Jump to content

Релиз АСР системы ABillS 0.7x


Recommended Posts

  • Replies 171
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Точно так же, как у многих по 10 лет стоит abills 0.5x. Вопрос в количестве кастомизации и просчитаных вариантах конфигурации. abills гибче, но из-за этого все варианты просчитать невозможно, некотор

А чому ви так боїтеся показати безпосередньо розробникам? Плануєте експлуатувати цей баг надалі в комерційних цілях?

примеры в студию

Posted Images

+1 хром та ІЕ ламаються шрифти в демці

В IE все ломается :) .

По демке: у одних пользователей нормально отображается, у других - нет

Link to post
Share on other sites

 

+1 хром та ІЕ ламаються шрифти в демці

В IE все ломается :) .

По демке: у одних пользователей нормально отображается, у других - нет

 

попробовал сейчас на деме на хроме - вроде тоже не рвет нигде:

QycO8iKn.jpg

Link to post
Share on other sites
  • 3 weeks later...

Предположим, что я юзаю платный Абиллс.

Если разрешу Zibube взломать мою базу - разработчик будет утверждать, что мы в сговоре с Zibube.

Кроме того,  ~AsmodeuS~ не захочет в будущем платно "решать" мои проблемы, или платно проапгрейдить версию, продать модуль....

 

Если кто-то не разрешит, а Zibube взломает - хозяин взломанной базы обидется как минимум.

 

Вопрос однозначно нужно решать. Но как?

Ведь конкурент может захотеть заглянуть в мою базу, и используя "метод" Zibube узнает много чего ненужного...

Случилось ЧП и без предварительного согласования с Zibube

А именно:

- вредитель "удалил" админов  - утратилась возможность управлять биллингом через веб-интерфейс

- вредитель "удалил" абонентов, или "затёр" пароли - не поднимаются pptp, пользователи не могут попасть в "кабинет"

- вредитель оставил без изменений пароли на операционку с биллингом

 

Уважаемый ~AsmodeuS~ вручную восстановил 80% юзеров, балансы и остальные важные данные...

 

ВОПРОС: как вредитель мог нашкодничать биллингу, не взломав пароль операционки?

Как избежать подобных ситуаций?

Edited by optimus.w.net
Link to post
Share on other sites

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется. 

Link to post
Share on other sites

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется. 

 

Тепер Асмодеус має логи. І якщо ін'єкція була через GET - то 99% інформації про вразливість. Якщо через POST - то 90% інформації (назву вразливого скрипта або урл по якому відслідкує обробник). Відповідно багу пофіксає.

 

Все так як здогадувався Зібубе

 

"залогировали, поправили, послали нах@р"

 

Треба була жертва... 1 штука :)

Link to post
Share on other sites

 

Предположим, что я юзаю платный Абиллс.

Если разрешу Zibube взломать мою базу - разработчик будет утверждать, что мы в сговоре с Zibube.

Кроме того,  ~AsmodeuS~ не захочет в будущем платно "решать" мои проблемы, или платно проапгрейдить версию, продать модуль....

 

Если кто-то не разрешит, а Zibube взломает - хозяин взломанной базы обидется как минимум.

 

Вопрос однозначно нужно решать. Но как?

Ведь конкурент может захотеть заглянуть в мою базу, и используя "метод" Zibube узнает много чего ненужного...

Случилось ЧП и без предварительного согласования с Zibube

А именно:

- вредитель "удалил" админов  - утратилась возможность управлять биллингом через веб-интерфейс

- вредитель "удалил" абонентов, или "затёр" пароли - не поднимаются pptp, пользователи не могут попасть в "кабинет"

- вредитель оставил без изменений пароли на операционку с биллингом

 

Уважаемый ~AsmodeuS~ вручную восстановил 80% юзеров, балансы и остальные важные данные...

 

ВОПРОС: как вредитель мог нашкодничать биллингу, не взломав пароль операционки?

Как избежать подобных ситуаций?

 

backup наши все ?

Link to post
Share on other sites

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется.

пару фактов о системе

- были повреждены системные таблицы базы

- бекап больше месяца не создавался до конца

- ну и самое главное потёрты юникс логи выборочно

- а сегодян заметил, что те файлы которые вчера открывал уже забиты на половину мусором

 

итоги думаю подведете сами

Edited by ~AsmodeuS~
Link to post
Share on other sites

 

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется.

пару фактов о системе

- были повреждены системные таблицы базы

- бекап больше месяца не создавался до конца

- ну и самое главное потёрты юникс логи выборочно

- а сегодян заметил, что те файлы которые вчера открывал уже забиты на половину мусором

 

итоги думаю подведете сами

 

Где вы там логи увидели потертые выборочно ? Чойто вы не договариваете...... а вот база ваша ушатана. только ваша база совпадение ? и сервант повис от глюка перлового процесса билинга....  взлома системы по ссх не было, попытки да были миллион, но взлома не было. Как то странно выглядит упала только база билинга...  Проблем по диску нету, да и рейд там как бы если чо... 

