Буквально полчаса назад на главной странице проектов на всем известной некогда флагманской бирже Рунета был опубликован очень интригующий проект. Который сразу привлек внимание мониторящих ленту фрилансеров. Проект опубликован с аккаунта главного администратора биржи.
Поскольку в конкурсе присутствует ненормативная лексика, она была заретуширована.
К этому конкурсу тут же подключились некоторые фрилансеры.
Через пять минут такой забавы саппорт отреагировал моментально, и биржа на данный момент закрыта.
Учитывая, что на бирже действительно с каждым апдейтом все больше закручиваются гайки как для фрилансеров так и для работодателей только с одной целью — получить как можно больше монеток, и «улучшить» жизнь пользователям. Цены на услуги ничем не обоснованы и являются самыми высокими на всех биржах Рунета (да и с заморскими биржами некоторыми тоже зашкаливают).
Хорошая иллюстрация к несоответствию своих аппетитов и предоставляемых возможностей. А так же — показатель участившихся взломов и сливов явно не на пользу квалификации тех. персонала биржи.
PS Ребята из команды АД.кг — вернитесь на Землю, и биржа еще возможно вернет свое былое величие.
UPD: Помимо взлома аккаунта администратора, хакером были выкачаны с сервера и выложены в паблик все файлы рабочего сайта FL.ru. По утверждению хакера, базу данных он заполучить не смог (тыц, тыц). Хотя, верится в это с трудом.
UPD 2: Биржа уже работает, но с перебоями. Отключены «Сообщества» и «Конкурсы».
И время от времени на ленте публикуются странные проекты с вполне нормальных аккаунтов работодателей с набором аббракадабры в заголовке проекта и содержании — на подобии, ФЫВАРОМВ.
Так что, не лишним будет сменить пароли на своих учетных записях, уважаемые пользователи.
UPD 3: Хакер продолжает выкладывать новые сведения о взломе, том что нашел на сервере — тыц, тыц, тыц
А так же — очередные уязвимости — тыц (уже закрыта).
Комментарии (251)
appsdesignru
28.07.2015 11:44+3Фл.ру взломали и уже через пару минут новость разлетелась по инету, успели посливать движок по ссылке и даже местами разобрать его. Имею подозрения что тот кто взломал об этом сейчас везде и постит.
А вообще разберите, пожалуйста, базу и посмотрите какие там личные данные юзеров.
Mark29 Автор
28.07.2015 11:49+7Вы потом зайдите на биржу (когда она заработает) — и почитайте «официальную статистику» количества посещений ресурса ;)
И прикиньте, сколько людей увидели этот конкурс. И сколько успели заскринить и опубликовать новость по Рунету. Видимо это одна команда… это заговор…
Как вариант — слоган: «ВВВ решил вернуться!?»
Antuan
28.07.2015 11:50+1По той ссылке только движок. БД нет
Scrobot
28.07.2015 12:06+2Угу. Но есть конфиги, которые я ради праздного любопытства поизучал)) Много интересного) Например «Настройки сервиса бекапа файлов в облачное зранилище», Ключи API, даже логин и пароль к БД, правда без адреса сервера, но это и не суть… в общем, я думаю не особо скоро он заработает, особенно с такой утечкой…
Antuan
28.07.2015 12:11+13define('WM_VERIFY_KEYPASS', 'xyitebe');Scrobot
28.07.2015 12:19+18Ну даже и без конфигов, представим что они все ложные, изучив исходники можно спокойно найти кучу дыр, и повторно положить этот сервис. Так что по логике, необходимо было бы переписать этот сервис с нуля, ИМХО))
DoctorChaos
28.07.2015 14:32+25Возможно, мы станем свидетелями самой быстрой в мире миграции с PHP4-говнокода на PHP5 и Symfony/Yii/Laravel etc. :)
Lux_In_Tenebris
28.07.2015 12:28+2Хорошо бы намёк, где сейчас скачать заветный архив. O;-)
reimax
28.07.2015 12:31+4Если подписаны на официальное их сообщество, то таких намеков на почту должно было прийти писем 10 до того, как сайт из розетки выключили.
Mark29 Автор
28.07.2015 12:37+1На бирже уведомления на е-мейл работают через пень-колоду.
Иногда — моментально, а иногда — могут и через неделю прийти. А может и вообще не прийти :)
Haoose
28.07.2015 12:35Были тут: myfolder.ru/files/44004298
Но файл уже удален. Может кто успел скачать.Mark29 Автор
28.07.2015 12:38+1Значит саппорт фл.ру сразу написал абузу ребятам из файлообменника — удалили достаточно оперативно.
Lux_In_Tenebris
28.07.2015 12:41-9Нашли, конечно, куда заливать. Даже по этому уже можно сделать выводы о профессиональном уровне взломщика.
MUTOgen4eg
28.07.2015 12:42+3На торренты надо :)
Haoose
28.07.2015 12:58+6Вот и рабочая ссылка:
www.ex.ua/92838442
Содержимое:
Извиняюсь, но пока только так
Scrobot
28.07.2015 13:04+20Ловите) github.com/veryEvilMan/fl-ru-damp
Какой-то чудак уже успел загрузить на гитхаб)) Думаю долго там оно не продержится — скоро забанят))
amage
28.07.2015 14:07+57Ну и зачем я это рефакторю?
MaximChistov
28.07.2015 14:56-13лол )))
MaximChistov
28.07.2015 23:28+2мда, запостил две статьи по спрингу — два плюса в карму
развеселило что я не один таким рефакторингом как в комменте выше занимаюсь — два минуса в карму.
вот и пиши после такого статьи сюда…
serg_smirnoff
28.07.2015 17:22На самом деле идея с размещением этого движка на гитхаб гениальна. Команда должна взять это на вооружение, и дать людям поправить все что можно поправить. Но увы. Удалят же.
dr1v3
28.07.2015 17:53+2Там нужно править слишком много, проще написать с нуля.
serg_smirnoff
28.07.2015 17:57Сейчас у руководства fl.ru есть отличный шанс поправить ситуацию. Все будет зависеть от того как они этот шанс используют
lexore
28.07.2015 18:06+15О, там уже есть pull request и issue.
