Эта статья появилась на свет совершенно случайно. Я не собирался проводить такого анализа и искал совершенно иную информацию. Однако волею случая я оказался на странице сайта 1С-Битрикс с новостью от 2004 года о запуске 40 проектов.
Почти 10 лет назад было всего 50 партнёров, так что запуск даже 40 проектов (тем более таких брендовых по тем временам) - это было новостью! Именно поэтому в история сохранила для нас доменные имена всех 40 сайтов, которыми решили тогда похвастаться в компании Битрикс (тогда ещё не имевшей приставки 1С). Именно поэтому я решил посмотреть сколько из тех 40 проектов используют 1С-Битрикс сейчас. До своего маленького исследования я не ожидал каких-то конкретных данных, мне просто было интересно.
Однако так же в процессе я сделал несколько удивительных наблюдений.
Во-первых, я обнаружил несколько поразительных долгожителей, использующих до сих под Битрикс версий 3 и 4 (хотя на дворе уже давно 2013 год и версия 12.5). Наш чемпион:
Раньше я тоже видел такое только на скриншотах более опытных товарищей в блогах веб разработчиков, поскольку так уж сложилась судьба, что я работаю с 1С-Битрикс с версии 6.5. Теперь удалось посмотреть в живую.
К сожалению, следом за этим я сделал ещё одно неприятное открытие - на большинстве сайтов под управлением 1С-Битрикс или Bitrix есть пользователь с логином admin. Учитывая, когда появились модуль проактивной защиты и контроль количества попыток авторизации, а так же данную особенность мы можем смело предположить, что на брутфорс (подбор пароля) к данному аккаунту у потенциального злоумышленника были годы! Конечно, там где используются более свежие версии 1С-Битрикс может использоваться 2 факторная аутентификация, однако на моей практике мне не приходилось видеть чужие сайты, использующие эту технологию. Другое дело, если этот пользователь где-то используется в качестве "honeypot" (ловушки) и представляет из себя не администратора, а обыкновенного бесправного пользователя.
В любом случае все владельцы этих аккаунтов должны были получить на почту, указанную в профиле контрольную строку для восстановления пароля, надеюсь, им хватит ума догадаться, что без их ведома это мог сделать только потенциальный нарушитель.
Ну и конечно, очень расстроил тот факт, что на сайте студии Махаон есть такой пользователь. Лидеры продаж, одна из известнейших в рунете студий... Если говорить точнее был... Поскольку после моего письма его переименовали/деактивировали/удалили. А IP адрес с которого я заходил заблокировали на уровне чёрного списка 1С-Битрикс. Порадовала оперативность решения!
Если вдруг кто-то считает меня злым нехорошим человеком. Всем владельцам сайтов я отписал сразу же с объяснением ситуации и предупреждением, что эта статья будет опубликована. Этим собственно вызвал некоторый скандалец из-за возможно слишком истеричных формулировок в письме (за что и извинялся в пятничном посте про admin)
Так же удивил 1 сайт на котором 10 лет назад действительно был Битрикс. Если судить хотя бы по тому, что этот каталог остался и до сих пор доступен для чтения из браузера:
Конечно это уже вряд ли можно назвать "уязвимостью" - функционал битрикса давно не работоспособен и бесполезен (скорее всего). Но тревожным звоночком является то, что вообще подобные системные папки доступны для чтения и просмотра их структуры - этак есть вероятность что и что-то нужное можно читать? А может и писать куда не положено?
В результате моего небольшого исследования была получена сводная таблица:
домен
на 1С-Битрикс?
