ситуаций?

 

Якщо є софт, який можливо має баги, впроваджуйте додаткові рівні захисту.

 

Якщо доступ "до адмінки" потрібен тільки вам (і обмеженій кількості працівників) розгляньте наступне:

1. додайте HTTP Basic Auth - потрібно буде додатковий логін і пароль, щоб просто побачити хоч щось. Недолік - брутфорситься. Але якщо використовувати логін не "admin", а щось складніше - має право на життя.

2. додайте автентифікацію по HTTPS user сертифікатах. Не ламається, але адмін має вміти прочитати man openssl і нагенерити сертифікатів раз в рік.

3. пункт 1 разом з пунктом 2. (Я вибрав такий варіант, наприклад, для одного з своїх веб сервісів)

4. інші варіанти типу VPN в інтранет і адмінка доступна тільки звідти.

5. інші *збочені* варіанти типу port knocking.

 

Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше.

 

Мысли здравые. Еще бы вот это решить.

1.Получаем подсеть цели .

2.Сканим,

3.Ищем тплинк, длинк, *.

4.Попадаем внутрь сети.

5.Дальше в руки "швейцарский нож" и по накатаной через интерфейс юзера.

А  там печаль тоска...

 

 

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется. 

 

Тепер Асмодеус має логи. І якщо ін'єкція була через GET - то 99% інформації про вразливість. Якщо через POST - то 90% інформації (назву вразливого скрипта або урл по якому відслідкує обробник). Відповідно багу пофіксає.

 

Все так як здогадувався Зібубе

 

"залогировали, поправили, послали нах@р"

 

Треба була жертва... 1 штука :)

 

 

А вот это врядли. В ограниченное пользование пока ушли только "цветочки" и "рюшечки". .

 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від ~AsmodeuS~
      Розщеплення платежів
      В нашу систему додається підтримка нового функціоналу платіжних систем під назвою «Розщеплення платежів»
      Список систем:
      — Liqpay
      — Приват
      — Easypay merchant
      — Easypay provider (скоро)
      — Portmone (скоро)
      — City24 (скоро)
      — iPay (скоро)
      Список підтримуваних платіжних може бути розширено в майбутньому.
      Уже доступно в release 1.30.00.
      Підтримується з Paysys V4.
    • Від ~AsmodeuS~
      Новий модуль Power: облік роботи генераторів (http://abills.net.ua/wiki/display/AB/Power)
       
      Ми раді представити новий модуль Power, який дозволяє здійснювати облік та контроль роботи генераторів.
      Основні можливості модуля включають:
      — Типи генераторів: Перелік доступних типів генераторів.
      — Типи баків генераторів: Інформація про різні типи паливних баків для генераторів.
      — Типи сервісних робіт: Каталог доступних типів обслуговування та ремонтних робіт.
      — Статус генераторів: Моніторинг запусків, зупинок та інших дій з генераторами.
      Звіти:
      — Звіт заправок генераторів
      — Звіт запусків генераторів
      — Звіт обслуговування генераторів
      Цей модуль допоможе вам легко керувати генераторами та відстежувати їхній стан. Ви можете переглядати останні запуски, заправки та сервісні роботи для всіх генераторів на одній головній сторінці.
      Буде доступно в master 1.29.00.
       
       
       
    • Від ~AsmodeuS~
      PON  панель
       
       
    • Від ledemip
      Всем привет! Интересует вопрос покупки приложения ABillS Lite. Однако вопрос стоит в том как приобрести данное приложение и его поддержку, поскольку я сам гражданин РФ, но в настоящее время я нахожусь в Латвии, однако услуги интернета моя компания предоставляет на рынке РФ и зарегистрирована компания также в РФ.
       
      Однако, возможно ли какие-то варианты приобрести данное приложение? Платеж отправлю из Латвии, если такой вариант будет возможен, или в крипте.
       
      Я не в политике и действительно не восторге от всех этих событий, поэтому прошу вас очень, давайте по существу. Буду благодарен за любую помощь!
       
      Я использую ABillS v0.94.
      Мой телеграмм @ledemir556

×
×
  • Створити нове...