Вот это я понимаю, краудсорсинг!
Кстати, в issue отметился сам хакер и выложил конфиги nginx до кучи.
github.com/veryEvilMan/fl-ru-damp/issues/3
Methos
28.07.2015 22:26+7УЖАС… этот код даже бесплатно не нужен, ибо его и поддерживать намного расточительнее, чем создать новый.
Эти папки, в каждой папке index.php — это т и х и й у ж а с
То есть, разработчики не знаю ни про ЧПУ, ни про правильную архитектуру.
И конечно же, лапша кода в html… о боже
fetis26
29.07.2015 20:37Зато мы теперь примерно знаем, что внутри и различных старейших проектов Рунета
areht
30.07.2015 01:50Да ладно вам «расточительнее», им даже не надо искать людей, которые за 3000р прикрутят что хочешь
smoked
02.08.2015 00:23Разработчики я думаю все знают, а вот руководству на это скорей всего наплевать и поэтому им не нужен новый код на новом движке, им нужна поддержка старого. Что их в конце концов и погубило.
set
28.07.2015 13:06-6уже нету
agent_0007
28.07.2015 13:11+2все есть по ссылке на гитхабе)
ozgg
28.07.2015 13:52+23Сколько человек сегодня будет глаза с мылом мыть после просмотра исходников, страшно представить.
EminH
28.07.2015 15:56+11я никогда не называл себя программистом и был уверен что мне за мой пхп код должно быть стыдно… но после этого…
пойду погляжу вакансии :)edogs
28.07.2015 16:05+5Нам лет назад 5 приходило предложение работать на фрилансе, уровень зарплаты был в 2 раза ниже чем для новичка-программера без ВО в питере.
Если у них осталась та же зарплатная политика, то код в общем-то не так и ужасен, с учетом затрат на него:)
При чем в самом сервисе-то ничего сложного нет, за пару воропаевских зарплат можно было нормальный проект заказать свободно у нормальной студии.
MUTOgen4eg
28.07.2015 12:32+12Насчет того, что база не слита, я бы не спешил с выводами.
База слишком ценный ресурс, чтобы кидать ее в открытый доступ вместе с исходниками.Mark29 Автор
28.07.2015 12:42+2Если удалось слить полностью все файлы сайта с сервера, вполне возможно что и до БД добрались.
Значит руки прямые и голова соображает.
Таких бы ребят ООО Ваан взяло на работу — биржа бы работала стабильно и быстро, и без глюков.
А вот если и БД взяли полностью — это уже не айс. Особенно паспортные и финансовые данные пользователей. Там же и сканов целая куча.MUTOgen4eg
28.07.2015 12:43+2Мне бы вообще интересно было бы послушать официальные заявления от FL.ru
Mark29 Автор
28.07.2015 12:46+13Особенно после того, как некий новый админ (или менеджер) в этом самом официальном сообществе недавно забанил кучу пользователей, которые «выражались не по теме топика»… или просто ему не понравились.
Правды все равно никто не скажет.
RootPass
29.07.2015 12:12По ссылке на новости выдает ошибку 403 (https://www.fl.ru/commune/drugoe/5100/flru/), видимо там пока только неофициальные новости.
lexore
28.07.2015 18:11База весит побольше, чем исходники, на порядки.
И слить её без шума сложнее — dump создает повышенную нагрузку на сервер БД, это становится видно на графиках.
Т.е. в случае БД могут среагировать раньше, чем докачается дамп.Mark29 Автор
28.07.2015 18:14+3Да, товарищ хакер все это провернувший уже дал свой ответ про БД на другом ресурсе:
konardo commented an hour ago
На ЦП и Хабре многие сокрушались по поводу отсутствия БД. Отвечаю: она слишком велика (размер исчисляется гигабайтами). Даже схему мне не удалось получить, так как PgSQL не дампит названия колонок, их формат и прочее...
UPD Или вы он и есть? :)))
JC_Piligrim
28.07.2015 21:15+2Ой, да ладно вам! Такой взрослый и в сказки верите. Базу там он не слил. В коде есть все модели, названия колонок и таблиц. Сливать базу возможно не только pg_dump'ом за раз, а тихими селектами и отправкой себе за неделю. Мониторинг вряд ли что покажет. Не удивлюсь, если хакер порядком поюзал средства, находящиеся на счетах биржи и отправил их себе на пенсию. С таким-то раздолбайством на fl.ru. Уж если он нашёл время в конфигах позаменять реальные финансовые ключи на 'hyuitebe'…
Одно печалит, что там куча паспортных данных, кредиток, сканов и прочей персональной информации, которую скоро можно будет увидеть на экранах всем, кому не хотелось бы это показывать. :(
DarkByte
28.07.2015 13:15Учитывая то количество SQL-i, которое у них имеется, слить базу можно было без проблем, а вот как файлы слили — это уже интересно.
Mark29 Автор
28.07.2015 13:20Таки да. Это же полная структура со всем хламом — значит скачивали напрямую по фтп…
Как вариант — кто-то из бывших тех. работников постарался или решил сказать «Чао» на прощание.DarkByte
28.07.2015 19:34+4Отвечу сам на свой вопрос цитатой из репозитория, куда залиты сорцы (ссылка на него была выше):
Да, поднялась такая шумиха, что оглохнуть можно…
А ведь всё дело было только в том, что эти придурки оставили на сервере разработки (beta.free-lance.ru) порт 8080, который принимал PUT-запросы к WebDav, что позволило мне залить PHP-шелл и получить доступ к движку сайта.
dinikin
28.07.2015 12:54А это что значит?
aivus
28.07.2015 12:55+1free-lance.ru
Сертификат на *.free-lance.ru прописан. А на *.fl.ru не прописали.
ksenobayt
28.07.2015 13:32+24Глобальные переменные в проекте на PHP в 2015-м году.