версия БУС
примечание по безопасности
tinkoff.ru
редирект на другой домен
renins.com
нет
vintage.ru
да
(есть пользователь с логином admin)
elcomsoft.com
нет
(папка /bitrix/ доступна для просмотра!)
pilot.ru
нет
nlu.ru
нет
consultitnow.com
нет
atta.ru
502
repetitor.ru
нет
hwinspector.com
да
(есть пользователь с логином admin)
friendlyway.de
нет
udmurt.ru
да
(НЕТ пользователя с логином admin)
assas.ru
нет
rastvor.ru
нет
machaon.ru
да
(до 12.07.2013 БЫЛ пользователь с логином admin)
cezeo.com
нет
mapilab.com
да
4.1.6
(есть пользователь с логином admin)
interbase-world.com
нет
sowsoft.com
нет
bisinte.lt
да
4.0.5
(есть пользователь с логином admin)
tgslabs.com
да
(есть пользователь с логином admin)
cifnet.net
да
(есть пользователь с логином admin)
incadea.ru
домен продаётся
inlinegroup.ru
да
(НЕТ пользователя с логином admin)
teletrade.ru
нет
alphatour.by
нет
alvena.by
нет
cottage.ru
нет
ihp.by/dhp/
да
3.3.5
(есть пользователь с логином admin)
atlant.spb.ru
да
4.0.11
(есть пользователь с логином admin)
addendum.ru
да
(есть пользователь с логином admin)
svirskoe.ru
нет
wwwwinfo.com
нет
eclips.ru
домен продаётся
mks-ltd.ru
нет
artemcity.ru
фактически не работает
webit.ru
нет
megacentre.ru
домен продаётся
zrs.ru
нет
yantarbereg.ru
да
(НЕТ пользователя с логином admin)
Ключевые выводы:
13 из 40 сайтов (33%) до сих пор работают. Удивительно всё-таки в какой быстро изменяющейся среде мы работаем - всего за 10 лет прошла целая эпоха!
5 из 40 сайтов (13%) перестали функционировать.
10 из 13 сайтов (76%) на 1С-Битрикс имеют пользователя admin (т.е. велика вероятность простого брутфорса в течение срока жизни сайта), хотя и не все из них реальные администраторы
4 из 13 сайтов (31%) используют Битрикс версий 3 или 4 в эпоху 1С-Битрикс 12.5
P.S. спасибо 1С-Битрикс за архив старых новостей, где был обнаружит этот материал - http://www.1c-bitrix.ru/about/life/news/368/, положивший начало моему маленькому исследованию.
Я бы согласился, что проблема раздута, если бы не наблюдал подбор лично. В январе месяце обратились ребята с вируснёй на сайте - всё почистил, все реквизиты сменил, стал мониторить и наблюдал попытку подбора. Сперва к admin, потом ещё к нескольким логинам. Естественно к тому моменту admin был вовсе не админом... =) Параллельно с разного рода попытками инъекций (слава всем богам тут нас модуль проактивной защиты очень здорово выручает) Примерно через месяц процесс прекратился. на одном форуме так же наблюдал довольно активный топик с обсуждением подбора пароля к админке в несколько потоков. Но это было уже с год (а может и больше) назад.
Просто с точки зрения безопасности, всё равно необходимо соблюдать "гигиену". Вы ведь понимаете, что одна из основных угроз в современном мире - инфаркт, а вовсе не холера? И тем не менее руки перед едой моете... Тут просто дело в том, что есть очень простое и дешёвое средство профилактики школоты. Моё мнение, его следует использоваться.
P.S. данная статья не про admin. Она про 13 из 40.
Это такие еще компании-тяжеловесы, один Тиньков чего только стоит с его миллиардами.. то есть как минимум в финансировании разработки там проблем никогда не было. А вот интересно, каков процент реально живых и притом на Битриксе сайтов года через 3 после покупки коробки в среднем по больнице? Ну вот многие же сейчас покупают коробку БУС + типовое решение, начинают бизнес -- рисков очень много... Каков процент выживших через 1,2,3 года?
Роман Забродин, хотел бы и я такую информацию. Увы, в последние годы Битрикс вот так активно такую инфу не публикует, да и сайтов очень много. Можно было бы какой-то парсер настроить, который карточки партнёров смотрит, но... Но делать это надо было 1,2,3 года назад наверное... А сами они вряд ли сознаются.
