nimer Опубликовано 19 февраля, 2014 · Жалоба Сегодняшняя статья на хабре: http://habrahabr.ru/post/213217/ 2. Уязвимость на nag.ru Давным давно, решил я проверить nag.ru на прочность. К моему нескончаемому огорчению были найдены банальные мисконфиги на поддомене форума. А именно был выставлен во внешку тестовый стенд с новой версией форума и со стандартным паролем админа. Самое ужасное, было в том, что все поддомены запущены от имени одного юзера, и получив админ доступ к тестовому форуму — я получил доступ к файлам всех поддоменов. Все сообщения администрации nag.ru не получили ответов. Толи письма улетели в спам, толи не читают их. В любом случае сейчас эта дырка закрыта. Итог: Дырка закрыта. Администрация проигнорировала все письма. Также в комментах намекают на проблемы с почтой: Их почта хостится на google. И google регулярно помещает мои письма для них в спам. А на многоадресные ящики типа support at nag.ru сразу прилетает отбой, что я подозрителен и письмо они от меня принимать не будут. Так и задумано? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 19 февраля, 2014 · Жалоба Я в support@ писал, мне отвечали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 19 февраля, 2014 · Жалоба Так и задумано? :) Да. Нет идеального спам фильтра. Или читаем всю почту и часть спама. Или не получаем спам и часть нормальной почты. Тут каждый ищет себе необходимый оптимум, но с текущим уровнем спама иногда действительно проще обложиться спам-фильтрами яндеса, mail.ru или гугла, организовать на сайте много альтернативных способов связи на сайте, через которые к вам попадут нужные люди, отфильтрованные в почте, ну а дальше достаточно адрес этого человека занести в whitelist и продолжить общаться обычным способом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 20 февраля, 2014 · Жалоба не получаем спам и часть нормальной почты и теряем клиентов. К сожалению, НАГ похоже выбрал второй путь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alkanaft Опубликовано 20 февраля, 2014 · Жалоба кому надо позвонит, электронка --- для того чтобы написать то, что по телефону не сказать. а упоротые на электроке идут лесом... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 20 февраля, 2014 · Жалоба Я уже смерился что до саппорта нага дописаться невозможно. Письма прилетают как спам. Обращались к менеджеру - толку ноль, всем пофиг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Navu Опубликовано 20 февраля, 2014 · Жалоба Про дыру комментировать не буду - тема мутная, как минимум с одним ложным утверждением. Зачем это автору - понять трудно. Программеры дополнительно посмотрят, конечно, но по предварительным данным, вопрос гроша выеденного не стоит. Про связь с администрацией - сложно спорить, ничего не видели. Иначе бы ответили (разумеется). Куда писались обращения - неясно. Возможно, действительно потерялось в спаме. Но вроде и без почты полно возможностей связаться - контактов хватает. Было бы желание. Что касается спама. Да, есть такой грех, лично я папку со спамом перебираю редко. Про других сотрудников не скажу, а сам балую себя этим развлечением крайне неохотно. Можете бросить камень. На несколько тысяч писем бестолковых приходится одно хотя бы адресованное нам. А среди адресованных именно нам, действительно важных - единичные случаи в год. Причем, если человеку надо, он найдет вариант посигналить, что было письмо. Человек же, письма которого регулярно помещаются в спам, очевидно оригинал-мазохист. :) Попроси адресата убрать письмо из спама - и фильтр не будет больше ловить. Я регулярно переписываюсь с провайдерами, письма которых изначально падали в спам - один клик мышкой и нет проблемы. Зачем от этого страдать регулярно - понять затрудняюсь. :) Отлуп от групповых ящиков комментировать не готов. Сталкивался с этим в отношении других адресатов - про схожую проблему на нашем саппорте слышу впервые. Кто сталкивался - сигнальте, поразбираемся предметно. А то, опираясь на общие слова, можно проблему искать до второго пришествия. Я уже смерился что до саппорта нага дописаться невозможно. Напишите мне. Мне не пофиг. navu@nag.ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 20 февраля, 2014 · Жалоба Я уже смерился что до саппорта нага дописаться невозможно. Напишите мне. Мне не пофиг. navu@nag.ru Написал с ящика который блочит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nimer Опубликовано 20 февраля, 2014 · Жалоба Про дыру комментировать не буду - тема мутная, как минимум с одним ложным утверждением. Зачем это автору - понять трудно. Программеры дополнительно посмотрят, конечно, но по предварительным данным, вопрос гроша выеденного не стоит. Спасибо за комментарий.