Говорите что хотите, но эти люди заслужили подобный исход.
achempion
28.07.2015 13:36+8легаси же
ksenobayt
28.07.2015 14:05+7Я даже из своего
говн^Wлегаси выкинул глобал весь, хватит уже некрофилией заниматься.
OlegTar
28.07.2015 15:41Мне кажется, если код уже сильно на них завязан, то не выкинешь.
ksenobayt
28.07.2015 16:02+9Мне кажется, что если код сильно завязан на глобальных переменных, его надо выкинуть, и переписать проект заново.
Тащить за собой это проклятье четвёрки — самоубиство, маразм и гимн лени в одной куче.
dinikin
28.07.2015 13:37+6Очень вероятно, что БД тоже слили, так как в конфигах есть пароли к ней
Если взломщик конечно не почистил конфиги перед тем, как выкладывать в публичный доступ
И БД на том же хосте, что и скрипты, что тоже эпичненько, если опять же, исходники не были модифицированы
achempion
28.07.2015 13:41+23вангую, что если бы им просто написали об уязвимости, то эта контора не только бы спасибо не сказала, а начала грозиться судами и т.п. у них вообще есть контакты куда об уязвимостях писать?
leoismyname
28.07.2015 13:42+8RewriteCond %{HTTP_REFERER} ^http://project/users/[^/]+/[^\.]+\.swf$
RewriteRule ^(.*)$ /xui.php [L]
Xlab
28.07.2015 13:43+4Для истории и справки.
$ cloc fl-ru-damp/ 4260 text files. 4172 unique files. 238 files ignored. http://cloc.sourceforge.net v 1.62 T=33.11 s (120.4 files/s, 26810.1 lines/s) ------------------------------------------------------------------------------- Language files blank comment code ------------------------------------------------------------------------------- PHP 2668 68478 82864 368974 Javascript 714 34697 34444 163967 CSS 313 7765 1411 69765 HTML 152 1610 755 24951 XSLT 17 1272 2451 10235 Smarty 69 562 154 7655 XML 38 222 18 4291 XSD 2 18 32 498 SASS 2 19 23 205 make 2 34 27 80 JSON 2 0 0 57 Bourne Shell 2 14 6 48 YAML 2 4 0 40 Perl 1 15 4 39 Visual Basic 1 0 0 21 ------------------------------------------------------------------------------- SUM: 3985 114710 122189 650826 -------------------------------------------------------------------------------
Invision70
28.07.2015 13:55+7Не удивительно почему их взломали, исходники отвратные
jamepock
28.07.2015 13:58+7«Да оставляй так, все-равно никто не узнает!» (с) парадигма fl.ru
Invision70
28.07.2015 14:16+25Местами можно узнать )
if ($_GET['to'] != null) {
$sql = «SELECT u.uid, u.email, u.login, u.uname, u.usurname, u.subscr, usk.key AS ukey FROM users AS u LEFT JOIN users_subscribe_keys AS usk ON usk.uid = u.uid WHERE email = '{$_GET['to']}'»; // TEST!!!
}
// TEST!!! — спаси и сохрани
persei
28.07.2015 15:11+2Тест защитит от всех sql инъекций, чудесно. Странно что их только сейчас взломали.
UnixMaster
28.07.2015 13:58Я немного пошарился, и так понял, что это не рабочая версия сайта, а какае-то бетка. Может с машины разработчика. Везде фигурирует слово beta. Не факт, что будет полное или частичное совпадение с рабочей версией.
jamepock
28.07.2015 14:02+1Думаю, даже с беткой общая логика и суть ясны, скорее всего исходники имеют много общего с текущей версией сайта.
Mark29 Автор
28.07.2015 14:03+1Судя по стабильности работы, количеству багов и количеству всякой хрени, которую они в последнее время «улучшают и расширяют функционал» (кому кроме них нужен этот функционал, если то, что просят фрилансеры-заказчики они не слышат и не делают?) — это может быть и вполне дамп с текущего рабочего сервера :)
dinikin
28.07.2015 17:31+3Движок действительно настоящий. Посмотрел и нашел свои строчки кода и комментарии
dou.ua/forums/topic/14407Alexey2005
28.07.2015 17:39+4Оказывается, dou.ua заблокирован Роскомнадзором в соответствии с решением суда Самары. Сильно удивился, когда прошёл по ссылке и увидел заглушку…
Вот уж действительно, в наше время без VPN никуда. Реестр запрещённых ресурсов так разросся, что на блокировку натыкаешься теперь чуть не ежедневно.serg_smirnoff
28.07.2015 17:43+3dou.ua заблокирован, github периодически блокируется, web.archive блокируется время от времени, lurk выпилили, nasper закрывает часть направлений бизнеса в рф, в частности аукцион molotok.ru с 20-го августа, fl.ru взломали и выложили код на github последовательности в действиях роскомнадзор не наблюдается. действуют как по книгам пелевина.
интересно, что вообще останется в рунете в 2017 году?
Meklon
28.07.2015 22:08Lurk закрыли? У меня на МТС и Ростелекоме работает
Haoose
28.07.2015 22:27Meklon
29.07.2015 09:20Да, но его не закрыли.
serg_smirnoff
29.07.2015 18:13Нет, его закрыли, есть предписание и оно не устранено. И не будет. Потому что предписание конфликтует с 29-ой статьей Конституции РФ и Международной конвенцией которую РФ ратифицировало. Таким образом надо не предписания Роскомнадзора выполнять, а следовать букве закона более верхнего порядка. А так как все наше сегодняшнее законодательство это большой сборник взаимоисключающих параграфов то на мой взгляд будущее рунета туманно. Через год два мы можем уже не увидеть его в том виде в котором он есть сейчас. У большинства провайдеров сайт не открывается. Если непосредственно у вас он открывается, то это не отменяет того что у большинства сайт прикрыт по решению Роскомнадзора.
