Офтоп Philipp Kontsarenko
28 744

Биржу фрилансеров Fl.ru взломали — исходный код сайта выложен в открытый доступ

Утром 28 июля пользователи крупнейшей российской биржи фрилансеров Fl.ru обратили внимание на подозрительную активность в официальном сообществе и на главной странице сайта — взломщики изменили описания официальных аккаунтов и опубликовали якобы исходный код сервиса.

Пользователи Fl.ru обратили внимание на подозрительную активность на главной странице сайта утром 28 июля:

Буквально полчаса назад, на главной странице проектов на всем известной некогда флагманской бирже рунета был опубликован очень интригующий проект. Который сразу привлек внимание мониторящих ленту фрилансеров. Проект опубликован с аккаунта главного администратора биржи.

Спустя некоторое время сайт перестал открываться:

На момент публикации этой заметки при попытке открыть сайт Fl.ru выдается ошибка:

Читатель ЦП Иван Иванов рассказал, что проблемы в функционировании сайта начались еще раньше. Сначала официальное сообщество Fl.ru было переименовано, изменилась фотография и описание:

Позже сообщество было отключено полностью, а на главной странице появился проект, в котором был выложен якобы движок сайта, рассказывает Иванов.

Пользователи Fl.ru также получили письмо от администратора со ссылкой на созданный проект.

Обновлено 28 июля, 17:24. Сайт Fl.ru восстановил работу, однако раздел «Сообщества» по-прежнему не открывается.

#новость #взлом #безопасность #фриланс #Fl_ru

{ "author_name": "Philipp Kontsarenko", "author_type": "editor", "tags": ["\u0444\u0440\u0438\u043b\u0430\u043d\u0441","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0437\u043b\u043e\u043c","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","fl_ru"], "comments": 229, "likes": 37, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 9570, "is_wide": true, "is_ugc": false, "date": "Tue, 28 Jul 2015 12:13:23 +0300" }
{ "id": 9570, "author_id": 4, "diff_limit": 1000, "urls": {"diff":"\/comments\/9570\/get","add":"\/comments\/9570\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/9570"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791, "possessions": [] }

229 комментариев 229 комм.

Популярные

По порядку

Написать комментарий...
36

Безопасная сделка.

Ответить
2

В гландец? Орагинально :-)

Ответить

1 комментарий

2 комментария

14

Из глаз кровь пошла.

Ответить
6

это наверно луший их кусок

Ответить
1

10/10 хоспади

Ответить
0

Тоже хочу понять что тут:) Расскажите?)

Ответить
15

На Хабре умеют выбрать нужное

Ответить
9

Тем временем СЕО хвастает в фб сокращением штата

Ответить

0

Ага, по его ощущениям лучше содержать толпу говнокодеров, чем 3-5 настоящих профи.

Ответить
6

ЦП теперь мое место пиара!
-Делаю анимацию HTML5
-Иллюстрации
-Лэндинги
-Верстка
-Отсосу у водителя
animated-html.ru

Ответить
19

Добрый день. Хочу заказать услугу "Отсосу у водителя". Вы выполняете тестовое задание или может быть у вас есть примеры выполненной работы?

Ответить
1

Услуга действует только для дальнобойщиков.
Вы дальнобойщик? Если да сообщите марку грузовика, объем двигателя и грузоподъемность. )))

Ответить
1

"Безопасная сделка" есть?

Ответить
7

нужно отсосать у водителя, оплата строго после выполнения проекта. Кидал и халявщиков просьба не откликаться.

Ответить
0

python, php, качественно (не как на fl.ru), дорого. Приму ваши деньги.

Ответить
14

Кто-то мстит за предыдущие грехи ФЛ с монетизацией?

Ответить
10

Жесть, надеюсь админы ответят за это, + за то что творили с сайтом последние 3 года.

Ответить
10

Там весь сайт почти из костылей собран)

Ответить

3 комментария

5

Тут на гите отметился сам хакер и прокомментировал отсутсвие базы данных. Слить ее не удалось в виду огромного размера.

Ответить
10

Ну и метод взлома тоже раскрыл до кучи. Все оказалось так просто, что даже смешно)

Ответить
–1

пожалеть его, может, еще? :о)

Ответить
0

Не надо жалеть. Парень просто очень хотел устроиться на работу и оригинально подошел к тестовому заданию. =)

Ответить
1 комментарий
8

А где исходники?

