Про идиотов из СУПа

[vit_r]

UPD: Дыру в ЖЖ уже залатали, так что эта запись не актуальна. Кто подарил пароль хакерам, не забудьте поменять.

UPD 2: Так как сюда до сих пор продолжают заходить люди, а тут информация для минимально знающих CSS, добавлю следующее:

Речь об окне, похожем на окно логина ЖЖ, которое вылезало при заражении одного из пользователей в ленте.

Те, кто вводил логин и пароль (или вверху, или в форме внизу), отсылали данные на сайт хакеров. Которые сразу ставили пост с кодом для атаки (окно логина, вылезавшее поверх всех других окон). Скорость заражения была очень высокая, а СУП ловил ворон. Большинство смогли вовремя понять и сменить пароль. Кое-кто не успел.

В принципе, атака была плохо подготовлена и выполнена по-дилетантски. В частности, хакеры не меняли пароли пользователей сразу, не возвращали пользователей в ЖЖ, а выводили на левый сайт, и совершили кучу других недоработок. Только благодаря низкому качеству атаки её быстро локализовали сами же пользователи. Про реакцию СУПу можно прочитать в следующем посте.

Стоящий внизу код - быстрое решение, чтоб перекрыть окно хакеров и предупредить пользователей до того момента, пока СУП вымучает заплатку.

Дальше идёт оригинальный текст поста.

Это просто анекдот. При вводе CSS эти друзья не отделяют добра от зла.
Вот она расплата за порнографический дизайн ленты комментариев.

Содержание предыдущего теста:

<div style="top: 0px; left: 0px; width: 80%; height: 10%; background-color: rgb(255, 255, 255); text-align: center; z-index: 999999; opacity: 1; font-size:300%; color:red" class="b-fader">
ЖЖ Взломан! Не вводите пароль!
...

Как видим, гениальные программисты предоставили все возможности для атаки. Взломщики работают с z-index: 99999;
Хорошо, что он сверху не ограничен и можно взять число побольше, чтоб влезть поверх их окна.

Чтоб убрать вылезающее поверх ленты окно, надо у себя в журнале сделать следующее

http://www.livejournal.com/customize/options.bml?group=customcss
и прописать стиль:

.b-fader { display: none;}

отсюда

Ещё способ
Для пользователей Chrome+AdBlock Plus определить фильтр livejournal.com##DIV#b-fader
Для пользователей Firefox+AdBlock Plus определить фильтр livejournal.com#DIV(class=b-fader) (указал dimrub)


Если атака продолжается и вы хотите защитить дузей, скопируйте следующую строку в последний пост. (Copy-Paste как HTML)

<div style="top: 0px; left: 10%; width: 100%; height: 10%; background-color: rgb(255, 255, 255); text-align: center; z-index: 9999999; opacity: 90%; font-size:300%; color:red" class="b-fader" >ЖЖ взломан! Не вводи пароль!<br />Подробности: http://vit-r.livejournal.com/509249.html</div>

Проклятия идиотом из СУПа можете добавить по вкусу

TEST START

ЖЖ взломан! Не вводи пароль!
Подробности: http://vit-r.livejournal.com/509249.html

UPD: Если эта запись не вылезает поверх всех окон, значит СУП уже вырезает class="b-fader" из постов.
TEST END

Comments

[konart.livejournal.com]

не, ну это перебор уже)

[vit-r.livejournal.com]

Ну почему же. Жизнь без приключений не интересна

[konart.livejournal.com]

не, я про баннер с предупреждением)

в любом случае - я слабо представляю как кто-то может на это повестись

[vit-r.livejournal.com]

Дизайн настолько хаотичен, что пользователи не знают, где подлянку подложили зловредные хаккеры, а где сами авторы ЖЖ.

[konart.livejournal.com]

заходишь на страницу /friends
видишь форму которой быть не должно
в урле до сих пор /friends

AHTUNG! ALARM!

...

[yajohn.livejournal.com]

Если не трудно - сделай в предыдущем посте шрифт поменьше. А то он у меня пол френдленты закрывает :)

[vit-r.livejournal.com]

Это был тест. Я его уже убрал.

[patak.livejournal.com]

а как узнать когда атака кончицца?

и как френд-ленту почитать?

[vit-r.livejournal.com]

Пост обновлён.
Надо запретить класс .b-fader

Кончится, когда СУП проснётся. Говорят, сервер взломщиков лёг под напором желающих поделиться паролями.

[patak.livejournal.com]

спасибо, снова могу читать ленту

как хорошо, что я раньше не смогла в инет вылезти, обязатально попалась бы тогда :)

[michellemohn.livejournal.com]

эм...
что делать то?

[vit-r.livejournal.com]

Выйди из Интернета, начни жить.

В посте написано, как лечить.