Увы, в последние годы Битрикс вот так активно такую инфу не публикует
Ну кто же в этом сознается?.. Кроме меня! Дело в том, что меня очень не радует статистика по нашему ТР Битроник.. Причем, иногда я просто не понимаю почему люди уходят. Три примера: vsemgps.ru ecovector.com.ua foto-graff.pro И ладно бы она ушла от меня к Ален Делону, я бы это понял но, тут.. Создается впечатление, что клиент иной раз вообще не понимает, что есть хорошо, а что плохо: дизайн, верстка, программная часть, юзабилити -- все вне критики, НПДО.. и однако ж.. 1. Видимо есть какие-то вещи важные именно для этих клиентов.. вот бы их узнать бы.. 2. А по итогу: посещаемость, рентабельность, оборот, маржа.. неужели лучше стало???
Роман Забродин, иногда смена парадигмы упирается в конкретных людей, ответственных за направление. Вот приходит такой Вася-админ весь из себя крутой, считающий, что битиркс - УГ, а вот маджента - рулез. Убалтывает сменить платформу, стартует проект, но в процессе упирается в обычные бюрократические проблемы - заказчик сам не понимает что хочет, исполнитель наоборот понимает, что хочет денег вместо работы... Вот и получается говно, а Вася-админ уже к тому моменту окончательно разочаровывается в компании и уходит в другую...
Но вы посмотрите в статистику 10 летней давности: из 40 сайтов только 13 на битирксе а если копнуть глубже, то из 40 только 9 на более или менее новом битриксе (не 3-4 версий). Да и те, частично болтаются на 6-7... Реально живых проектов, использующих платформу осталось 5-6 штук. из 40.
И ВСЕГО ЗА 10 ЛЕТ! Наша индустрия слишком скоротечна...
Алексей Задойный , я вот верю в то, что наше ТР лучше и что люди совершили ошибку. Первое мое желание это сказать: админ-Вася -- дурак, не разобрался. И успокоиться на этом. Потом я думаю, а как бы сделал Рыжиков? И понимаю, что нужно стараться по мере сил: просвещаться, образовывать заказчиков и исполнителей -- то что делает 1С-Битрикс: 1. Программы качества и чеклисты 2. Семинары 3. Курсы 4. ТП, обратная связь итд итп И думаю, что если бы всего этого не было, то было бы не 13 сайтов через 10 лет, а 0 уже через 1 год! По этому, считаю, что 32,5% через целых 10 лет, это прекрасный замечательный отличный показатель!
Роман Забродин, я не оцениваю результат по шкале хорошо/плохо. Я не знаю как оценивать результат вообще. Был им немало удивлён и решил поделиться с сообществом.
я тоже не понимаю шума по поводу логинов admin, administrator, root и прочих. Ну попытаются их заломать, уткнуться в блокировку. Другое дело, что пароль у них должен быть не admin, qwerty, 123456 и прочие.
Евгений, посмотрите на такие сайты. Там нет блокировки после Х срабатываний. + написал уже 10 раз, что пост не про admin. Вы больше ничего интересного там не видите? Предыдущий пост вам не объяснил, что тема вынесена в отдельное обсуждение именно потому, что здесь "про другое"?
Евгений Малков, в примере выше тоже есть 4 таких пациента. Остальные в больше или меньшей степени. Мне кажется, это вина ответственного за проект. Инструментом не пользуются и он существует "для галочки", если нет желания в нём что-то улучшить и развить. Или нет понимания что это даст.
ИМХО
Но вообще интересна именно статистика. Мне кажется, таких проектов не много. Я думаю они скорее "умирают", если перестают развиваться. Но если бы у нас была статистика, мы могли бы рассуждать, а не гадать на кофейной гуще, вам так не кажется?
Боюсь ее сложно будет получить. Ну, тех кто получил лицензию в 2004 и ее активно обновляет - можно узнать у Битрикса (если дадут), а вот оставшиеся живые труппы, только вычислять
Группы на сайте создаются не только сотрудниками «1С-Битрикс», но и партнерами компании. Поэтому мнения участников групп могут не совпадать с позицией компании «1С-Битрикс».