Meklon
30.07.2015 00:36МТС и Ростелеком это все-таки дофига в плане абонентов. Но печально, да.
serg_smirnoff
30.07.2015 12:20Да, наверное, но у меня какой-то там никому не известный региональный Sunlink и тот заблокировал. И теперь когда мне нужно найти точную цитату «когда они пришли», а гугл меня при этом перекидывает на лурк, то я должен взять и переключиться на проксю не то немецкую не то американскую, и только лишь после этого скопировать эту цитату. Постоянно сидеть под squid смысла не вижу, скорость падает. Но и это цензурное самодурство конечно не от большого ума.
xilix
19.08.2015 01:05Вы не поверите. У меня никому не известное интернет-кафе в республике Калмыкия, и то получаю регулярные наезды на то, чтобы своими силами блокировать эти ресурсы. Хотя я получаю инет от Ростелекома, который и так уже все заблокировал.
lastersound
28.07.2015 14:18+7Правду скажу — вообще не удивлен… Я не раз писал им о их уязвимостях… В ответ или игнор или отписки (Типа все ОК).
yusupov
28.07.2015 14:36-10Не удивлюсь, если их еще и шантажировали перед взломом. Хакеры обычно ничего просто так не делаю.
Alexey2005
28.07.2015 14:51+12Тут скорее можно предположить, что им написали об уязвимости, а в ответ получили порцию отборного мата плюс угрозы. К сожалению, вполне типичная ситуация для многих компаний.
Кажется, давно уже пора проводить специализированные курсы и семинары для менеджеров на тему "почему посылать на три буквы сообщившего об уязвимости — не самый удачный из маркетинговых ходов".
lastersound
28.07.2015 15:34+1Ну по себе скажу — не раз «Взламывал» (Находил серьезные уязвимости и баги) на том же Webmoney — я им просто предоставлял всю информацию о уязвимостях и они уже с благодарностями мне $Пасибо выписывали. Думаю fl.ru хоть и пофигисты, но понимают что выгоднее заплатить Хакеру и исправить уязвимость, чем потерять клиентов.
SyCraft
28.07.2015 14:41+3А куда теперь все пошли? клиенты и исполнители
slava_k
28.07.2015 15:01+5roem.ru/26-05-2015/196230/voropaev-start-rubrain
«26 мая в 15:06
Сооснователь free-lance.ru (fl.ru) Василий Воропаев, продавший свою долю в сервисе два года назад, запускает новый сервис для фриланс-заказов Rubrain ...»
Возможно эти два события связаны друг с другом, кто знает.
MrShoor
29.07.2015 01:00И еще одно небольшое совпадение в комментарии выше: habrahabr.ru/post/263703/#comment_8516757
jamepock
28.07.2015 14:44Интересно, если там была слита и ещё и рабочая база, могут ли работодатели/исполнители собираться и писать на fl коллективные иски?
MUTOgen4eg
28.07.2015 14:56Это будет возможно только тогда, когда появится сама эта база на просторах сети, платно или бесплатно. А так никто в этом не признается.
ArjLover
28.07.2015 15:03Иск о чем? Название статьи из кодекса, плиз?
MUTOgen4eg
28.07.2015 15:05+6Ну, например, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» Статья 24. Ответственность за нарушение требований настоящего Федерального закона
2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.Mark29 Автор
28.07.2015 15:13+4А если еще и международный иск — пользователи то с разных стран… ой-йо-йой…
prishelec
28.07.2015 15:16Буквально наверное месяца два назад или чуть более.
В районе 2.00 ночи появилось два проекта, нецензурные выражения в заголовке и тексте.
Ночью эти проекты провисели достаточно долго.
На один из них народу даже «набилось» в кандидаты.
Чую что между тем и сегодняшним событием есть связь.
Pavlusha
28.07.2015 16:48+4Очень удивлен был, что один из самых популярных фриланс сайтов имеет столько дыр, видимо админы слишком увлеклись заработком монеток что а забыл пятачки закрывать после обнов. Вот и наказание
Assada
28.07.2015 19:06+4Некий комментарий сообщает, что проблема была в открытых портах.
Там ниже по треду есть ужасающие конфиги nginx`а
Boomburum
28.07.2015 19:10+14смс-ки шлют :)
Milfgard
28.07.2015 19:21+15Ух, сколько людей сейчас напряглось — и не от SMS, а от индикатора заряда в углу.
ErhoSen
28.07.2015 19:58+5А вот и последствия. Вообще конечно смех сквозь слёзы!
Invision70
28.07.2015 20:29+30smsmarket гениален. По http протоколу открытые логины с паролем и никаких хэшей… они нашли друг друга…
Antelle
28.07.2015 19:58+7Отличный комментарий в коде статистики:
// Удаляем данные из stat_hourly где _time < D - 1 (оставляем только сегодня и вчера). Ошибка, ну и хрен с ней, потом удалятся.
И ещё там же:
Получится нулевая доля... Хреновато. Или наоборот в праздник какой-нить ненормально много народу набежало. Правда, вряд ли они именно из каталога полезут...
Pasha4ur
28.07.2015 20:30+4Не работал на этой бирже, но судя по комментариям к последним новостям из рассылки, администрация жестко там насиловала на материальные взносы и фрилансеров, и заказчиков. Оставалось только ввести плату за каждое сообщение.
В последней рассылке читал, что даже размещение больше Х (небольшая цифра) заказов в день/неделю уже было платным.
И сам дизайн и удобство сайта было так себе.
Beltoev
28.07.2015 21:33-7
Pasha4ur
28.07.2015 21:44+1Можете, плиз, пояснить смысл картинки? Я не очень понял. Трудно спутать облако с самолетом.
П.С. Под «не работал» имел ввиду, что не брал заказов.Beltoev
28.07.2015 21:56+1Имелось ввиду, что все пользователи, оставившие здесь порядка 150 комментариев, в курсе тех очевидных вещей, которые вы описали в своём комментарии.
