Эта статья появилась на свет совершенно случайно. Я не собирался проводить такого анализа и искал совершенно иную информацию. Однако волею случая я оказался на странице сайта 1С-Битрикс с новостью от 2004 года о запуске 40 проектов.
Почти 10 лет назад было всего 50 партнёров, так что запуск даже 40 проектов (тем более таких брендовых по тем временам) - это было новостью! Именно поэтому в история сохранила для нас доменные имена всех 40 сайтов, которыми решили тогда похвастаться в компании Битрикс (тогда ещё не имевшей приставки 1С). Именно поэтому я решил посмотреть сколько из тех 40 проектов используют 1С-Битрикс сейчас. До своего маленького исследования я не ожидал каких-то конкретных данных, мне просто было интересно.
Однако так же в процессе я сделал несколько удивительных наблюдений.
Во-первых, я обнаружил несколько поразительных долгожителей, использующих до сих под Битрикс версий 3 и 4 (хотя на дворе уже давно 2013 год и версия 12.5). Наш чемпион:
Раньше я тоже видел такое только на скриншотах более опытных товарищей в блогах веб разработчиков, поскольку так уж сложилась судьба, что я работаю с 1С-Битрикс с версии 6.5. Теперь удалось посмотреть в живую.
К сожалению, следом за этим я сделал ещё одно неприятное открытие - на большинстве сайтов под управлением 1С-Битрикс или Bitrix есть пользователь с логином admin. Учитывая, когда появились модуль проактивной защиты и контроль количества попыток авторизации, а так же данную особенность мы можем смело предположить, что на брутфорс (подбор пароля) к данному аккаунту у потенциального злоумышленника были годы! Конечно, там где используются более свежие версии 1С-Битрикс может использоваться 2 факторная аутентификация, однако на моей практике мне не приходилось видеть чужие сайты, использующие эту технологию. Другое дело, если этот пользователь где-то используется в качестве "honeypot" (ловушки) и представляет из себя не администратора, а обыкновенного бесправного пользователя.
В любом случае все владельцы этих аккаунтов должны были получить на почту, указанную в профиле контрольную строку для восстановления пароля, надеюсь, им хватит ума догадаться, что без их ведома это мог сделать только потенциальный нарушитель.
Ну и конечно, очень расстроил тот факт, что на сайте студии Махаон есть такой пользователь. Лидеры продаж, одна из известнейших в рунете студий... Если говорить точнее был... Поскольку после моего письма его переименовали/деактивировали/удалили. А IP адрес с которого я заходил заблокировали на уровне чёрного списка 1С-Битрикс. Порадовала оперативность решения!
Если вдруг кто-то считает меня злым нехорошим человеком. Всем владельцам сайтов я отписал сразу же с объяснением ситуации и предупреждением, что эта статья будет опубликована. Этим собственно вызвал некоторый скандалец из-за возможно слишком истеричных формулировок в письме (за что и извинялся в пятничном посте про admin)
Так же удивил 1 сайт на котором 10 лет назад действительно был Битрикс. Если судить хотя бы по тому, что этот каталог остался и до сих пор доступен для чтения из браузера:
Конечно это уже вряд ли можно назвать "уязвимостью" - функционал битрикса давно не работоспособен и бесполезен (скорее всего). Но тревожным звоночком является то, что вообще подобные системные папки доступны для чтения и просмотра их структуры - этак есть вероятность что и что-то нужное можно читать? А может и писать куда не положено?
В результате моего небольшого исследования была получена сводная таблица:
домен
на 1С-Битрикс?
версия БУС
примечание по безопасности
tinkoff.ru
редирект на другой домен
renins.com
нет
vintage.ru
да
(есть пользователь с логином admin)
elcomsoft.com
нет
(папка /bitrix/ доступна для просмотра!)
