Jump to content
Sign in to follow this  
bezzubtsev

Противоугонный скрипт для Opencart'a 1.5.3

Recommended Posts

Добрый день!

Подскажите пожалуйста, существует ли в природе скрипт в виде забрасываемого по ФТП исполняющего файла, который при запуске из браузера каждый раз будет скидывать пароль администратора?

В системе Joomla! такие вещи есть, и они очень помогают разработчикам сайтов - на тот случай, если сайт выполнен, передан заказчику, а последний, перебивая доступы к базе данных, ФТП и админке, пытается кинуть человека на деньги. :-x

Ещё раз опишу более подробно суть скрипта: скрипт закидывается по ФТП в произвольную папку с произвольным именем (например, /system/database/verni_dengi.php ). Скрипт можно запустить из браузера, где определенному user_id (параметр указывается в файле перед заливкой по ФТП) будет сноситься password на какой-то стандартный. Данные, для входа и изменения параметра в базе данных скрипт берет из стандартного конфига.

Таким образом, даже если были изменены все доступы (ФТП, пароль в аккаунт хочтеру + пароль к БД), у того, кто делал магазин, будет всегда под рукой экстренный вход в админку.

Заранее благодарю за помощь всех специалистов.

  • +1 1

Share this post


Link to post
Share on other sites

ппц. это что за исполнитель такой, который не знает как такой скрипт написать?

сам я категорически против таких скриптов, потому как это потенциальная дыра в безопасности. ищите другие способы защиты от недобросовестного заказчика.

Share this post


Link to post
Share on other sites

погуглите "шелл на php"

Share this post


Link to post
Share on other sites

ппц. это что за исполнитель такой, который не знает как такой скрипт написать?

сам я категорически против таких скриптов, потому как это потенциальная дыра в безопасности. ищите другие способы защиты от недобросовестного заказчика.

Недочитал мат.часть, каюсь. Понимаю, что необходимо базе данных кинуть на выполнение команду update `user` set `password`=md5('yourpassword') where `username`='admin' , а как - пока ещё не знаю.

Скрипт не такая уже и дыра, так как если не было проблем, значит у тебя есть ещё доступ по ФТП, откуда этот файл просто удаляется.

cokol - спасибо, уже читаю античатные форумы.

Share this post


Link to post
Share on other sites

Скрипт не такая уже и дыра, так как если не было проблем, значит у тебя есть ещё доступ по ФТП, откуда этот файл просто удаляется.

дыра, дыра. у меня таких проблем никогда не было и не будет по другим причинам

PS. капитанский совет заказчикам: не работайте с исполнителями которые оставляют backdoor'ы на ваших серверах =)

  • +1 1

Share this post


Link to post
Share on other sites

дыра, дыра. у меня таких проблем никогда не было и не будет по другим причинам

PS. капитанский совет заказчикам: не работайте с исполнителями которые оставляют backdoor'ы на ваших серверах =)

Всё равно, спасибо.
  • +1 1

Share this post


Link to post
Share on other sites

поставим вопрос по другому:

как проверять opencart на отсутствие подобного backdoor-кода после приёма работы от такого исполнителя.

какой тест, скрипт, плагин, сканер файлов для этого есть?

Share this post


Link to post
Share on other sites

поставим вопрос по другому:

как проверять opencart на отсутствие подобного backdoor-кода после приёма работы от такого исполнителя.

какой тест, скрипт, плагин, сканер файлов для этого есть?

боюсь нет универсального решения, более того студент может оставить бяку сам того не подозревая по глупости.

Share this post


Link to post
Share on other sites

Делайте бэкапы, и прост сверяйте файлы а так вам уже делать нечего, DLE от дыр постоянно закрывал, а здесь нет такой надобности, и ещё, не ставьте моды с сайтов которые вы не знаете)

Share this post


Link to post
Share on other sites

дыра, дыра. у меня таких проблем никогда не было и не будет по другим причинам

PS. капитанский совет заказчикам: не работайте с исполнителями которые оставляют backdoor'ы на ваших серверах =)

Полностью соглашусь.

ИМХО: Оставлять такие вещи заказчикам просто не этично.

bezzubtsev, разбивайте задачи на мелкие этапы с предоплатой и у Вас не будет таких проблем.

Тогда и заказчику удобно (не потеряет в случае проблем много средств) и Вам комфортно работать.