Без обид, но вспомнил капитана очевидность. Кстати, тут подробнее о нём (самому история интересна стала =) )Pasha4ur
28.07.2015 22:58+1Я знаю, кто такой кэп. Просто не понял последнего мата на картинке. А точнее в чем его смысл по отношению к моему комменту )
serg_smirnoff
28.07.2015 22:55Когда-то там было хорошо году в 2007-2008 примерно. Но потом жажда денег все загубила. Началось все с ограничений ответов тем кто без PRO, потом была платная СБР. Ну а потом просто количество заказов стало настолько минимальным, что не стало смысла там обитать. Не знаю кто там хотел больше всех денег, но ресурс превратился в непонятно что. Последний заказ оттуда взял в конце 2012 года.
Dromok
29.07.2015 20:56А я только там и обитаю. Конечно подобные фейлы очень напрягают. Но где еще можно найти такое гигантское количество заказов в рунете, я просто не знаю.
XanderBass
28.07.2015 21:55+1Ё… Таким кодом можно даже нубу глаза высверлить ко всем чертям! Разочарован, откровенно говоря. И это на `самой известной фриланс-бирже России`.
В большинстве файлов мешанина. Если такое хотя бы редизайнить, это будет тихий ужас. Последний раз я такое видел на «плеер-ру». Только там хоть в половине случаев код был сносным. А здесь на каждый чих гора кода. Намешано всего и сразу. Рядом могут соседствовать современный класс и код под «четвёрку». Обнаружены следы Yii. Много чужого кода. В общем сборная солянка. Впрочем мало удивительно, если учесть, что проекту много лет. Налицо ярчайшая иллюстрация того, к чему приводит неграмотное проектирование в начале жизни проекта. Похоже на дом в трущобах, этажи которого надстраивали много лет над обычной избушкой.
Methos
28.07.2015 22:17-2Мне непонятно, как эти сайты ещё живы то?
Намного проще найти заказчика или исполнителя, просто ища через поисковики, или пересматривая вакансии или резюме на разных сайтах — та же яндекс.мойкруг и т.п.
А ещё выгоднее — общаться и искать среди знакомых и друзей. Или на тематических форумах. Или на том же хабре.
webinside
28.07.2015 22:30+5Вы фрилансер (работаете как фрилансер)? Вы ищите заказы через друзей и знакомых?
Как " через поисковики" найти заказ я не представляю.dr1v3
28.07.2015 22:37+1Заказы сами находят фрилансера, благо сейчас жуткий дефицит хороших специалистов.
Claud
28.07.2015 22:59Каких специалистов. На том сайте на две буквы таких уже не было. По тому что социальные сети и целых 10 000 р. «Гуляй рванина я плачу!» — вещи несовместимы.
Тех заказчиков, которые не с улицы их всегда было не так чтобы как рыбы в пруду. Но ваша правда тот человек что с опытом себе найдет достойных проектов.
sayber
28.07.2015 22:53+2Совершенно не соглашусь по поводу — общаться и искать среди знакомых и друзей.
Брать заказ у знакомых/друзей/родственников, зачастую себе дороже.
Проще использовать сервисы ТМ / linkedin / hh
upd.
Как писал выше, фрилансом давно не занимаюсь, теперь работаю только командой.Methos
28.07.2015 23:53согласен.
наверное, под друзьями я имел в виду всё же какой-то общий круг знакомых профессионалов и команду =)
Pasha4ur
28.07.2015 23:00+1Кто-то из гуру мог бы сделать разбор полетов в плане кода сайта.
Думаю, что многим было бы интересно. Мне как новичку в программировании очень.
evnuh
28.07.2015 23:18+3Разбор кода нужно делать на хорошем коде, а не на плохом, чтобы узнавать трюки, паттерны и т.д. От знания «вот так — не надо» сильно лучше новичкам не станет.
Pasha4ur
28.07.2015 23:20+2Если показывать только как надо, то как понять, что кое-что не нужно делать? Иногда нужно пояснение и на плохих примерах
stychos
05.08.2015 00:15+1Опыт — он сын ошибок трудных. Только поглядев на разбор хорошего кода и на свой, уже написанный тоннами, можно понять, что и где не так. А через годик повторить.
egorsmkv
29.07.2015 00:11+1Даже не надейтесь. Это адская работа — понять как устроен движок, а потом искать в нём ошибки (которые не ищутся обычным grep'ом).
Если показывать только как надо, то как понять, что кое-что не нужно делать?
Очень просто, следуя из первого выражения. Когда Вы знаете хорошие приёмы написания кода, то плохой видно сразу.
Если хочется смотреть на код, а не читать книги — добро пожаловать на Github, где десятки проектов с хорошим кодом.Pasha4ur
29.07.2015 00:17я же имел ввиду суперглубокий анализ. fl.ru даже не достоен этого
но вас понял
areht
30.07.2015 02:23-1> Когда Вы знаете хорошие приёмы написания кода, то плохой видно сразу.
Я вполне уверен, что все думают, что пишут код почти идеально (как минимум, знают как надо).
А все эти ваши «приёмы» — это усложнение на ровном месте ©
Это я к тому, что тыкать носом в «типа хороший код» с объяснением — полезно. Или надо подождать пока ногу отстрелят, и сами придут за помощью (конечно не придут)
> добро пожаловать на Github, где десятки проектов с хорошим кодом.
и тысячи с плохим )
Alexey2005
29.07.2015 00:10Интересно, исполнителей/заказчиков администрация хотя бы уведомит о взломе и желательности смены паролей? Или понадеются на то, что все читают Хабр, а кто не читает, тому и волноваться лишний раз не нужно?
reinvigorate
29.07.2015 03:47+1Я так понимаю, большинство комментаторов не осознает, что fl.ru — это около 50-90% заказов на фриланс в рунете в зависимости от специализации фрилансера?