Ответить

1 комментарий

3 комментария

7 комментариев

6

никто не любит fl.ru

Ответить
6

Сайт идеальный пример того, что бывает, когда руководство «зажралось».

Ответить
5

Движок - концентрат ада PHP-кодинга. Классы еще из PHP4, каша функций и ООП, глобальные переменные и другой треш. Неудивительно, что взломали.

Меня особо прет инициализационный файлик classes/stdf.php весом почти 400 кб, который подключается к каждому скрипту/странице

Ответить
1

зато как душевно комменты стоят

Ответить
2

ссылку на архивчики в студию!

Ответить
1

ну и говнокод если честно ) такая простыня в index.php =)

Ответить
0

А дамп базы есть там?

Ответить
1 комментарий
0

на роем в скринах было

Ответить
14

Движок выложен в скриншотах))

Ответить
2

дада))Я тож хочу

Ответить
–4

Честно говоря, я был бы рад уголовному делу по статье за неправомерный доступ. Ну, окей, ломанул. Ну напиши ты им "ребята, у вас дырыЮ заткните".
На самом же деле - насрал-то не владельцам. Насрал 100500 пользователям.

Ответить
14

А нечего там было сидеть. Я свалил от туда сразу же как Воропаев начал обкалываться "безопасными сделками". Судьба пректа была предрешена давно.

Ответить
9

Зная наши шарашкины конторы, вместо хотя бы "спасибо", получил бы нападки "ты нас взломал, в тюрьму". Сколько уже таких ситуаций было. Без системы баунти за баги обращаться к владельцам ресурсов чревато.

Ответить

4

Всем привет!

Ответить
5

Нет, я открыл кстати, все норм. Такое чувство, что их систему писали 50 разных фрилансеров.

Ответить
1 комментарий
0

где качал? у меня не ругался ни хром ни антивирь

Ответить
2

Ну все ЦП превратился в файлообменник

Ответить
13

А каким файлообменником ты пользуешься?

Ответить
0

А чего они плохого сделали то?

Откуда ненависть?

Ответить
11

Да просто пидорасы, а так все хорошо. За каждый ЧИХ бабки брали, совсем охерели уроды.

Ответить
8

Безбожно драли с фрилансеров, создали систему при которой новичку сложно взять заказ и наработать скилы.

Ответить
8

За руль проекта встали "эффективные менеджеры", сосущие все, что сосётся

Ответить
3

читают переписку пользователей, когда даже банили за передачу личных контактов через личные сообщения

Ответить
1

За последние несколько лет, fl.ru довольно часто попадала в очень желтые истории. Вот одна из них.

Ответить
1

Одни ненавидят, что на сайте полно демперов и школоло, а выгодных заказов почти нет.
Другие - что для новичков и неумех (читай "демперов и школоло") на сайте все дорого, а богатых клиентов должны раздавать бесплатно.
Бесконечное противостояние.

Ответить
0

Вы думаете сайт взломал школоло-демпер?

Ответить
1 комментарий
0

Похуй на код, хоть на бейсике он там мог быть.
А вот то, что теперь негде найти фрилансеров - это реально беда. Как быть-то? Ждать, пока они все перебегут на другой сайт, закачают портфолию и всё такое? Это малореально.
На самом деле сливший базу насрал не владельцам сайта. Он насрал тысячам фрилансеров. И это гадко.

Ответить
12

В рунете не одна фриланс биржа

Ответить
4

Если один человек может потопить целый бизнес, то это пиздец, извините.
Не должно быть такого

Ответить
0

думаю что не все так плохо. фрилансеры и заказчики переберутся на более удобные и лояльные биржи, а фл.ру получит по заслугам, + жду-надеюсь на 100500 исков в суд за утраченные данные/деньги/заказы/итд

Ответить
0

Что проще и удобнее - работать на 1 ресурсе или на 10 параллельно?

Ответить
1 комментарий
–35

Качайте, качайте.. "движок сайта", через 1-2 часа будете ОС восстанавливать и кошельки свои почищенные посмотрите.