П.С.

Посмотрев тот сервант для себя сделал ИМХО былинг дырявый. Сори за прямоту но факт есть фактом. А вот как быть владельцу этой сети, тут уже вопрос, попал на бабло 100% потому что похерилась база билинга, но это пол беды, вот что делать дальше хз.... 

Link to post
Share on other sites

Как избежать подобных ситуаций?

 

Якщо є софт, який можливо має баги, впроваджуйте додаткові рівні захисту.

 

Якщо доступ "до адмінки" потрібен тільки вам (і обмеженій кількості працівників) розгляньте наступне:

1. додайте HTTP Basic Auth - потрібно буде додатковий логін і пароль, щоб просто побачити хоч щось. Недолік - брутфорситься. Але якщо використовувати логін не "admin", а щось складніше - має право на життя.

2. додайте автентифікацію по HTTPS user сертифікатах. Не ламається, але адмін має вміти прочитати man openssl і нагенерити сертифікатів раз в рік.

3. пункт 1 разом з пунктом 2. (Я вибрав такий варіант, наприклад, для одного з своїх веб сервісів)

4. інші варіанти типу VPN в інтранет і адмінка доступна тільки звідти.

5. інші *збочені* варіанти типу port knocking.

 

Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше.

Edited by major12
Link to post
Share on other sites

 

Как избежать подобных ситуаций?

 

Якщо є софт, який можливо має баги, впроваджуйте додаткові рівні захисту.

 

Якщо доступ "до адмінки" потрібен тільки вам (і обмеженій кількості працівників) розгляньте наступне:

1. додайте HTT Basic Auth - потрібно буде додатковий логін і пароль, щоб просто побачити хоч щось. Недолік - брутфорситься. Але якщо використовувати логін не "admin", а щось складніше - має право на життя.

2. додайте автентифікацію по HTTPS user сертифікатах. Не ламається, але адмін має вміти прочитати man openssl і нагенерити сертифікатів раз в рік.

3. пункт 1 разом з пунктом 2. (Я вибрав такий варіант, наприклад, для одного з своїх веб сервісів)

4. інші варіанти типу VNP в інтранет і адмінка доступна тільки звідти.

5. інші *збочені* варіанти типу port knocking.

 

Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше.

 

все це супер, а що робити абонам які з мобільного інтернету хочуть зайти в кабінет ? HTT Basic Auth  кожному роздати логін і пароль? або впн ? я думаю краще таки код перевірити найти баги, випустити багфікс і вирішити цю проблему. 

Edited by FTTH_VN
Link to post
Share on other sites

Див останній мій абзац. Халяви нема.

 

Я просто запропонував кроки, які може зробити власник/адмін мережі, без авторів біллінгу.

Link to post
Share on other sites

Див останній мій абзац. Халяви нема.

 

Я просто запропонував кроки, які може зробити власник/адмін мережі, без авторів біллінгу.

див - "Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше." ????

 

нормальний крок, може просто написати 3.14здец.... 

П.С.

Халяви нема є, є нормальний білінг, а якщо десь там прогери натупили, що буває це ж люди, то треба моментально пофіксити все, а не писати кроки 3.14здец.  Тут якби просто питання, як брати гроші за білінг то є кроки, а як прийшов 3.14 то  ми вам запропонуєм кроки які може зробити адмін/власник мережі ? охерене вирішеня пробелеми.  Хлопці робіть багфікс і то в срочному порядку, а то просрете всіх клієнтів. у вас хороший білінг, але не доводьте до 3.14.ца... і не пишіть тут кроки бо чесно виглядаєте "глуповато" пропонуючи такі кроки. Ви краще запропонуйте як власнику мережі бути з абонплатами які похерилися? дайте крок на вирішення.  

Link to post
Share on other sites

Воу воу воу. Палєхче. :)

 

Я біллінгів не розробляю, Асмодеуса бачив 1 раз більше 10 років тому і на перлоту вже років 5 теж не дивлюсь, навіть краєм ока.

 

Просто мимо проходив, а народ тут поради питає.От і описав що може бути помічного.

За темою слідкую, щоб побачити коли буде фікс, зробити діфф 2-х версій і проаналізувати для себе у чому була проблема.

 

Хоча в рамках 1 квітня можу запропонувати власникам/адмінам вчити перл

https://jobs.dou.ua/salaries/#period=dec2016&city=all&title=Junior%20Software%20Engineer&language=Perl&spec=&exp1=0&exp2=10

Медіана $650 - для новичка чудово, хоча підозрюю що там вся статистика базується на 1-й вакансії.