Share this post


Link to post
Share on other sites

Добрый день!

Подскажите пожалуйста, существует ли в природе скрипт в виде забрасываемого по ФТП исполняющего файла, который при запуске из браузера каждый раз будет скидывать пароль администратора?

В системе Joomla! такие вещи есть, и они очень помогают разработчикам сайтов - на тот случай, если сайт выполнен, передан заказчику, а последний, перебивая доступы к базе данных, ФТП и админке, пытается кинуть человека на деньги. :-x

Ещё раз опишу более подробно суть скрипта: скрипт закидывается по ФТП в произвольную папку с произвольным именем (например, /system/database/verni_dengi.php ). Скрипт можно запустить из браузера, где определенному user_id (параметр указывается в файле перед заливкой по ФТП) будет сноситься password на какой-то стандартный. Данные, для входа и изменения параметра в базе данных скрипт берет из стандартного конфига.

Таким образом, даже если были изменены все доступы (ФТП, пароль в аккаунт хочтеру + пароль к БД), у того, кто делал магазин, будет всегда под рукой экстренный вход в админку.

Заранее благодарю за помощь всех специалистов.

Закрывай код обфускатом с ограничениями по времени и проблем не будет.

Share this post


Link to post
Share on other sites

поставим вопрос по другому:

как проверять opencart на отсутствие подобного backdoor-кода после приёма работы от такого исполнителя.

какой тест, скрипт, плагин, сканер файлов для этого есть?

Вот тут посмотрите

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By TimRod
      ВНИМАНИЕ: Разработка и обновление данного модуля прекращены!
      Через некоторое время модуль станет недоступным для просмотра.

      Новый модуль: OCCleaner
      https://opencartforum.com/files/file/7376-occleaner-ochistka-i-optimizaciya/
       
      Для тех, кто покупал этот модуль, на новый модуль действует специальная цена (скидка 50%)
      Чтобы воспользоваться предложением, пишите на email: timrod.v@gmail.com

      Поддержка будет и дальше оказываться, пока в этом будет необходимость!
       
       
       
      Модуль "Ассистент администратора", лучший инструмент по защите и оптимизации Вашего магазина на OpenCart. Он помогает очищать кэш, удалять мусорные файлы и оптимизировать Вашу базу данных, менять настройки магазина на лету, а также поможет обеспечить надежную защиту Вашей административной панели.
      Все основные инструменты всегда под рукой, без большого количества кликов и обновления страниц.
      Демонстрация
      Демо: http://demo.bved.ru/admin
      Логин: demo
      Пароль: demo
      Основные возможности
      1. Интерфейс
          - Все функции работают с помощью ajax, без перезагрузки страницы.;
          - Компактная панель модуля доступна на всех страница панели администратора;
          - Интуитивно понятный интерфейс, анимация всех действий;
       
      2. Оптимизация файловой системы (очистка)
          - Кэш системы    
          - Кэш изображений    
          - Кэш VqMod    
          - Журнал ошибок    
          - Журнал модификаций    
          - Журнал openbay    
          - Неиспользуемые изображения    
          - Остаточные (ненужные) файлы
          
      3. Оптимизация базы данных
          - Неиспользуемые опции    
          - Неиспользуемые атрибуты    
          - Пустые группы атрибутов    
          - Пустые категории товаров    
          - Товары без изображений    
          - Остаточные (ненужные) записи настроек
       
      4. Защита страницы входа от перебора паролей (Google ReCaptcha).
          В отличии от бесплатных аналогов:
          - Не требует дополнительной настройки отдельного модуля Google ReCaptcha;
          - Не допускает валидации логина и пароля, пока проверка ReCaptcha не будет пройдена.
       
      5. Защита входа в административную панель блокировкой по IP.
          - Вход будет возможно произвести только с заранее указанных разрешенных IP.
          - Все остальные получат ошибку - 403 (Доступ запрещен)
          
      6. Защита входа в административную панель по секретной ссылке.
          - Вход будет возможно произвести только по заранее сгенерированной ссылке вида: http://suite.ru/admin/?key=value
          - Все остальные получат ошибку - 404 (страница не существует)
          
      7. Дополнительные функции
          - Обновление и очистка кэша модификаций; 
          - Управление настройками магазина на "лету"
          - Быстрое редактирование файлов
      Установка модуля
      1. Создать резервную копию файлов и базы данных.
      2. В разделе "Установка расширений" загрузить архив и установка пройдет автоматически.
      3. При ручной установке, просто скопируйте содержимое архива в каталог сайта.
      4. В разделе "Модификации" нажать кнопку "Обновить".
      5. В разделе "Система пользователи / группа пользователей" дать права на просмотр и редактирование.
      6. В разделе "Модули / Расширения -> Модули" активируйте модуль "Ассистент администратора".
      7. Зайдите в настройки модуля, введите выданный лицензионный ключ, выберите статус "Включено" и нажмите кнопку "Сохранить".
       