Прошу тех, у кого есть полноценный акк на хабре, отпишите туда в комменты 'официальную позицию'. Я read-only и под другим ником =) Может, автор уточнит свои слова. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 20 февраля, 2014 · Жалоба Писать о взломе форума на почту, а не админам форума в личку - странный поступок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nimer Опубликовано 20 февраля, 2014 · Жалоба Чтобы два раза не вставать: Яндекс считает, что на форуме что-то не так. Появилось сегодня вечером. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KotikBSd Опубликовано 20 февраля, 2014 · Жалоба Если зашла тема о почте нага, я вставлю свои пять копеек, на днях я очень разозлился на менеджера вашего, т.к. при разговоре по телефону просил выслать счет + инфу по одному косяку. В итоге пару дней - не ответа ни привета, отписал что счета не получил - в этот же день она звонит и говори что мне счет высылали, и что счет мне продублировали сейчас... Когда вернулся в офис обнаружил письмо от менеджера, без счета, но с разъяснением по косяку, про счет она написала что отправили бухи с такого-то адреса... но не в спаме, не где либо ещё письма нет... отписался, в итоге менеджер со своего адреса мне счет отправила. От бухов счета мне не приходят... У меня ящик на гмейле... Раньше таких проблем не было... все началось в этом году... Я не могу гарантировать что это реально косяк почты, может и менеджера, но не думаю что она стала бы себя два раза подставлять и не отправлять счет. Мне не хотелось бы писать тут явки и прочее, на свой адрес то мне пофигу, я больше за бухов и манагеров переживаю :) Так что если кто-то из админов заинтересован в том что бы погадать этот ребус, отпишитесь, скину в личку всю инфу.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 20 февраля, 2014 · Жалоба У меня ящик на гмейле... Всем имеющим ящики на публичных серверах посвящается. Важная и полезная почта к вам в ящик иногда не будет попадать. Это могут быть предложения о золотом контракте, или жалоба с предложением о урегулировании претензии, или новость о рождении сына(дочери). С вами не свяжутся в этом случае по другому каналу связи, так как тоже найдётся много отговорок причин, почему это не было сделано. От банального - нет этих контактов, не смог найти, не пробился через первую линию поддержки, не нашёл нужного человека. До самых простых (но не всем понятным) причин. Например, рассылка запроса коммерческого предложения - вы не ответили, но конкуренты всё сделали за вас. Вы об этом узнаете позже и очень обрадуетесь за коллег. Роскомнадзор вам прислал письмо счастья, но вы не приняли мер и ваш сайт заблокирован на территории России. Или поисковик вам там какое-нибудь предупреждение вынес, или доброжелатель проинформировал об уязвимости. Забыли что-нибудь оплатить и это отключили (хорошо хоть не удалили и всё можно исправить). Вообщем спама от роботов и сейчас хватает. Полезного спама, в хорошем смысле слова. Или автор письма с ЧСВ и просто не обязан это делать по служебным или личным причинам. Тоже узнаёте от коллег и радуетесь. В мир глобальных коммуникаций информация всё равно дойдёт до вас рано (оптимисты уже радуется в этот момент) или поздно (а сейчас пессимисты ещё сильнее мрачнеют) . И тут начинается сказка про журавля и цаплю. Выяснение у кого стакан наполовину полон, а у кого наполовину пуст. Возможно дело может дойти до холивара между владельцами gmail и yandex или mail.ru, типа мой ящик круче и нет никакой дурацкой фильтрации спама, глотающей важные письма. У нага есть Help Desk, есть обратные каналы связи - этого достаточно для работы нормальной компании. Те, кто отфильтровался при таких, на мой взгляд, оптимальных условиях - значит так и должно быть. Особо недовольные могут всё обсудить на форуме и будут услышаны. Условия ещё больше можно улучшить, но здесь обычная математика: сколько надо вложить в это средств и будет ли окупаться вложенное. Номер 8800, отправка счетов DHL, андроидное или яблочное приложение мысленно угадывающее желание клиента и делающее автоматические заказы и оплату. Заодно это приложение обо всём и проинформирует клиента. Ну и так далее... мечтать можно долго. p.s. Как ни странно, но банальные огрехи всё таки есть. Или ещё это не реализовано, или я не вижу явной дыры в реализации и почему этого нет. Или просто не прочитал документацию и это всё есть, а я об этом не знаю. Самое простое - те, кому я пишу, или те, кто есть у меня в записной книге, а ещё лучше - по моему списку и истории использованных SMTP для отправки - НЕ ДОЛЖНЫ ФИЛЬТРОВАТЬСЯ. В opensource