[orleanz.livejournal.com]

я бы сказал что это не программистская тупость а скорее организационная. ведь у них был раньше фильтр на содержимое постинга. они его просто отключили почему-то. с дизайном самой ленты это не связано

[vit-r.livejournal.com]

Я вот уже начинаю сомневаться в том, что в СУПе какая-то организация ещё существует. Со стороны выглядит так, что набрали студентов, и они выпендриваются как хотят.

[ilya-kramnik.livejournal.com]

Этот пост в свою очередь крайне сильно корежит ленту

[vit-r.livejournal.com]

Это предупреждение, чтоб вылезало поверх окна логина для тех, кто о взломе не знает. Тут уж вопрос в том, что лучше: красивая лента или безопасность друзей.

Чтоб вылечить, надо класс b-fader отключить. У меня, правда, получается только средствами FFoxa. Но мне так проще.

No title

[pingback-bot.livejournal.com]

User mr_vit referenced to your post from No title (http://mr-vit.livejournal.com/378031.html) saying: [...] http://vit-r.livejournal.com/509249.html [...]

[dkrnl.livejournal.com]

считалось что XSS защита у ЖЖ самая лучшая

[vit-r.livejournal.com]

"считалось" или "СУП хвастался"?

[orleanz.livejournal.com]

я бы не сказал, что тут речь идет про XSS

XSS предполагает более тяжелую ситуацию, когда Вася, зайдя на (привычную) страницу А, вдруг понимает (или даже не понимает), что в его браузере начинает выполняться скрипт с (левой) страницы Б, вопреки принципу same origine policy, который, по идее, должен был бы энфорсить всякий надежный браузер.

То есть, юзеры страдали бы автоматически, и могли бы винить только себя в том смысле, что у них непропатченный браузер или вообще что они изначально доверяли сайту А

В нашем же случае, тут больше социального энжиниринга, так что подкованные юзеры не повелись и не ввели пароль.

Так что это фишинг на основе (визуального) бага, а не классический хак

[vit-r.livejournal.com]

То, что во вводимом сообщении не фильтруют CSS - это анекдот. А была бы атака организована получше, и была бы переадрессация правильной, вылезло бы это не сразу и большинство лопухов так бы и остались не предупреждёнными.

[orleanz.livejournal.com]

" А была бы атака организована получше,

я бы не стал так ругать технические скилзы аттакеров

может, у них было мало времени

может, дыра открылась недавно и могла быть устранена в будущем, и у аттакеров была крайне мало времени на подготовку атаки

далее, может у аттакеров была цель просто создать скандал и унизить СУП, и тогда они ее добились

что действительно странно, что СУП не считал нужным использовать псевдо-ХТМЛ (набор простейших тегов, типа болд, колор, италик, еще несколько). Обычно на сайтах именно так делают.... Урезанный, безопастный субсет тэгов, плюс урезанный, безопастный набор аттрибутов стиля (без всяких z-order etc, а только font-weight, font-size, color, text-decoration etc). Этого было бы достаточно для недопущения аттаки.

[orleanz.livejournal.com]

да, еще можно в принципе допустить некий внутренний сабботаж - некий СУПовец имитирует безалаберность, вырубает фильтр, а его коллеги или он сам потом уже ИЗВЕ совершают аттаку. Почему нет?

[vit-r.livejournal.com]

Есть железное правило:
За ошибку стоимостью Х отвечает менеджер, в ведении которого бюджет > Х.

Если один программист может сломать ЖЖ, то это не говорит что-то положительное о всей их организации.

[vit-r.livejournal.com]

Есть хакеры хулиганы, есть хакеры профессионалы. Я просто о том, что будь всё организовано лучше, атака была бы более эффективной.

То, что СУП странен, это было заметно давно. В данном же случае показательна их замедленная реакция на атаку. Хоть бы сервера на профилактику отключили, пока разбирались...

[patak.livejournal.com]

начали вырезать класс, окно с предупреждением больше не всплывает :)

[vit-r.livejournal.com]

Ага. Исправили.
До следующего раза.

[peon-ninja.livejournal.com]

Next time: class="${randomId}-fader"

Удивительно что сейчас этого не сделали. Но зет-индекс, пожалуй, надо фильтровать для пользовательских постов.

[vit-r.livejournal.com]

Удивительно, что атака была проведена так безграмотно. Хорошие организованные хаккеры с правильной подготовкой могли бы неделями сидеть, потихоньку вытаскивая пароли и не вызывая панику.

пишут, что ЖЖ взломан

[pingback-bot.livejournal.com]

User nvdb referenced to your post from пишут, что ЖЖ взломан (http://nvdb.livejournal.com/705625.html) saying: [...] http://vit-r.livejournal.com/509249.html [...]

[gabriells.livejournal.com]

я при виде этого запроса ввел логин и пароль нево фрейме, а в шапке, страница повисла и все. К шапке никаких фиговен не цеплялось?

[vit-r.livejournal.com]

Конечно, цеплялось. Всё окно было левым постом.