pilot.ru
нет
nlu.ru
нет
consultitnow.com
нет
atta.ru
502
repetitor.ru
нет
hwinspector.com
да
(есть пользователь с логином admin)
friendlyway.de
нет
udmurt.ru
да
(НЕТ пользователя с логином admin)
assas.ru
нет
rastvor.ru
нет
machaon.ru
да
(до 12.07.2013 БЫЛ пользователь с логином admin)
cezeo.com
нет
mapilab.com
да
4.1.6
(есть пользователь с логином admin)
interbase-world.com
нет
sowsoft.com
нет
bisinte.lt
да
4.0.5
(есть пользователь с логином admin)
tgslabs.com
да
(есть пользователь с логином admin)
cifnet.net
да
(есть пользователь с логином admin)
incadea.ru
домен продаётся
inlinegroup.ru
да
(НЕТ пользователя с логином admin)
teletrade.ru
нет
alphatour.by
нет
alvena.by
нет
cottage.ru
нет
ihp.by/dhp/
да
3.3.5
(есть пользователь с логином admin)
atlant.spb.ru
да
4.0.11
(есть пользователь с логином admin)
addendum.ru
да
(есть пользователь с логином admin)
svirskoe.ru
нет
wwwwinfo.com
нет
eclips.ru
домен продаётся
mks-ltd.ru
нет
artemcity.ru
фактически не работает
webit.ru
нет
megacentre.ru
домен продаётся
zrs.ru
нет
yantarbereg.ru
да
(НЕТ пользователя с логином admin)
Ключевые выводы:
13 из 40 сайтов (33%) до сих пор работают. Удивительно всё-таки в какой быстро изменяющейся среде мы работаем - всего за 10 лет прошла целая эпоха!
5 из 40 сайтов (13%) перестали функционировать.
10 из 13 сайтов (76%) на 1С-Битрикс имеют пользователя admin (т.е. велика вероятность простого брутфорса в течение срока жизни сайта), хотя и не все из них реальные администраторы
4 из 13 сайтов (31%) используют Битрикс версий 3 или 4 в эпоху 1С-Битрикс 12.5
P.S. спасибо 1С-Битрикс за архив старых новостей, где был обнаружит этот материал - http://www.1c-bitrix.ru/about/life/news/368/, положивший начало моему маленькому исследованию.
Статья хорошая, но вот шумихи (вообще, а не только в этой статье) я искренне не понимаю. Ну вот лично мне нравится admin, а еще root у меня есть на одном сайте. Не стоит забывать, что пароли меняются, и у кого сайт более-менее серьезен в курсе, что это надо делать периодически. У других же товарище сайт, как правило, не представляет интереса и для хакера.
Антон Долганин, объясню ещё раз. Нашёл у 10 из 13 сайтов такого юзера. Случайно. Ради баловства проверил. Поскольку цифра большая, то решил поделитсья инфой. А потом задумался - а не спалю ли я людей? Думал-думал и решил предупредить. Ну и слишком "предупредил"... Потому и извинялся в пятничном топике, а этот придержал до понедельника.
P.S. менять пароль бесполезно. Надо именно следить за попытками подбора. С точки зрения вероятности однофигственно что подобрать один неизвестный пароль, что другой такой же неизвестный. А если пароль (в добавок к логину) был скомпрометирован, то менять его уже бесполезно - в системе может быть бекдор.
P.P.S. не все сайты настолько серьёзны, чтобы позволить себе админа, который будет проверять "а никто у меня тут пароли не подбирает?"
Есть еще почва с SSH не паханая, мало кто ставит блок по лимиту. У всех root. И пофик на Битрикс. Кстати, открою секрет, который уже не был секретом пару лет назад. Хакеры махнули рукой на Битрикс (ну, ладно, второсторные хакеры), им проще ломать сервер, железо, но не Битрикс.
Поэтому и говорю - раздутая проблема слишком. Она имеет место быть, но ровно так же как и проблема подбора SSH.
Я бы согласился, что проблема раздута, если бы не наблюдал подбор лично. В январе месяце обратились ребята с вируснёй на сайте - всё почистил, все реквизиты сменил, стал мониторить и наблюдал попытку подбора. Сперва к admin, потом ещё к нескольким логинам. Естественно к тому моменту admin был вовсе не админом... =) Параллельно с разного рода попытками инъекций (слава всем богам тут нас модуль проактивной защиты очень здорово выручает) Примерно через месяц процесс прекратился. на одном форуме так же наблюдал довольно активный топик с обсуждением подбора пароля к админке в несколько потоков. Но это было уже с год (а может и больше) назад.
Просто с точки зрения безопасности, всё равно необходимо соблюдать "гигиену". Вы ведь понимаете, что одна из основных угроз в современном мире - инфаркт, а вовсе не холера? И тем не менее руки перед едой моете... Тут просто дело в том, что есть очень простое и дешёвое средство профилактики школоты. Моё мнение, его следует использоваться.
P.S. данная статья не про admin. Она про 13 из 40.
Это такие еще компании-тяжеловесы, один Тиньков чего только стоит с его миллиардами.. то есть как минимум в финансировании разработки там проблем никогда не было. А вот интересно, каков процент реально живых и притом на Битриксе сайтов года через 3 после покупки коробки в среднем по больнице? Ну вот многие же сейчас покупают коробку БУС + типовое решение, начинают бизнес -- рисков очень много... Каков процент выживших через 1,2,3 года?
