Эта статья появилась на свет совершенно случайно. Я не собирался проводить такого анализа и искал совершенно иную информацию. Однако волею случая я оказался на странице сайта 1С-Битрикс с новостью от 2004 года о запуске 40 проектов.
Почти 10 лет назад было всего 50 партнёров, так что запуск даже 40 проектов (тем более таких брендовых по тем временам) - это было новостью! Именно поэтому в история сохранила для нас доменные имена всех 40 сайтов, которыми решили тогда похвастаться в компании Битрикс (тогда ещё не имевшей приставки 1С). Именно поэтому я решил посмотреть сколько из тех 40 проектов используют 1С-Битрикс сейчас. До своего маленького исследования я не ожидал каких-то конкретных данных, мне просто было интересно.
Однако так же в процессе я сделал несколько удивительных наблюдений.
Во-первых, я обнаружил несколько поразительных долгожителей, использующих до сих под Битрикс версий 3 и 4 (хотя на дворе уже давно 2013 год и версия 12.5). Наш чемпион:
Раньше я тоже видел такое только на скриншотах более опытных товарищей в блогах веб разработчиков, поскольку так уж сложилась судьба, что я работаю с 1С-Битрикс с версии 6.5. Теперь удалось посмотреть в живую.
К сожалению, следом за этим я сделал ещё одно неприятное открытие - на большинстве сайтов под управлением 1С-Битрикс или Bitrix есть пользователь с логином admin. Учитывая, когда появились модуль проактивной защиты и контроль количества попыток авторизации, а так же данную особенность мы можем смело предположить, что на брутфорс (подбор пароля) к данному аккаунту у потенциального злоумышленника были годы! Конечно, там где используются более свежие версии 1С-Битрикс может использоваться 2 факторная аутентификация, однако на моей практике мне не приходилось видеть чужие сайты, использующие эту технологию. Другое дело, если этот пользователь где-то используется в качестве "honeypot" (ловушки) и представляет из себя не администратора, а обыкновенного бесправного пользователя.
В любом случае все владельцы этих аккаунтов должны были получить на почту, указанную в профиле контрольную строку для восстановления пароля, надеюсь, им хватит ума догадаться, что без их ведома это мог сделать только потенциальный нарушитель.
Ну и конечно, очень расстроил тот факт, что на сайте студии Махаон есть такой пользователь. Лидеры продаж, одна из известнейших в рунете студий... Если говорить точнее был... Поскольку после моего письма его переименовали/деактивировали/удалили. А IP адрес с которого я заходил заблокировали на уровне чёрного списка 1С-Битрикс. Порадовала оперативность решения!
Если вдруг кто-то считает меня злым нехорошим человеком. Всем владельцам сайтов я отписал сразу же с объяснением ситуации и предупреждением, что эта статья будет опубликована. Этим собственно вызвал некоторый скандалец из-за возможно слишком истеричных формулировок в письме (за что и извинялся в пятничном посте про admin)
Так же удивил 1 сайт на котором 10 лет назад действительно был Битрикс. Если судить хотя бы по тому, что этот каталог остался и до сих пор доступен для чтения из браузера:
Конечно это уже вряд ли можно назвать "уязвимостью" - функционал битрикса давно не работоспособен и бесполезен (скорее всего). Но тревожным звоночком является то, что вообще подобные системные папки доступны для чтения и просмотра их структуры - этак есть вероятность что и что-то нужное можно читать? А может и писать куда не положено?
В результате моего небольшого исследования была получена сводная таблица:
домен
на 1С-Битрикс?
версия БУС
примечание по безопасности
tinkoff.ru
редирект на другой домен
renins.com
нет
vintage.ru
да
(есть пользователь с логином admin)
elcomsoft.com
нет
(папка /bitrix/ доступна для просмотра!)
pilot.ru
нет
nlu.ru
нет
consultitnow.com
нет
atta.ru
502
repetitor.ru
нет
hwinspector.com
да
(есть пользователь с логином admin)
friendlyway.de
нет
udmurt.ru
да
(НЕТ пользователя с логином admin)
assas.ru
нет
rastvor.ru
нет
machaon.ru
да
(до 12.07.2013 БЫЛ пользователь с логином admin)
cezeo.com
нет
mapilab.com
да
4.1.6
(есть пользователь с логином admin)
interbase-world.com
нет
sowsoft.com
нет
bisinte.lt
да
4.0.5
(есть пользователь с логином admin)
tgslabs.com
да
(есть пользователь с логином admin)
cifnet.net
да
(есть пользователь с логином admin)
incadea.ru
домен продаётся
inlinegroup.ru
да
(НЕТ пользователя с логином admin)
teletrade.ru
нет
alphatour.by
нет
alvena.by
нет
cottage.ru
нет
ihp.by/dhp/
да
3.3.5
(есть пользователь с логином admin)
atlant.spb.ru
да
4.0.11
(есть пользователь с логином admin)
addendum.ru
да
(есть пользователь с логином admin)
svirskoe.ru
нет
wwwwinfo.com
нет
eclips.ru
домен продаётся
mks-ltd.ru
нет
artemcity.ru
фактически не работает
webit.ru
нет
megacentre.ru
домен продаётся
zrs.ru
нет
yantarbereg.ru
да
(НЕТ пользователя с логином admin)
Ключевые выводы:
13 из 40 сайтов (33%) до сих пор работают. Удивительно всё-таки в какой быстро изменяющейся среде мы работаем - всего за 10 лет прошла целая эпоха!
5 из 40 сайтов (13%) перестали функционировать.
10 из 13 сайтов (76%) на 1С-Битрикс имеют пользователя admin (т.е. велика вероятность простого брутфорса в течение срока жизни сайта), хотя и не все из них реальные администраторы
4 из 13 сайтов (31%) используют Битрикс версий 3 или 4 в эпоху 1С-Битрикс 12.5
P.S. спасибо 1С-Битрикс за архив старых новостей, где был обнаружит этот материал - http://www.1c-bitrix.ru/about/life/news/368/, положивший начало моему маленькому исследованию.
Евгений Малков, в примере выше тоже есть 4 таких пациента. Остальные в больше или меньшей степени. Мне кажется, это вина ответственного за проект. Инструментом не пользуются и он существует "для галочки", если нет желания в нём что-то улучшить и развить. Или нет понимания что это даст.
ИМХО
Но вообще интересна именно статистика. Мне кажется, таких проектов не много. Я думаю они скорее "умирают", если перестают развиваться. Но если бы у нас была статистика, мы могли бы рассуждать, а не гадать на кофейной гуще, вам так не кажется?
Боюсь ее сложно будет получить. Ну, тех кто получил лицензию в 2004 и ее активно обновляет - можно узнать у Битрикса (если дадут), а вот оставшиеся живые труппы, только вычислять
Группы на сайте создаются не только сотрудниками «1С-Битрикс», но и партнерами компании. Поэтому мнения участников групп могут не совпадать с позицией компании «1С-Битрикс».