Ответить
3

Вот и весь секрет паранойи

Ответить
5 комментариев
7

Админ фл.ру перелогинся. Там просто набор говно-пхп скриптов, обычный сайт)

Ответить
1

господи, что за бред
в архиве движок, на хабре уже даже разоюрали немного
там куча php-файлов по сути и не одного исполняемого)

Ответить
0

залейте на яндекс? поделитесь ссылкой? :)

Ответить
1 комментарий
4

Залил кому надо:
http://yashko.ru/flru_dump.zip

Ответить
4

Ура! Неужели! С 2009 ждал этого момента. Кстати, а куда движок выложили?

Ответить
1

БД у взломщиков тоже есть. Только в сеть они её не выложат.

Ответить
4

Да база давно где-то на руках. Судя по тому, что я еще в мае начала получать спам на суперсекретный e-mail, заведенный в феврале исключительно для аккаунта на фл.ру... Который нигде никогда я никому не светила.

Ответить
1

Почистят от "мусора" и выложат.))

Ответить
1

-Выложат, выложат.. Я себя знаю (c)
:)))

Ответить
–38

Что такое "движок сайта"?

Ответить
8

Сколько слежу за публикациями ЦП и комментами обитателей, все чаще задаюсь вопросом... зачем комментировать, если сам комментатор не понимает о чем публикация (распространено в публикациях посвященных логотипам, дизайну, программированию).

Ответить
7

Я другого не понимаю, как можно сидеть на проекте, посвященном интернет-предпринимателям (ключевое слово - "интернет") и не знать, что такое "движок сайта"?

Ответить
6 комментариев
5

Да ппц вообще сам в шоке))))

Ответить
1

Имеется ввиду исходный код.

Ответить
3

Плата за жадность :) Так им и надо, честно говоря.

Ответить
3

Для меня этот пост стал открытием аудитории ЦП о которой я даже не догадывался

Ответить
1

интересно, какой сейчас самый популярный в рунете ресурс для фрилансеров?

Ответить
2

Если верить Тостеру - https://toster.ru/q/90239#answer_286005, FL пока на коне, причем очень уверенно. В пятерке - https://freelance.ru/, https://weblancer.net/, https://freelancehunt.com/, http://freelansim.ru/ - но по количеству заказов они реально позади ...

Ответить
0

"Ответ написан более года назад"

Ответить
1 комментарий
1

Нахрена он вам нужен их код? Абсолютно не выдающийся проект с точки зрения технической реализации. Свой пишите.

Ответить
0

потерли файл уже)

Ответить
0

на пыхе движ?

Ответить
2

да, и даже от инъекций не закрылись

Ответить
1

Ну учитывая, что 90% проектов выполняется на PHP - то да, на "пыхе".

Ответить
0

ща протестим

Ответить
0

не качает, брат пока жив

Ответить
0

Уже удален

Ответить
0

делаем ставки через сколько минут после запуска их снова взломают)

Ответить

–2

Шутки-шутками, но не думаю, что они так глупы, чтобы запускаться с «дырами». Возможно, что это некая пиар-акция к запуску fl.ru на новом движке. Кто их знает. Уж больно пароли глупые, да и сам движок стремноват для такого сервиса.

Ответить
4

Добро пожаловать в реальный мир. Да, они уже запустились с дырами. И да, даже в крупных компаниях присутствуют пароли 12345 в открытом виде к базе и не только.

Ответить
1 комментарий
0

Я думаю все переберутся на http://freelansim.ru/ Он самый достойный из всех.

Еще, мне кажется, вот прям сейчас найти исполнителя можно дешевле обычного. Фрилансеры быстрее заказчиков перебегут на новые биржи и спрос какое-то время будет превышать предложение.

Ответить
–23

Что-то я не поняла - здесь ссылки индексируются что ли? Откуда ТИЦ тогда такой?

Ну-ка попробую: http://reklama-narugnaya.ru
Простите за спам :-)

Ответить
6

Ты действительно не поняла.

Ответить
–2

на самом деле, очень печально всё это. фл.ру — очень хорош для реальных фрилансеров, а не тех, кто ищет шабашку после основной работы. 80% заказов беру оттуда и очень будет хреново, если они закроются, ни на веблансере, ни на фрилансим таких объемов увы нет. так что да, хацкер — мудак.

Ответить
2

Я бы опасался вести дела на таком дырявом сайте. И тут не важны объемы.

Ответить
0

ога, лучше сидеть без работы? опять же, не вижу особой проблемы во взлома аккаунта, с клиентами всё равно не на сайта работаю, а вот искать кроме как на фл больше негде.