Выбора особого что использовать нет, пока это монополист.Invision70
29.07.2015 04:45+3Пока монополист? Забудьте! Даже если и восстановятся, репутацию они себе подпортили.
На мой взгляд, произошедшия ситуация должна решить проблему с тем, что использовать и основная масса заказчиков / исполнителей с fl сама подберет подходящий ресурс на приемлемых условиях. Главное конкурентам двигаться дальше верным курсом и продумать монетизацию, судя по критике в адрес fl, очень острая проблема.
samodum
29.07.2015 11:51+2Да уж сколько фейлов было со стороны fl! И что? Всё равно все сидят на нём, и очень сильно подсели
Claud
29.07.2015 13:36Те кто там все-равно сидят пусть лучше там и остаются, со своими «Тут работы на 3 часа я знаю по этому 300р. цену не задирать :)» или новыми мега-супер-пупер-проектами по 10 000р. за пачку.
Scrobot
29.07.2015 20:21Что правда, то правда. В последнее время, Fl.ru знатно пополнился крохоборами. А в качестве исполнителей — школота, да голодные студенты. 5 лет назад еще было сносно, хотя тож не особо. Единственный плюс от него был — это периодически относительно нормальные заказы от заков, которые находили меня по каталогу и напрямую выходили на разговор. А по основным заявкам — предложения за доширак.
Claud
29.07.2015 20:33За доширак верно говорите, причем люди там просто не адекватные были, сами бы хоть прикинули ставку, которую они людям предлагают. Грузчик в Москве и то больше заработает, да грузчик в провинции наверное получает поменьше, но и обучатся им особо не надо.
Я помню как-то давно там видел проект, человек на серьезных щах, искал того кто ему сделает лендинг, чтобы обязательно с отдачей в 90% — не меньше :D. На лендинге должно было продаваться что-то с ценой в районе 15 000р. за экземпляр и при этом за лендинг платили 13 000р. Те. утрирую человек планировал одной продажей окупить все разом та еще чтобы осталось на морожено. Это даже если не брать в расчет цифру в 90%
Тамошние перлы можно собирать в коллекции будут как анекдоты.
AlexBin
29.07.2015 14:52Правильно. Пользователи почти не пострадали. Чтобы пользователи отказались от fl.ru, с их счетов нужно слить все деньги, сканы паспортов и зарегать на них кучу всякого.
samodum
31.07.2015 14:37Этого тоже недостаточно. На место одного ушедшего придут десять новых.
Нужен сильный конкурент, чтобы была альтернатива куда уходить недовольным и которые потянут за собой остальных исполнителей/заказчиков. А сильного конкурента нет.
Все в чём-то недотягивают: либо мало возможностей, либо мало заказчиков/исполнителей. Сила fl как раз в этой огромной базе юзеров
Dromok
29.07.2015 22:31+1А почему лично я как фрилансер должен перейти на другой сервис? Поймите, 90% моих заказов идут с fl.ru и до сих пор даже близко не появился сервис в рунете, который мог бы принести мне столько же заказов. Так что да, я обеспокоен, что их постоянно ломают, но пользоваться и дальше продолжу, так как тупо их некем заменить.
AlexBin
30.07.2015 11:16Извиняюсь, а параллельно нельзя работать на двух биржах, переходя плавно? Именно вы и делаете эту биржу бессмертной не смотря на все ее недостатки. Если все разом перейдут на другую биржу, то 90% ваших заказов будет уже с неё.
serg_smirnoff
30.07.2015 12:35Несколько раз пробовал начать работать на odesk (сейчас upwork) Но это реально трудно. По совокупности факторов трудно. Менталитет, язык, конкурировать приходится с индусами, знание языка должно быть действительно на уровне, чтобы быть готовым по skype обсуждать детали, т.е. разговорный лучше. Так что остановился на том, что брал заказы из реальности, не с бирж, в своем регионе. С 2012 года до 2015 делал клиентам из своего региона по сарафанному радио. Но сейчас в 2015 стало весьма тоскливо с изменением ситуации в целом. Клиент как бы зажал бюджеты.
Dromok
30.07.2015 13:11-2Аналогично пытался работать с одеском. Но тупо конкурировать с индусами у меня не получилось, они постоянно сбивали цену. А вот на fl.ru я обычно нахожу заказ просто щелкнув пальцами, реально очень легко. И спрашивается почему я их должен хоронить?
serg_smirnoff
30.07.2015 13:21На fl.ru было очень много заказов поправить вот тут за 500 руб. или сделать как в IE за 1000 руб. Если нет постоянного «длинного» заказа, можно было тысяч на 5000 надергать такой вот мелочью. Раньше, когда брался за все подряд, там мог очень много таких заказов забрать. Были и сайты вроде вот этого prezi-dent.ru за большие деньги. Этот заказ я взял с free-lance.ru как раз это был последний заказ. Сумму не буду называть. Сейчас мне все это надоело, я плюнул на эту биржу, и работаю только напрямую с клиентами. Конечно тут больше уже интересна не непосредственно разработка, а контекстная реклама, ведение клиента. Это уже немного другое.
Dromok
30.07.2015 13:24Согласен, каждому свое. Я обычно за совсем мелкие заказы не берусь, а начинаю с заказов тысяч за 30, их там навалом тоже.
VoidVolker
30.07.2015 22:28А и не надо конкурировать с индусами — они лезут десятками абсолютно во все проекты. На одеске вполне есть нормальные и адекватные люди. Кроме того, там очень удобная категоризация по бюджету: дешевые проекты, средние, дорогие и выше (видел ставки до $100 в час) — так что найти проект, подходящий по бюджету и трудозатратам вполне можно.
serg_smirnoff
30.07.2015 22:46+1Спора нет. Но в это нужно погрузиться серьезно. Порог входа точно не для среднестатистического фрилансера с fl.ru
peter23
04.08.2015 17:19На самом дело вполне реально для нормального фрилансера.