я не нашёл такого решения из коробки, типа "включи такую-то опцию и вот тебе база и правила управления попаданием в эту базу". Очень много решений на базе фильтрации входящей почты, но почему-то нет ни одного решения фильтрации по обоим направлениям, с учётом исходящей почты тоже. Если пользоваться web-интерфейсом - там есть нужные кнопочки, и логика. Но беда в том, что никто не заглядывает в папку СПАМ :) А ведь так просто, для примера - написал через smtp своего почтовика какому-нибудь потеряшке, а почтовик бодренько и быстро достал все письма из своих загашников спама и вывалил это всё куда надо и в течении какого-то периода времени придерживался такого примерного поведения, чтобы повторное письмо в спам не попало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 20 февраля, 2014 · Жалоба Решение есть: секретарша для чтения спама. Стоит примерно $400/mnth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 20 февраля, 2014 · Жалоба Писать о взломе форума на почту, а не админам форума в личку - странный поступок. Представьте себе, что первый день на данном форуме. Как узнать кто из здешних отвечает за безопасность. Передадите информацию не по адресу - хорошо, если ему будет "пофиг". А если он задумает чего недоброе? В стандартных случаях - это Служба Безопасности. Ну а если её не видно, то какой-то единый ресепшн, который фиксирует факт передачи этих данных и это формализует отношения между обратившейся стороной и получившей. В других случаях, особенно если что-то пошло не так, будет бардак полный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 20 февраля, 2014 · Жалоба Какая служба безопасности? Компания должна быть очень крупной, чтобы в ней она была. "Модерируется: Diesel , Дятел , vIv " - спрашивается как минимум у модеров, кто отвечает за безопасность, и кому писать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 20 февраля, 2014 · Жалоба Решение есть: секретарша для чтения спама. Стоит примерно $400/mnth Человеческий фактор. Физически человек за сутки может просмотреть только X писем. Необходим будет контролёр секретарши. Уже штат из двух человек, над которыми надо будет ставить менеджера, решающего рабочие моменты. Потом их заставят писат отчёты о проделанной работе, чтобы оценить эффективность и повысить качество - ещё один человек. Заседание директоров/совладельцев/управляющих, оценивающее полученные отчёты-данные и так бесконечный круг, пока опять кто-нибудь не скажет умную мысль. например, а давайте поставим сервер с фильтрацией спама или перенесём почту на google/yandex/mail.ru и история начнёт новый круг. Это не тот круг, его уже все прошли, у кого были деньги на секретаршу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 20 февраля, 2014 · Жалоба Какая служба безопасности? Компания должна быть очень крупной, чтобы в ней она была. "Модерируется: Diesel , Дятел , vIv " - спрашивается как минимум у модеров, кто отвечает за безопасность, и кому писать. Кстати, напомнил: я пару раз вмешивался в разборки по форуму, именно по почте приходили уведомления. И да, у меня корпоративный abuse@ живёт именно на GMail, ибо надёжно, потому как важно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 20 февраля, 2014 · Жалоба вот это Какая служба безопасности? Компания должна быть очень крупной, чтобы в ней она была. вот с этим "Модерируется: Diesel , Дятел , vIv " - спрашивается как минимум у модеров, кто отвечает за безопасность, и кому писать. Уже конфликтует между собой. Служба безопасности - этой должностью могут наделить вахтёра, у которой за плечами работа в ГРУ. Поэтому на фирме либо есть СБ, либо есть директор, который за всё отвечает и ищет на кого бы свалить вину. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 20 февраля, 2014 · Жалоба Ты проверяешь, смогу ли я тебя забанить? ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 21 февраля, 2014 · Жалоба Модераторы на большинстве форумов - люди наёмные, отвечают за общение на самом форуме. Забанить неугодного - для них святой долг, потешить своё чсв, указать своё место выскочке. Попробуйте высказать мнение не совпадающее с мнением модератора - практически всегда запрет в правилах. А если у модератора в повседневной работе какой-то конфликт с администратором форума, который отвечает за его работу - это мотив, чтобы и под него подкоп сделать. Реально когда начинаешь распутывать клубок всех этих отношений назад при различных конфликтах - у всех есть какой-то свой мотив к произведённым действиям - но всё вместе такой бардак и требует вмешательство "администрации форума", назовём её так. Простой примитив для примера - модератор форума, незаслуженно