Роман Забродин, хотел бы и я такую информацию. Увы, в последние годы Битрикс вот так активно такую инфу не публикует, да и сайтов очень много. Можно было бы какой-то парсер настроить, который карточки партнёров смотрит, но... Но делать это надо было 1,2,3 года назад наверное... А сами они вряд ли сознаются.
Увы, в последние годы Битрикс вот так активно такую инфу не публикует
Ну кто же в этом сознается?.. Кроме меня! Дело в том, что меня очень не радует статистика по нашему ТР Битроник.. Причем, иногда я просто не понимаю почему люди уходят. Три примера: vsemgps.ru ecovector.com.ua foto-graff.pro И ладно бы она ушла от меня к Ален Делону, я бы это понял но, тут.. Создается впечатление, что клиент иной раз вообще не понимает, что есть хорошо, а что плохо: дизайн, верстка, программная часть, юзабилити -- все вне критики, НПДО.. и однако ж.. 1. Видимо есть какие-то вещи важные именно для этих клиентов.. вот бы их узнать бы.. 2. А по итогу: посещаемость, рентабельность, оборот, маржа.. неужели лучше стало???
Роман Забродин, иногда смена парадигмы упирается в конкретных людей, ответственных за направление. Вот приходит такой Вася-админ весь из себя крутой, считающий, что битиркс - УГ, а вот маджента - рулез. Убалтывает сменить платформу, стартует проект, но в процессе упирается в обычные бюрократические проблемы - заказчик сам не понимает что хочет, исполнитель наоборот понимает, что хочет денег вместо работы... Вот и получается говно, а Вася-админ уже к тому моменту окончательно разочаровывается в компании и уходит в другую...
Но вы посмотрите в статистику 10 летней давности: из 40 сайтов только 13 на битирксе а если копнуть глубже, то из 40 только 9 на более или менее новом битриксе (не 3-4 версий). Да и те, частично болтаются на 6-7... Реально живых проектов, использующих платформу осталось 5-6 штук. из 40.
И ВСЕГО ЗА 10 ЛЕТ! Наша индустрия слишком скоротечна...
Алексей Задойный , я вот верю в то, что наше ТР лучше и что люди совершили ошибку. Первое мое желание это сказать: админ-Вася -- дурак, не разобрался. И успокоиться на этом. Потом я думаю, а как бы сделал Рыжиков? И понимаю, что нужно стараться по мере сил: просвещаться, образовывать заказчиков и исполнителей -- то что делает 1С-Битрикс: 1. Программы качества и чеклисты 2. Семинары 3. Курсы 4. ТП, обратная связь итд итп И думаю, что если бы всего этого не было, то было бы не 13 сайтов через 10 лет, а 0 уже через 1 год! По этому, считаю, что 32,5% через целых 10 лет, это прекрасный замечательный отличный показатель!
Роман Забродин, я не оцениваю результат по шкале хорошо/плохо. Я не знаю как оценивать результат вообще. Был им немало удивлён и решил поделиться с сообществом.
я тоже не понимаю шума по поводу логинов admin, administrator, root и прочих. Ну попытаются их заломать, уткнуться в блокировку. Другое дело, что пароль у них должен быть не admin, qwerty, 123456 и прочие.
Евгений, посмотрите на такие сайты. Там нет блокировки после Х срабатываний. + написал уже 10 раз, что пост не про admin. Вы больше ничего интересного там не видите? Предыдущий пост вам не объяснил, что тема вынесена в отдельное обсуждение именно потому, что здесь "про другое"?
Евгений Малков, в примере выше тоже есть 4 таких пациента. Остальные в больше или меньшей степени. Мне кажется, это вина ответственного за проект. Инструментом не пользуются и он существует "для галочки", если нет желания в нём что-то улучшить и развить. Или нет понимания что это даст.
ИМХО
Но вообще интересна именно статистика. Мне кажется, таких проектов не много. Я думаю они скорее "умирают", если перестают развиваться. Но если бы у нас была статистика, мы могли бы рассуждать, а не гадать на кофейной гуще, вам так не кажется?
Боюсь ее сложно будет получить. Ну, тех кто получил лицензию в 2004 и ее активно обновляет - можно узнать у Битрикса (если дадут), а вот оставшиеся живые труппы, только вычислять
Группы на сайте создаются не только сотрудниками «1С-Битрикс», но и партнерами компании. Поэтому мнения участников групп могут не совпадать с позицией компании «1С-Битрикс».