Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Противоугонный скрипт для Opencart'a 1.5.3


bezzubtsev

Recommended Posts

Добрый день!

Подскажите пожалуйста, существует ли в природе скрипт в виде забрасываемого по ФТП исполняющего файла, который при запуске из браузера каждый раз будет скидывать пароль администратора?

В системе Joomla! такие вещи есть, и они очень помогают разработчикам сайтов - на тот случай, если сайт выполнен, передан заказчику, а последний, перебивая доступы к базе данных, ФТП и админке, пытается кинуть человека на деньги. :-x

Ещё раз опишу более подробно суть скрипта: скрипт закидывается по ФТП в произвольную папку с произвольным именем (например, /system/database/verni_dengi.php ). Скрипт можно запустить из браузера, где определенному user_id (параметр указывается в файле перед заливкой по ФТП) будет сноситься password на какой-то стандартный. Данные, для входа и изменения параметра в базе данных скрипт берет из стандартного конфига.

Таким образом, даже если были изменены все доступы (ФТП, пароль в аккаунт хочтеру + пароль к БД), у того, кто делал магазин, будет всегда под рукой экстренный вход в админку.

Заранее благодарю за помощь всех специалистов.

  • +1 1
Надіслати
Поділитися на інших сайтах


ппц. это что за исполнитель такой, который не знает как такой скрипт написать?

сам я категорически против таких скриптов, потому как это потенциальная дыра в безопасности. ищите другие способы защиты от недобросовестного заказчика.

Надіслати
Поділитися на інших сайтах

ппц. это что за исполнитель такой, который не знает как такой скрипт написать?

сам я категорически против таких скриптов, потому как это потенциальная дыра в безопасности. ищите другие способы защиты от недобросовестного заказчика.

Недочитал мат.часть, каюсь. Понимаю, что необходимо базе данных кинуть на выполнение команду update `user` set `password`=md5('yourpassword') where `username`='admin' , а как - пока ещё не знаю.

Скрипт не такая уже и дыра, так как если не было проблем, значит у тебя есть ещё доступ по ФТП, откуда этот файл просто удаляется.

cokol - спасибо, уже читаю античатные форумы.

Надіслати
Поділитися на інших сайтах


Скрипт не такая уже и дыра, так как если не было проблем, значит у тебя есть ещё доступ по ФТП, откуда этот файл просто удаляется.

дыра, дыра. у меня таких проблем никогда не было и не будет по другим причинам

PS. капитанский совет заказчикам: не работайте с исполнителями которые оставляют backdoor'ы на ваших серверах =)

  • +1 1
Надіслати
Поділитися на інших сайтах

дыра, дыра. у меня таких проблем никогда не было и не будет по другим причинам

PS. капитанский совет заказчикам: не работайте с исполнителями которые оставляют backdoor'ы на ваших серверах =)

Всё равно, спасибо.
  • +1 1
Надіслати
Поділитися на інших сайтах


  • 1 month later...

поставим вопрос по другому:

как проверять opencart на отсутствие подобного backdoor-кода после приёма работы от такого исполнителя.

какой тест, скрипт, плагин, сканер файлов для этого есть?

Надіслати
Поділитися на інших сайтах


поставим вопрос по другому:

как проверять opencart на отсутствие подобного backdoor-кода после приёма работы от такого исполнителя.

какой тест, скрипт, плагин, сканер файлов для этого есть?

боюсь нет универсального решения, более того студент может оставить бяку сам того не подозревая по глупости.
Надіслати
Поділитися на інших сайтах

Делайте бэкапы, и прост сверяйте файлы а так вам уже делать нечего, DLE от дыр постоянно закрывал, а здесь нет такой надобности, и ещё, не ставьте моды с сайтов которые вы не знаете)

Надіслати
Поділитися на інших сайтах


дыра, дыра. у меня таких проблем никогда не было и не будет по другим причинам

PS. капитанский совет заказчикам: не работайте с исполнителями которые оставляют backdoor'ы на ваших серверах =)

Полностью соглашусь.

ИМХО: Оставлять такие вещи заказчикам просто не этично.

bezzubtsev, разбивайте задачи на мелкие этапы с предоплатой и у Вас не будет таких проблем.

Тогда и заказчику удобно (не потеряет в случае проблем много средств) и Вам комфортно работать.

Надіслати
Поділитися на інших сайтах


Добрый день!

Подскажите пожалуйста, существует ли в природе скрипт в виде забрасываемого по ФТП исполняющего файла, который при запуске из браузера каждый раз будет скидывать пароль администратора?

В системе Joomla! такие вещи есть, и они очень помогают разработчикам сайтов - на тот случай, если сайт выполнен, передан заказчику, а последний, перебивая доступы к базе данных, ФТП и админке, пытается кинуть человека на деньги. :-x

Ещё раз опишу более подробно суть скрипта: скрипт закидывается по ФТП в произвольную папку с произвольным именем (например, /system/database/verni_dengi.php ). Скрипт можно запустить из браузера, где определенному user_id (параметр указывается в файле перед заливкой по ФТП) будет сноситься password на какой-то стандартный. Данные, для входа и изменения параметра в базе данных скрипт берет из стандартного конфига.

Таким образом, даже если были изменены все доступы (ФТП, пароль в аккаунт хочтеру + пароль к БД), у того, кто делал магазин, будет всегда под рукой экстренный вход в админку.

Заранее благодарю за помощь всех специалистов.

Закрывай код обфускатом с ограничениями по времени и проблем не будет.

Надіслати
Поділитися на інших сайтах


поставим вопрос по другому:

как проверять opencart на отсутствие подобного backdoor-кода после приёма работы от такого исполнителя.

какой тест, скрипт, плагин, сканер файлов для этого есть?

Вот тут посмотрите

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.