обиженный (зарплатой, отношениемк личности, в транспорте в этот день ему на ногу наступили). И администратор, по совместительству - совладелец компании, но которому почти "всё равно" на судьбу форума, считает что на модератора только зря деньги выделяют, форум поставлен из коробки и никто им не занимается. С другой стороны фирмы - мажоритарий, видящий работу форума как хорошую составляющую бизнеса (общение, привлечение клиентов, бесплатная реклама, лояльность клиентов и поставщиков, решение вопросов в открытом порядке). И вот попадает информация об уязвимости тому, кому с утра на ногу наступили, который в сердцах наносит форуму непоправимый ущерб. Резервных копий, как всегда, нет ( это кстати вопрос для обсуждения - кто в нормальной фирме должен заниматься контролем резервных копий? СБ, которая не понимает ничего в технических моментах, техническая служба, которая если накосячит, то и резервных копий спрашивать не с кого. Или как обычно, этим занимается директор и прячет всё потом в свой сейф?). И дальше: либо кропотливая работа по восстановлению всего комьюнити, либо форум загибается под напором сложившихся обстоятельств. p.s. всё вышенаписанное - художественный вымысел, но основанный на реальных факторах. В жизни такая сантабарбара может быть и происходит, но я об этом не знаю. А вот все моменты по отдельности - встречаются каждый день. По уязвимостям и их использованию темка здесь http://forum.searchengines.ru/showthread.php?t=836533 там же и мнения что с этой уязвимостью можно сделать. Из резервных копий мы клиентам информацию восстанавливаем каждый день, ибо у 99% людей в коре головного мозга полная уверенность, что забота о сохранности данных - не их работа. Даже если они арендуют отдельный rack, к которому ключи только у них, а рут доступ у какого-то стороннего админа по договору с кучей сертификатов по безопасности. "Ну у ВАС ЖЕ НАДЕЖНЫЙ ДАТАЦЕНТР с КРУГЛОСУТОЧНОЙ ОХРАНОЙ И СКУД!". не понимают люди, что их железка имеет доступ в открытый интернет и система администрируется персоналом клиента, а не нами. В реальности же находится и резервная копия (ну может быть чуть старенькая). Кому надо - вставляют пистон, и он, как здравомыслящий человек, меняет своё мнение и осознаёт важность публичного общения в развитии фирмы и увеличивающихся доходах в дальней перспективе, нанимает отдельного администратора на аутсорсе для пригляда за сервером, на котором крутится форум (дешево и сердито). Модератору форума начисляют дополнительную прибавку к зарплате, за то, что он вовремя указал на возникшую проблему, он знакомится с девушкой, которая наступила ему на ногу в тот день, они женятся и живут вместе долго и счастливо. happy end. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 21 февраля, 2014 · Жалоба Уже конфликтует между собой. Служба безопасности - этой должностью могут наделить вахтёра, у которой за плечами работа в ГРУ. Поэтому на фирме либо есть СБ, либо есть директор, который за всё отвечает и ищет на кого бы свалить вину. Какой нафиг вахтер? Какое ГРУ? Это что, нефтянка или предприятие по производству оружия? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 21 февраля, 2014 · Жалоба Какой нафиг вахтер? Это самый надёжный СКУД в мире! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 21 февраля, 2014 · Жалоба kpv - по searchengines и теме, работа whitehat всегда была непростой. Но нюанс в том, что пока он не заключил договор - любая его деятельность по поиску и тестированию уязвимостей - нарушение закона. С тем же успехом можно ковыряться в дверных замках предприятий, скорее всего не поймают, но могут поймать и во время поиска и если потребовать денег - просмотреть записи наружных камер. Ну и конечно если открыл - всегда мучает вопрос, сжечь там все, спереть, или потребовать денег за фиговый замок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 21 февраля, 2014 (изменено) · Жалоба работа whitehat всегда была непростой. Это как вещество-яд, из которого делают лекарства. В больших дозах убивает. В разумных и протестированных - лечит и спасает. Но прежде чем стать лекарством, придётся убить много мышек, шимпанзе и других бедных животных, прежде чем законно это будет оформлено и допущено в продажу. А в соседней лаборатории, может быть те же самые люди, с такими же принципами, разрабатывают оружие биологического поражения. И они тоже делают всё во благо. Это всё морально-этические-правовые аспекты, я их стараюсь не касаться в таких случаях. Или меня забанит модератор :) Я обычно технарь и всегда за happy end. Изменено 21 февраля, 2014 пользователем kpv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...