      Если вы имеете лицензионную копию модуля, то должно появится сообщение об успешном сохранении данных. Модуль готов к работе! 
      В правом верхнем углу, на панели шапки сайта, должна появиться иконка модуля.
       Обновление модуля
      1. Для версии opencart 3.x + , удалить модуль в разделе "Установка расширений".
      2. В разделе "Установка расширений" загрузить архив и установка пройдет автоматически.
      3. В разделе "Модификации" нажмите кнопку "Обновить".
       
      При ручной установке, просто скопируйте содержимое архива в каталог сайта.
      !!! Обязательно очистите кэш браузера!
      Активация
       - Лицензия на модуль распространяется на 1 домен + на 1 поддомен бесплатно, путем предоставления лицензионного ключа.
       - Для прохождения активации, Вам необходимо написать на e-mail: timrod.v@gmail.com или в личку, на том ресурсе, где приобрели.
       - Обязательно указать домен (без http:// и www), где будет использоваться. Например: mysuite.ru
       - Если на ресурсе, где покупаете, уже есть поле для ввода домена, то писать на e-mail необязательно. 
       - В ответ вы получите лицензионный ключ.
       
      Что планируется сделать
      - Расширить и усовершенствовать алгоритм поиска ненужных файлов и записей в базе данных.
      - Добавить детальное описание того, что можно удалять. (добавить подсказки)
      - Добавить дополнительные способы защиты (двухфакторная аутентификация, графический ключ, пин-код).
      - Добавить сканер безопасности, который будет анализировать файлы и базу данных на возможные уязвимости и предлагать рекомендации по их устранению.
      - Добавить редактор модификаций.
      - Добавить автоматическое создание резервной копии сайта по расписанию.
       
      Если у Вас появился вопрос, предложение по расширению функционала или Вы нашли ошибку, пишите на e-mail: timrod.v@gmail.com или в личку, на ресурсе, где приобретали модуль.
    • By TimRod
      450.00 руб
      Скачать/Купить дополнение


      Ассистент администратора (Защита, настройка и оптимизация)
      ВНИМАНИЕ: Разработка и обновление данного модуля прекращены!
      Через некоторое время модуль станет недоступным для просмотра.

      Новый модуль: OCCleaner
      https://opencartforum.com/files/file/7376-occleaner-ochistka-i-optimizaciya/
       
      Для тех, кто покупал этот модуль, на новый модуль действует специальная цена (скидка 50%)
      Чтобы воспользоваться предложением, пишите на email: timrod.v@gmail.com

      Поддержка будет и дальше оказываться, пока в этом будет необходимость!
       
       
       
      Модуль "Ассистент администратора", лучший инструмент по защите и оптимизации Вашего магазина на OpenCart. Он помогает очищать кэш, удалять мусорные файлы и оптимизировать Вашу базу данных, менять настройки магазина на лету, а также поможет обеспечить надежную защиту Вашей административной панели.
      Все основные инструменты всегда под рукой, без большого количества кликов и обновления страниц.
      Демонстрация
      Демо: http://demo.bved.ru/admin
      Логин: demo
      Пароль: demo
      Основные возможности
      1. Интерфейс
          - Все функции работают с помощью ajax, без перезагрузки страницы.;
          - Компактная панель модуля доступна на всех страница панели администратора;
          - Интуитивно понятный интерфейс, анимация всех действий;
       
      2. Оптимизация файловой системы (очистка)
          - Кэш системы    
          - Кэш изображений    
          - Кэш VqMod    
          - Журнал ошибок    
          - Журнал модификаций    
          - Журнал openbay    
          - Неиспользуемые изображения    
          - Остаточные (ненужные) файлы
          
      3. Оптимизация базы данных
          - Неиспользуемые опции    
          - Неиспользуемые атрибуты    
          - Пустые группы атрибутов    
          - Пустые категории товаров    
          - Товары без изображений    
          - Остаточные (ненужные) записи настроек
       
      4. Защита страницы входа от перебора паролей (Google ReCaptcha).
          В отличии от бесплатных аналогов:
          - Не требует дополнительной настройки отдельного модуля Google ReCaptcha;
          - Не допускает валидации логина и пароля, пока проверка ReCaptcha не будет пройдена.
       