Link to post
Share on other sites

Воу воу воу. Палєхче. :)

 

Я біллінгів не розробляю, Асмодеуса бачив 1 раз більше 10 років тому і на перлоту вже років 5 теж не дивлюсь, навіть краєм ока.

 

Просто мимо проходив, а народ тут поради питає.От і описав що може бути помічного.

За темою слідкую, щоб побачити коли буде фікс, зробити діфф 2-х версій і проаналізувати для себе у чому була проблема.

 

Хоча в рамках 1 квітня можу запропонувати власникам/адмінам вчити перл

https://jobs.dou.ua/salaries/#period=dec2016&city=all&title=Junior%20Software%20Engineer&language=Perl&spec=&exp1=0&exp2=10

Медіана $650 - для новичка чудово, хоча підозрюю що там вся статистика базується на 1-й вакансії.

Вибачте, мені здалося ви команди розробників. 

Link to post
Share on other sites

то треба моментально пофіксити все

Да так и было :)

 

ми вам запропонуєм кроки які може зробити адмін/власник мережі

А вы хотели за оплаченный биллинг получить рабочие бизнес процессы? :)

 

Ви краще запропонуйте як власнику мережі бути з абонплатами які похерилися? дайте крок на вирішення.

Логи дорогуша, ЛО-ГИ!

 

В последних 0.7* вынесли paysys_check.log в отдельный "файлик" где без проблем можно восстановить вашу "историю" оплат.

 

 

P.S. есть два типа админов, которые ещё не делают бекапы ...

и есть третий тип: которые проверяют бекапы на развёртывание

Link to post
Share on other sites

 

 

 

Как избежать подобных ситуаций?

 

 

Якщо є софт, який можливо має баги, впроваджуйте додаткові рівні захисту.

 

Якщо доступ "до адмінки" потрібен тільки вам (і обмеженій кількості працівників) розгляньте наступне:

1. додайте HTTP Basic Auth - потрібно буде додатковий логін і пароль, щоб просто побачити хоч щось. Недолік - брутфорситься. Але якщо використовувати логін не "admin", а щось складніше - має право на життя.

2. додайте автентифікацію по HTTPS user сертифікатах. Не ламається, але адмін має вміти прочитати man openssl і нагенерити сертифікатів раз в рік.

3. пункт 1 разом з пунктом 2. (Я вибрав такий варіант, наприклад, для одного з своїх веб сервісів)

4. інші варіанти типу VPN в інтранет і адмінка доступна тільки звідти.

5. інші *збочені* варіанти типу port knocking.

 

Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше.

 

дякую за пораду

 

LOrDGje.png?1

Link to post
Share on other sites

 

 

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется.

пару фактов о системе

- были повреждены системные таблицы базы

- бекап больше месяца не создавался до конца

- ну и самое главное потёрты юникс логи выборочно

- а сегодян заметил, что те файлы которые вчера открывал уже забиты на половину мусором

 

итоги думаю подведете сами

 

Где вы там логи увидели потертые выборочно ? Чойто вы не договариваете...... а вот база ваша ушатана. только ваша база совпадение ? и сервант повис от глюка перлового процесса билинга....  взлома системы по ссх не было, попытки да были миллион, но взлома не было. Как то странно выглядит упала только база билинга...  Проблем по диску нету, да и рейд там как бы если чо... 

П.С.

Посмотрев тот сервант для себя сделал ИМХО былинг дырявый. Сори за прямоту но факт есть фактом. А вот как быть владельцу этой сети, тут уже вопрос, попал на бабло 100% потому что похерилась база билинга, но это пол беды, вот что делать дальше хз....

 

не дуже уважно читали, але я постараюсь вам пояснити ще раз і можливо ви мені поясните в чому тут проблема білінга. Розкажу по крокам все що відбувалось.

 

1 звінок клієнта "все пропало, мене взламали не можу зайти в адмінку і в кабінет абонентів"

2 дає пароль я захожу в команді last 2 записи, досить підозріло перевірили зразу на експлоіти, проксі та пройшлись по логу апача все чисто.

3 перевіряємо базу зразу побачили що є користувачі і паролі сходяться

4 попробували запустити пару програм для тестування зразу побачили crash таблиць

5 запускаємо myisamchk і отримуємо обнулені таблиці, попробували злити з таблиць без перевірки SELECT іде до певного місця і вивалюється

6 Вирішили відновляти з дампу так як видно було що дампи створюються кожний день

7 створюємо додаткову базу на що система каже таблиці mysql.proc та mysql.func пошкоджені

8 відновили їх

7 заливаємо дамп виявляється він неповний (причина п 4-5), таблиця з користувачами порожня

8 так як ABillS зберігає бекапи за останніх 30 днів, їх було перевірено і всі вони мали ту ж проблему

9 Знайшли дамп за 14 рік залили обнулені таблиці звідти, але там тільки половина користувачів

10 інших ми відновили з остаточних логів системи, а іменно з історії адміністраторів

11 наступного побачив, що деякі файли які створені попереднього дня були забиті сміттям з чого можна зробити висновок що є проблеми з вінчестером і треба провести його аналіз, про що проінформував власника

 

ps. система 0.55 поверх 4 років в автономній роботі без нашої підтримки

Link to post
Share on other sites

 

Как избежать подобных ситуаций?