Ответить
6 комментариев

1

Теперь опыт работы в FL будут скрывать, иначе можно до пенсии с черной меткой ходить на собеседования.

Ответить

0

ой, ну да. На апворке так вообще заказов нет. Страдаем всеми фибрами души!

Ответить
0

если я правильно понимаю, то это украинский ресурс. не думаю, что там больше заказов чем на фл.ру

Ответить
4 комментария
1

Судя по папкам и файлам со скриптами, сайт ломанули еще 25 июля ночью

Ответить
1

А где нынче модно искать исполнителей или самому брать заказы?

Ответить
0

odesk.com, freelansim.ru, и т.д.

Ответить
2

odesk теперь upwork

Ответить
1 комментарий
2 комментария
1

Очень вероятно, что БД со всеми клиентскими данными тоже слили, так как в исходниках были пароли к базе, а база находилась на том же сервере, что и скрипты

Ответить
2 комментария
0

появилось на сайте якобы с 18.00 станет доступен
ждёмс

Ответить
1 комментарий
0

От греха подальше)

Ответить
8 комментариев
0

Продаю акции 36.6

Ответить
0

Не заплатили денег разрабам? )

Череда неудач у FL...

Ответить
–9

Ахаха ) Антоша клева трафик генерит, быдломасса обратные ссылки генерит.

Ответить
2 комментария
0

А можно мне там рейтинг повысить?
Это кому надо писать?

Ответить
3 комментария
0

Не могли бы подсказать, где конфиги хранятся? (доступ к бд и т.д.)

Ответить
3 комментария
1

Кармическое наказание

Ответить
1

Я думаю эти php скрипты нафиг никому не нужны, разве что поглумиться.
Будет редакционный сбор всех ошибок Fl.ru?
Ну типа "от взлета до падения" :)

Ответить
1

А я только собрался портфолио там обновить)

Ответить
1

немного исходников АД.кг

Ответить
1

Никто почему-то не пишет, про еще одну вероятность.
Многие заказчики присылают доступы к проектам через систему сообщений fl или в переписке к проекту.
Если все-таки базу слили, то будет еще один facepalm и волна взломов по клиентам.

Ответить
–4

http://spylance.com можно тут.

Ответить
7 комментариев
0

Фриланс точка ру сегодня празднуют и пьют шампанское! :)

Ответить
4 комментария
0

Походу кошельки ФЛ уже почистили.))) Красавы!))

Ответить
1 комментарий
0

Заработало, фух...

Ответить
0

На барыжниках уже продают скрипт ))

Ответить
0

Спасибо ЦП и хабру за комменты, получился интересный вечер, куда интереснее самого события :)

Ответить

0

Меня без работы оставили:(

Ответить
2 комментария
0

Я может ламер, но разве такие вещи не резервируются раз в сутки на защищенном сервере? И надо токо откатиться на сутки...

Ответить
3 комментария
0

Ну что кто-нибудь уже успел скачать?

Ответить
4 комментария
0

сейчас вообще ошибка 400 выскакивает

Ответить
0

Есть ли там в движке данные пользователей или нет?

Ответить
2 комментария
0

Где же теперь найти заказчиков "бесплатно и смс"?

Ответить

0

Уже работает=))))))

Ответить
3 комментария
0

Мнение о движке...

Ответить
0

Про "альтернативы".

Пресловутый Upwork в поиске фрилансеров с фильтром Writing - Web Content (Russia) половину выдачи поганит веб-девелоперами и прочими Ruby on Rails engEneer'ами.

И еще крашнул вкладку Хрома.

Ответить
0

смешно будет, если исполнителя на FL нашли.

Ответить
0

Для тех, кто не дождется открытия блогов, чтобы высказаться на "любимом" адкг, добро пожаловать сюда - https://vk.com/blogi_flru
Можно все :)

Ответить
1 комментарий

3 комментария
–14

Это был не "движок сайта", а вирус))) Кто успел, тот скачал)

Ответить
–1

На сайте проводятся технические работы.
Free-lance.ru будет доступен для посещения с 18:00 по московскому времени.

Фокусники, в 18:00 запустятся в 18:10 снова упадут. :)

Ответить

–4

Подрабатываю на фрилансе http://goo.gl/Bej8o4 Большинство заданий - разовые с средней ценой 500р.

Ответить
1 комментарий

0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления
{ "page_type": "default" }