      5. Защита входа в административную панель блокировкой по IP.
          - Вход будет возможно произвести только с заранее указанных разрешенных IP.
          - Все остальные получат ошибку - 403 (Доступ запрещен)
          
      6. Защита входа в административную панель по секретной ссылке.
          - Вход будет возможно произвести только по заранее сгенерированной ссылке вида: http://suite.ru/admin/?key=value
          - Все остальные получат ошибку - 404 (страница не существует)
          
      7. Дополнительные функции
          - Обновление и очистка кэша модификаций; 
          - Управление настройками магазина на "лету"
          - Быстрое редактирование файлов
      Установка модуля
      1. Создать резервную копию файлов и базы данных.
      2. В разделе "Установка расширений" загрузить архив и установка пройдет автоматически.
      3. При ручной установке, просто скопируйте содержимое архива в каталог сайта.
      4. В разделе "Модификации" нажать кнопку "Обновить".
      5. В разделе "Система пользователи / группа пользователей" дать права на просмотр и редактирование.
      6. В разделе "Модули / Расширения -> Модули" активируйте модуль "Ассистент администратора".
      7. Зайдите в настройки модуля, введите выданный лицензионный ключ, выберите статус "Включено" и нажмите кнопку "Сохранить".
       
      Если вы имеете лицензионную копию модуля, то должно появится сообщение об успешном сохранении данных. Модуль готов к работе! 
      В правом верхнем углу, на панели шапки сайта, должна появиться иконка модуля.
       Обновление модуля
      1. Для версии opencart 3.x + , удалить модуль в разделе "Установка расширений".
      2. В разделе "Установка расширений" загрузить архив и установка пройдет автоматически.
      3. В разделе "Модификации" нажмите кнопку "Обновить".
       
      При ручной установке, просто скопируйте содержимое архива в каталог сайта.
      !!! Обязательно очистите кэш браузера!
      Активация
       - Лицензия на модуль распространяется на 1 домен + на 1 поддомен бесплатно, путем предоставления лицензионного ключа.
       - Для прохождения активации, Вам необходимо написать на e-mail: timrod.v@gmail.com или в личку, на том ресурсе, где приобрели.
       - Обязательно указать домен (без http:// и www), где будет использоваться. Например: mysuite.ru
       - Если на ресурсе, где покупаете, уже есть поле для ввода домена, то писать на e-mail необязательно. 
       - В ответ вы получите лицензионный ключ.
       
      Что планируется сделать
      - Расширить и усовершенствовать алгоритм поиска ненужных файлов и записей в базе данных.
      - Добавить детальное описание того, что можно удалять. (добавить подсказки)
      - Добавить дополнительные способы защиты (двухфакторная аутентификация, графический ключ, пин-код).
      - Добавить сканер безопасности, который будет анализировать файлы и базу данных на возможные уязвимости и предлагать рекомендации по их устранению.
      - Добавить редактор модификаций.
      - Добавить автоматическое создание резервной копии сайта по расписанию.
       