 

Якщо є софт, який можливо має баги, впроваджуйте додаткові рівні захисту.

 

Якщо доступ "до адмінки" потрібен тільки вам (і обмеженій кількості працівників) розгляньте наступне:

1. додайте HTTP Basic Auth - потрібно буде додатковий логін і пароль, щоб просто побачити хоч щось. Недолік - брутфорситься. Але якщо використовувати логін не "admin", а щось складніше - має право на життя.

2. додайте автентифікацію по HTTPS user сертифікатах. Не ламається, але адмін має вміти прочитати man openssl і нагенерити сертифікатів раз в рік.

3. пункт 1 разом з пунктом 2. (Я вибрав такий варіант, наприклад, для одного з своїх веб сервісів)

4. інші варіанти типу VPN в інтранет і адмінка доступна тільки звідти.

5. інші *збочені* варіанти типу port knocking.

 

Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше.

 

Мысли здравые. Еще бы вот это решить.

1.Получаем подсеть цели .

2.Сканим,

3.Ищем тплинк, длинк, *.

4.Попадаем внутрь сети.

5.Дальше в руки "швейцарский нож" и по накатаной через интерфейс юзера.

А  там печаль тоска...

 

 

SQL injection скорее всего, который как раз тут бурно обсуждался.

Не нужен доступ ни к операционке, ни к БД. А вот админка биллинга скорее всего смотрит наружу. И походу инъекция существует уже на этапе логина и пароля.

Ну по крайней мере это очевидные вещи. Возможно все несколько сложнее, надо искать любую неподконтрольую инпут форму, ввод с которой недостаточно фильтруется. 

 

Тепер Асмодеус має логи. І якщо ін'єкція була через GET - то 99% інформації про вразливість. Якщо через POST - то 90% інформації (назву вразливого скрипта або урл по якому відслідкує обробник). Відповідно багу пофіксає.

 

Все так як здогадувався Зібубе

 

"залогировали, поправили, послали нах@р"

 

Треба була жертва... 1 штука :)

 

 

А вот это врядли. В ограниченное пользование пока ушли только "цветочки" и "рюшечки". .

 

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By ~AsmodeuS~
      Новий модуль Power: облік роботи генераторів (http://abills.net.ua/wiki/display/AB/Power)
       
      Ми раді представити новий модуль Power, який дозволяє здійснювати облік та контроль роботи генераторів.
      Основні можливості модуля включають:
      — Типи генераторів: Перелік доступних типів генераторів.
      — Типи баків генераторів: Інформація про різні типи паливних баків для генераторів.
      — Типи сервісних робіт: Каталог доступних типів обслуговування та ремонтних робіт.
      — Статус генераторів: Моніторинг запусків, зупинок та інших дій з генераторами.
      Звіти:
      — Звіт заправок генераторів
      — Звіт запусків генераторів
      — Звіт обслуговування генераторів
      Цей модуль допоможе вам легко керувати генераторами та відстежувати їхній стан. Ви можете переглядати останні запуски, заправки та сервісні роботи для всіх генераторів на одній головній сторінці.
      Буде доступно в master 1.29.00.
       
       
       
    • By ~AsmodeuS~
      PON  панель
       
       
    • By ledemip
      Всем привет! Интересует вопрос покупки приложения ABillS Lite. Однако вопрос стоит в том как приобрести данное приложение и его поддержку, поскольку я сам гражданин РФ, но в настоящее время я нахожусь в Латвии, однако услуги интернета моя компания предоставляет на рынке РФ и зарегистрирована компания также в РФ.
       
      Однако, возможно ли какие-то варианты приобрести данное приложение? Платеж отправлю из Латвии, если такой вариант будет возможен, или в крипте.
       
      Я не в политике и действительно не восторге от всех этих событий, поэтому прошу вас очень, давайте по существу. Буду благодарен за любую помощь!
       
      Я использую ABillS v0.94.
      Мой телеграмм @ledemir556
    • By ~AsmodeuS~
      Модуль роботи з ПРРО Checkbox
       
      відео презентація
       
       
      Повний опис модуля
      http://abills.net.ua/wiki/pages/viewpage.action?pageId=63537157

×
×
  • Create New...