Под «нормальным» понимаю достаточный опыт фриланса в целом и достаточный опыт в своей специализации.
Реально необходим только более-менее нормальный письменный английский, без этого будет сложно. С разговорным английским конечно будет комфортнее и больше доступных заказов, но он не является необходимостью.
С индусами конкурировать не нужно, Азия — сама по себе, Восточная Европа — сама по себе, это разные категории фрилансеров, работающие с разными категориями заказчиков.
Это из личного опыта. Я — среднестатистический фрилансер с fl.ru. Просто пришел на odesk и начал оставлять заявки. Все как на обычной бирже — несколько дешевых заказов, первые отзывы, потом уже не проблема брать нормальные проекты, приходят приглашения в проекты и т.д.serg_smirnoff
04.08.2015 17:45Возможно все так. Просто у каждого свой опыт, и мне с odesk было сложно. Заявки оставлял, а откликов нет. Анализируя тех, кто оставлял заявки, я увидел что большой поток именно индусов. Возможно просто более серьезно надо было этим заниматься, я же просто переключился на что-то другое.
Dromok
30.07.2015 13:02+1Но зачем мне это делать? Их сервис меня полностью устраивает. Да, я когда-то тоже от них уходил, когда они запретили контакты в сообщениях передавать. Но они давно такой херней не страдают. Каких-то личных приватных данных у меня там нет, поэтому мне лично как-то по барабану ломают их или нет, как бы я ничего с этого не потеряю. Так что если всё устраивает и куча заказов, то зачем мне переходить на другой сервис? Поэтому меня всегда удивляет, что на хабре постоянно хоронят fl.ru. Пока там есть заказчики, я там буду сидеть, и думаю также считают многие фрилансеры.
Hungry_Hunter
30.07.2015 20:41Серьезно?
Даже если злоумышленник воспользовавшись вашим акаунтом наберет предоплат в проектах, то вы ничего не потеряете?Dromok
31.07.2015 00:45На моей практике еще ни один заказчик не согласился работать со мной по предоплате))) Я не спорю, что безусловно такие взломы напрягают и я надеюсь руководство сервиса всё-таки примет меры.
shr
30.07.2015 22:10Если вас все устраивает, это не значит, что это же справедливо для других.
Человек сделал предположение, вы вправе не согласиться. Время покажет, что будет дальше.
Лично для меня большим минусом стало то, что они не удаляют информацию из своих систем, а просто блокируют аккаунт.
После многочисленных сливов это выглядит просто свинством.Dromok
31.07.2015 00:46Мне фиолетово справедливо ли это для других или нет. Я четко написал, что пока там есть заказчики, я там буду сидеть. Не будет заказчиков, буду искать другое пристанище.
shr
31.07.2015 01:33Перечитайте первый комментарий Invision70, на который ответили, там было про основную массу, а не про вас конкретно.
Мне точно также фиолетово, где вы будете сидеть и где у вас заказчики, я всего лишь хотел обратить внимание, что для других сервис может быть ужасным в то же самое время, когда для вас он идеален.
lasto4kin
29.07.2015 20:08Нет, это не так. После 2012 года хорошие заказчики активно ушли искать фрилансеров по-старинке через связи.
Ну, по крайней мере, я бы не рассматривал всерьез заказы до 50$reinvigorate
29.07.2015 21:36Ниже 50$ — это новички и копирайтеры. Так как и первых и вторых много такие цены и популярны.
cruzo
29.07.2015 12:49+5Знаете что странно, СМИ до сих пор молчат. Хотя будь то утечка мейлов Яндекса, лаги и тормоза ВК, всегда на первых полосах.
serg_smirnoff
30.07.2015 12:27+1Вы код видели? На dou.ua люди пишут, что с 2004 года код не переписывали, даже находят свои куски. Вы реакцию компании видели? Реакция такая, как будто ничего не случилось. То есть нет официальной реакции. Тут или нет PR службы или она не считает нужным реагировать. Имеет ли смысл с такой компанией сотрудничать и иметь какие-то дела? Думаю что нет. Сотрудничество по схеме вы нам должны деньги, а мы вам должны ничего это что-то вроде мазохизма.
lasto4kin
29.07.2015 20:06Вот вроде бы должен желать позлорадствовать, поглумиться над очередным эпикфейлом порядком зажравшихся хозяев «Адика»…
Но сколько уже можно пинать эту мертвую лошадь. Цены задрали. Команду разогнали. Даже активных блоггеров с площадки погнали.
150 рублей. Ровно столько с этого момента, на мой взгляд стоит их PRO аккаунт. Это та сумма, которую я готов пульнуть на ветер, даже не задумываясь. Да и 900 не много, но им будет жирно.
Пусть мучаются, отрабатывают бабло, что собирают у наивных клиентов.
RootPass
29.07.2015 22:18github.com/veryEvilMan/fl-ru-damp/blob/master/search/index.php#L33 coding LEVEL 80. А мне совесть не позволяет так делать.
ethoz
29.07.2015 23:58+2Кто-то понял "Personal Home Page" в буквальном смысле.
Напомнило:
Под капотом самых критичных программ, которые вы используете на ежедневной основе (Mac OS X или Facebook) содержится ужасное количество хаков и костылей, которые с трудом уживаются друг с другом. Это как если бы вы разобрали боинг 747 и увидели, что топливопровод держится вешалкой для одежды, а шасси смотаны изолентой.
© habrahabr.ru/post/263703/
NickKolok
30.07.2015 20:36-3Интересно, а появится ли форк? Например, на украинских серверах, с украинским юрлицом и украинскими создателями. Хотелось бы посмотреть, как fl.ru попробует предъявлять им претензии!
foxmuldercp
30.07.2015 21:03+4делать форк унылого говнокода? простите, зачем?
NickKolok
30.07.2015 21:52+1Во-первых, некоторые форки делаются, «потому что можем». Целесообразность и жизнеспособность — вопрос отдельный, но сам факт был бы примечателен.
