09.08.2008 → Блог
Как я взломал Хабрахабр
Если бы взломал :) Сами все показали.
Файл с паролем, все php-файлы — доступны для скачивания.
Доказательства:
1. define(’ROOTHTTP’, ‘http://superhabr.ru’);
2. define(’ROOTCOOKIE’, ‘.superhabr.ru’);
3. define(’ROOTDOMAIN’, ‘.superhabr.ru’);
4. define(’ROOTPATH’, ‘/home/habr/superhabr.ru/www’);
5. define(’ROOTCORE’, ROOTPATH . ‘/core/’);
6. define(’ROOTTEMP’, ROOTPATH . ‘/../temp/’);
7. define(’ROOTTMP’, ROOTPATH . ‘/../temp/’);
8. … (дальше куча паролей и IP)
Ну и так далее, включая какие-то коды, связанные с Блогистаном, информацию для инвесторов и многое-многое другое.
Ребята просто забыли закрыть от чтения директорию, упоминание о которой было в адресе страницы ошибки ( http://habrahabr.ru/super/500/ ). Таким образом, получение этих данных не может считаться взломом, их вполне легально может получить любой желающий, не на нарушая законов РФ (так как нет никакого несанкционированного доступа, есть просто ошибка).
P. S. Считаю себя морально вправе публиковать данную информацию, учитывая слишком уж большой и явный прокол в безопасности, о котором УЖЕ есть упоминания в сети. На почту я им написал (продублировав по всем адресам, которые нашел), попытка найти какой-то другой оперативный контакт кроме почты не увенчалась успехом.
update: админы сайта уже, скорее всего, в курсе, сужу по закрытию большинства директорий.
А еще доброхоты выложили в открытый доступ многое из доступного тогда:
http://ifolder.ru/7654549
http://ifolder.ru/7654550
update 2: http://roem.ru/2008/08/10/addednews7352/ — обсуждение темы с администрацией Хабра.
Пора делиться инвайтами на Блогистан :)
Андрей Лось, лови: IOZC94VG :) Осталось найти, куда его вводить :)
Вводить следует с помощью «волшобства», надо полагать :)
в сорцах следы друпала и джумлы))) но возможно это фэйк
Так так так… интересный ход… или лажа :)
Очевидная же лажа :)
Вопрос только, как это сочетается с неиллюзорной ошибкой хабра. Вполне возможно, они сейчас ставят и проверяют суперхабр, а юзеров отвлекли на такую фейку.
Вот уж не думаю, что “отвлекли” :) Там информации ОЧЕНЬ много доступно.
Я пока ничего не нашел, все “важное” защищено. Файлы — такое впечатление, что просто понакидали пару функций из кода, посередине лежит вполне себе index.html с индексом этого бесчинства, фотки тоже все весьма приличные — там только видимость “важного”
http://habrahabr.ru/super/tmp/
Смотрю, уже закрыли. Видимо, письма дошли :)
http://habrahabr.ru/super/modules/
Точно, все закрыли постепенно, пароли наверное просто сменили.
скиньте мне их двиг, хочется посмотреть ради интереса…
Ребят, просветите, Лепрозорий это утка или это реальный блог? а хабр как был дырявый так и останется :)
= 4 && strtolower(substr($_SERVER['REQUEST_URI'], 0, 4)) == ‘/rss’) {
echo ‘11′;
} else {
}
#define(’MYSQL_HOST_2′, ‘127.0.0.1′);
define(’MYSQL_USER’, ‘habrahabr’);
define(’MYSQL_PASSWORD’, ‘test’);
define(’MEMCACHED_PORT’, 11915);
define(’ISWIN32′, false);
define(’MEMCACHED_PREFIX’, ‘habr’);
define(’DIVNY’, true);
$own_local_shit = $_GET['genue'] ? false : true;
?>
Виталик: Лепрозорий это миф, %username%
мде..
[:]||||||||||||||[:]
все дружно как один ебут мозги
Не знаю как ты, а я вот успел около 100Мб видео скачать с их http://FTP... и вполне прикольное типа “как создается хабр”.
Добрые люди уже всё выложили :-).
Урезанная версия, без видео: iFolder, LetItBit
Полная версия, со всеми видео:
iFolder часть 1,часть 2, LetItBit
Так я все-таки не понял: Хабр станет Супер или как? Уже второй день такая беда, Хабры не хватает. А главное, ведь не предупредили ни о чем!
Роман, что стряслось с Хабром?
То что у меня (!) интересуются, что стряслось с Хабром — это многое доказывает неверящим о руководстве сайта.
Спасибо за статью, всегда рад почитать вас!
Да уж… а я думал все намного проще. Новый хабр. А тут взломы, пароли.. у….
пошёл качать хабр и себе =)
Продуманная пиар-акция или банальная оплошность разработчиков.
Я тоже об этом написал и архив с тем, что удалось скачать выложил. Кому надо – пользуйтесь.
Обнаружил ещё вчера, гы :)
Думаю, это специально сделано — в пользу этого говорит и постепенность закрытия папок, и изначально неполные исходники.
Если кто-нибудь догадается, куда вводить инвайты на Блогистан, напишите мне plz.
lynx«a»lynxf.ru
вот доигрались, галактеко опасносте, хабр опасносте, вот и накаркали -)
Похоже чёртов коллайдер уже таки запустили =)
Сильно похоже на фейк. В файле index.php:
case 'index.php':
$superhabr->index.php($params);
break;
Вроде же точка (.) — зарезервированный оператор в пхп, использующийся для конкатенации строк и в имени методов использоваться не может.
хабр уже не тот ))
Не знаю, как назвать это по-русски, но по-английски это будет advertising gimmick =)
Идея с пиар-акцией просто смешная. Достаточно посмотреть на природный уровень ссылок на Хабрахабр в рабочем состоянии. Эти 20-30 ссылок, которые будут сейчас, им нафиг не нужны.
А не было там чего-нибудь, намекающего на АРГ (Alternative Reality Game)?
Например, полученный пароль ввести куда-нибудь, обнаружить что-нибудь интересненькое, якобы не предназначенное для широкой общественности, ну и понеслась…
[...] дыры обнаружились на Хабре, подробно об этом писал Роман Настенко. Возможно, это вирусный маркетинг (да, о Хабре [...]
2 BgD: чтобы обнаружить что-нибудь не предназначенное для широкой общественности, нужно быть достаточно умным.
[...] Сказ о том, как Рома хабр взломал [...]
Сейчас хабр лежит. Результат хака?
Вы действительно верите в то, что на протяжении двух суток разработчики не могли прикрыть директорию? Т.е. получали тучи писем на е-мейлы, массу звонков от знакомых, горы сообщений в IM и всё это игнорировали? Нет, вы действительно в это верите? Мне кажется, что это из области фантастики. “Случайно” таких утечек не бывает. Да и шутка с кукой, которая была в исходниках работает :) Молодцы ребята из ТМ, как мне кажется. Вместо сухой заглушки внесли немного веселья и развлекли хабраюзеров!
2 WereWolf
Наивные, блин, как детский сад. 100% – рекламный ход: раскруточка Блогистана.
WereWolf, они ее прикрыли через два часа после начала массового распространения информации. Это было около полуночи. Так, к слову.
http://roem.ru/2008/08/10/addednews7352/ — вот ссылка для остальных. Там я все сказал.
2 Last:
тебе просто очень хочется в это верить
не люблюя таких вот нечаянностей – попахивают такие расклады обычным пиаром
Хабр подкинул отличную утку :)
Так пиар он и африке пиар, много шума из ничего в результате увеличение популярности:)