      Если у Вас появился вопрос, предложение по расширению функционала или Вы нашли ошибку, пишите на e-mail: timrod.v@gmail.com или в личку, на ресурсе, где приобретали модуль.
      Добавил TimRod Добавлено 18.06.2018 Категория Модули Системные требования PHP 5.6+ Сайт разработчика Метод активации По запросу в ЛС
      По запросу на почту Ioncube Loader Нет OpenCart 3.0
      2.3
      2.2
      2.1 ocStore 3.0
      2.3
      2.2
      2.1 OpenCart.Pro, ocShop Обращение к серверу разработчика Нет Старая цена  
    • By infosolutions
      Без правок ядра.
      Знак настраивается на кэшированные изображения, т.е. если настроить модуль и потом сбросить кэш изображений, то все изображения будут с водяными знаками.
      Оригинальные изображения модуль не затрагивает!
      Функциональная спецификация:
      Возможность использования в виде водяного знака заранее подготовленного изображения. Возможность использования в виде водяного знака произвольного текста (цвет, размер, гарнитура). Использование своей гарнитуры при генерации текстового водного знака. Настройка прозрачности водяного знака. Настройка наклона водяного знака. Настройка положения водяного знака относительно изображения (+ смещение). Задание папок, на которые накладывается водяной знак. Задание минимально допустимого размера изображения для накладывания знака. Масштабирование водяного знака в зависимости от размера изображения. Защита оригинальных изображений (через htaccess) Установка:
      Скопировать модуль в админку. Заменить файл: /catalog/model/tool/image.php или внесите 2 строки кода в ваш файл (подробнее в инструкции, прилагаемой к модулю) Добавить файлы шрифтов TTF в директорию /system/fonts/ Сделать настройку модуля в админке. Демонстрационная версия:
      лицо (более 40 модификаций и улучшений +адаптив):
      http://zero.isdigi.ru/
      админка:
      http://zero.isdigi.ru/admin/
      логин: demo
      пароль: demo
       
      Для версии 1.5.Х  2.3.X
    • By infosolutions
      1 490.00 руб
      Скачать/Купить дополнение


      is.Watermark (Водяной знак) [2.0.X-2.2.X]
      Без правок ядра.
      Знак настраивается на кэшированные изображения, т.е. если настроить модуль и потом сбросить кэш изображений, то все изображения будут с водяными знаками.
      Оригинальные изображения модуль не затрагивает!
      Функциональная спецификация:
      Возможность использования в виде водяного знака заранее подготовленного изображения. Возможность использования в виде водяного знака произвольного текста (цвет, размер, гарнитура). Использование своей гарнитуры при генерации текстового водного знака. Настройка прозрачности водяного знака. Настройка наклона водяного знака. Настройка положения водяного знака относительно изображения (+ смещение). Задание папок, на которые накладывается водяной знак. Задание минимально допустимого размера изображения для накладывания знака. Масштабирование водяного знака в зависимости от размера изображения. Защита оригинальных изображений (через htaccess) Установка:
      Скопировать модуль в админку. Заменить файл: /catalog/model/tool/image.php или внесите 2 строки кода в ваш файл (подробнее в инструкции, прилагаемой к модулю) Добавить файлы шрифтов TTF в директорию /system/fonts/ Сделать настройку модуля в админке. Демонстрационная версия:
      лицо (более 40 модификаций и улучшений +адаптив):
      http://zero.isdigi.ru/
      админка:
      http://zero.isdigi.ru/admin/
      логин: demo
      пароль: demo
       
      Для версии 1.5.Х  2.3.X
      Добавил infosolutions Добавлено 13.03.2017 Категория Модули Системные требования Сайт разработчика isdigi.ru Старая цена Метод активации Без активации Ioncube Loader Нет OpenCart 2.2
      2.1
      2.0 ocStore 2.2
      2.1 OpenCart.Pro, ocShop Обращение к серверу разработчика  
    • By infosolutions
      Без правок ядра.
      Знак настраивается на кэшированные изображения, т.е. если настроить модуль и потом сбросить кэш изображений, то все изображения будут с водяными знаками.
      Оригинальные изображения модуль не затрагивает!
      Функциональная спецификация:
      Возможность использования в виде водяного знака заранее подготовленного изображения. Возможность использования в виде водяного знака произвольного текста (цвет, размер, гарнитура). Использование своей гарнитуры при генерации текстового водного знака. Настройка прозрачности водяного знака. Настройка наклона водяного знака. Настройка положения водяного знака относительно изображения (+ смещение). Задание папок, на которые накладывается водяной знак. Задание минимально допустимого размера изображения для накладывания знака. Масштабирование водяного знака в зависимости от размера изображения. Защита оригинальных изображений (через htaccess) Установка:
      Скопировать модуль в админку. Заменить файл: /catalog/model/tool/image.php или внесите 2 строки кода в ваш файл (подробнее в инструкции, прилагаемой к модулю) Добавить файлы шрифтов TTF в директорию /system/fonts/ Сделать настройку модуля в админке. Демонстрационная версия:
      лицо (более 40 модификаций и улучшений +адаптив):
      http://zero.isdigi.ru/
      админка:
      http://zero.isdigi.ru/admin/
      логин: demo
      пароль: demo
       
      Для версии 1.5.Х  2.0-2.2.X
  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.