Во-вторых, чтобы фрилансерам было, куда бежать. Я не верю в неслитую базу, и если там пароли хранились хэшированными, то, может быть, есть шанс эту базу на первых порах задействовать и в предполагаемом форке — разумеется, настоятельно рекомендуя сменить. Иначе говоря, почти идентичная исходной площадка уже с потенциальной аудиторией, сильно близкой к переходу в «кинетическую».
В-третьих, пулл-реквесты-то уже пошли, отмечают выше. От нас, линуксоидов, всего можно ожидать!foxmuldercp
31.07.2015 01:01относительно недавнее мое шерстение odesk'a вызвало улыбку проектами вроде «социальная сеть за 100 баксов *(на вордпрессе)» и «убийца headhunter'а за 300», так что видимо, я знаю, куда перебралась часть заказчиков.
А так — после такого «анализа» «кода», я бы сто раз подумал:
а) хочу ли я «это» использовать в продакшене.
б) хочу ли я вливать тонны денег в разработку и рекламу еще одного odesk'а, даже имея готовый алгоритм для написания биржи с чистого листа нормальными программистами.
в) ну и понимание, как этот рынок работает, как его можно монетизировать, так чтобы не повторять сомнительный опыт fl.
Это так, пару вопросов на вскидку, не учитывая стоимость железа и его обслуживания — вроде бы stackoverflow работает в одной стойке на технологиях Microsoft'a, судя по статьям в инете.
Lockdog
04.08.2015 10:43Всегда удивлялся, как эта биржа ещё жива, может для программеров и дизайнеров этот портал и популярен, но для инженеров совершенно бесполезен, все заказчики совершенно не разбираются в предмете, просят каких-то фантастических вещей за смешные деньги. Пару раз пробовал там искать заказы, но всё безуспешно.
clockworkbird
04.08.2015 16:46Вопросы по рефакторингу и переписыванию движка поднимались еще 8 лет назад.
Ностальгия. Это так мило, видеть, что со временем ничего не меняется.
enakenenaken
05.08.2015 11:46А ведь не залочили даже пользователей, которые пароли не сменили. По идее надо было им принудительно заставить пользователей пароли поменять. Ох уж это их «Авось»…
PRSO
Более того в сеть уже утекли исходники сайта. Ссылку, по понятным причинам, давать не буду.
Скриншот уведомления о новой теме в сообществе, в которой была дана ссылка на архив с исходниками — yadi.sk/i/8o3NRCg1i8QpJ
Mark29 Автор
Если это правда — биржа заработает не скоро. И уже не сегодня — это точно.
И это жирная запятая в ее судьбе… или точка?
PRSO
Fl.ru один основных источников заказов для многих фрилансеров. Надеюсь востановят.
mammuthus
Не будет Fl — основной источник заказов для многих фрилансеров так же сменит имя. Не вижу проблемы, это интернет.
sayber
free-lance.ru (FL) умер еще 5-6 назад.
Во всяком случае для меня.
Как администрация начала вводить множество платных услуг, читать переписки, делать тотальный контроль, когда заехали «гастарбайтеры» которые стали жестко демпинговать и т.д.
lastic
5-6 лет назад меня убивали заказы типа: Сделать новую социальную сеть. Бюджет 5000 р. Это на серьезных щах люди предлагали и получали 100500 откликов. Тогда fl умер и для меня)
Не знаю как сейчас лет 5 не заходил.
Mark29 Автор
Сейчас предлагают то же самое… но за 3 000…
Invision70
Кризис и все такое…
set
а куда перешли с него, если не секрет?
lastic
Перешел к частным заказам, они по-крупнее были и по-надежнее в отличие от fl. Но пришлось напрячься с собственной раскруткой. Хотя и там приходили персонажи с «маленькими доделками» за 1000 рублей. Но я уже мог позволить себе их отправить на фабрику сайтов.
vyacheslav_ka
Работаете на локальный (СНГ) рынок или на западных заказчиков? Искали на каких то других биржах или выходили напрямую?
lastic
были постоянные заказчики с украины и россии еще в бытность фрилансером набрал базу, но в итоге офисная работа все таки поглотила меня( се ля ви
Другие биржы на тот момент были полумертвыми, да и сейчас как то там кисло
fl.ru можно сделать крутым, но оно им надо?) покупай PRO и греби бабло вот и весь посыл fl
полезен в случае подверстать по-быстрому баннер за 500р )
onthefly
За последний год стал замечать, что странная манера отделять дефисами приставку «по» превратилась в вирус и получила необъяснимое распространение в интернете. Даже среди, казалось бы, грамотных людей.
lastic
а разве писать правильно — это плохо? еще в слове «как то» забыл написать, пардон за оффтоп
grossws
JFYI, приставка по- пишется через дефис далеко не всегда. В словах «покрупнее» и «понадёжнее» она пишется слитно.
AlexBin
по-нятно
grossws
Х-о-р-о-ш-о, что вы это понимаете. То автор комментария, на который я и отвечал, имплицитно утверждал противоположное…
stychos
А что не так?
PS: Извините, не заметил, что вы действительно про приставки.
msfs11
а потом когда сдаешь работу, получаешь ответ: мамка денег не дала
Lisio
На этом скриншоте есть упоминание bebrain.ru, на этом домене есть ссылка на портфолио, которое ведет на fl.ru/users/bebrain
Это случаем не автор взлома засветился?
PRSO
Нет, не угадали)
appsdesignru
Ничего не найдено
Возможно, владелец удалил файлы или закрыл к ним доступ.
А может быть, вам досталась ссылка с опечаткой.
PRSO
Удалил скриншот, т. к. тут всякие подозрения появились. К тому же в скриншоте хоть и не полная ссылка, но цифры последние можно подобрать. Не хочу что бы я стал одним из источников распространения исходников.
Я думаю такое уведомление пришло не только мне.
cruzo
Вот бы пост разоблачение написали «Взломать fl.ru бесплатно без регистрации и смс».