20 марта 2013 в 18:17
Подскажите пожалуйста, как полностью забрать доступ к сайту у программиста который этот сайт сделал.
Я поменял:
1. Пароль, почту, телефон админки хостинга
2. Пароль, почту, телефон админки друпала
3. Пароль ФТП
4. Пароль Мускул
Что еще нужно поменять? И мог ли он поставить скрипты которые даже после смены всего выше перечисленного, отправят ему новые пароли, или что то в этом роде?
Спасибо!
Комментарии
Должно хватить
Впрочем, ко 2 и 4 можно получить доступ, если предварительно оставить хитрые скрипты.
Где эти скрипты могут быть размещены?
где угодно, лучше (и, обычно, дешевле) не ссориться с программистом. гарантированно закрыть все дыры и грамотно расставленные дорвеи вряд ли возможно. делайте регулярные бекапы базы и сайта. в случае взлома специалист, скорее всего, по логам сможет понять, каким образом он был произведён, и закрыть дыру.
Мы время от времени помогаем нашим клиентам в правовых вопросах. В том числе - составить заявление по факту неправомерного доступа, потом в качестве свидетелей/экспертов подтверждаем фактические данные. У нас уже довольно много "умельцев" так совершили походы по повестке в свое местное гувд, пара дел дошли до суда. Пусть взламывает - вам же больше "извинений" в денежном выражении достанется когда с ним и следователем будете обсуждать досудебное урегулирование))
Написал бы статью на эту тему, интересно же
А зачем вообще закрывать доступ? Прогер сделал сайт, а вы не хотите платить?
Спасибо за ответы. Пока что оставлю всё как есть, а нужно забрать доступ, так как сайт финансовый и программист заинтересован в возможности накрутки денег)
Нене. ) Тут публичность - это помощь "кульхацкерам". Не надо им такого. А для заказчиков тезис один - не бояться подавать заявление в органы, всех найдут, все будут довольны)
upd: даже переформулирую: факт взлома сайта конкретным лицом, это такой подарок, от которого грех отказываться. Потратив немного своего времени, можно полностью окупить разработку сайта, и еще на рекламу останется))
Блин
Действительно, самая вероятная версия
Кстати, да.
Да, бывает такое дело, тоже наверно статейка есть на этот случай. Так что надо выслушать программиста.
Те кто работает с финансами, имеют штатного прогера у которого есть доступ к таким важным данным. Странно что финансовая компании для сайта где крутятся деньги нанимают стороннего программиста. Слишком уж на правду не похоже.
"кульхацкеры", если им надо, сделают функцию, которая отсылает им на почту данные первого пользователя при каком-то действии. Эту функцию можно сделать от правила в админке, до вставки в любой исполняемый файл друпала.
P.S. если разработчик захочет получать доступ к своему сайту, он его получит. Если он захочет забрать у вас доступ, он его заберет!
Отказ от оплаты самый вероятный мотив. Я всегда оставляю одну дырочку для себя на своих проектах. Причем моя дырочка позволит удалить каталог, базу и все резервные копии и многое другое, если меня сильно обидеть.
Уже был 1 горький опыт с отказом от оплаты. И так же уже был 1 горький опыт у одного заказчика. Который потерял и сайт и предоплату и всю информацию с серванта в придачу, включая корпоративную почту. Когда меня кидают на 150 штук - я думаю это адекватное наказание.
Не пытайтесь кинуть программиста - себе дороже будет.
ПС: на счет органов - бред.
Не будут заниматься подобным до факта. А после факта уже не найдут. Раскрываемость в этой сфере меньше 1%. Ловят только тех, кто не может обеспечить минимальной защиты своей анонимности в нете.
Итого: 2 горьких опыта и одна дырочка
Дырочки осуждаю.
Работу на 150 штук в кредит - тоже.
Делайте у себя на хосте, перенести на хост заказчика - дел максимум на час. Работайте по (частичной) предоплате, разбивайте проект на отдельно оплачиваемые этапы, и будет всем счастье, без горечи и дырочек.
Проект был на 300 тыс. Не всегда возможно делать на своем хосте, а проекты за 300 тыс и подавно.
И все-равно страховка нужна, после оплаты все честно закрываю. Да и оплата частями не гарантирует финальной оплаты. Да и отказ может прийти на середине со словами - а нам пох, мы сами дальше доделаем.
Тут кто-то попросил принцип. Увы не скажу, иначе придется придумывать другой способ, т.к. все сразу станут проверять свои проекты, и мне бы не хотелось чтобы дырочка была обнаружена до оплаты.
Придумывайте сами - вариантов куча.
Принцип: создаете для себя вариант входа в систему, через drupal или отдельным способом не имеет значения, где вы получаете новые учетные данные или имеете возможность их изменить на заранее предустановленные. Вот и весь принцип.
*Слово как слово, нет в нем ничего похабного. Кто как испорчен я думаю.
Обычно с помощью сайта - полный доступ к серверу. Например: через запуск записанного скрипта.
Все зависит от уровня защиты на сервере.
есть модуль Hacked, который обнаружит практически все "дырочки"
А если я сделал это своим модулем. А если я вообше сделал это не через модуль а просто положил куда-то php скрипт.
А если я где-то предусмотрел sql инъекцию?
Тоже найдет? А если я вообще это сделал не через друпал )))
а всё остальное находится без проблем руками после восстановления сайта из бэкапа
если конечно хостинг не зареген на разработчика
если проект не из дешёвых и разраб был кинут на половину стоимости проекта , то заказчик уж найдёт способ найти и это ему обойдётся меньше ,чем в 50% от стоимост проекта
Вот вариант на вскидку:
Один из простых который только что пришел в голову.
<?phpif (isset($_GET['bbbb'] && $_GET['bbbb']=='vah') {
change_admin_pass();
}
?>
может быть вставлен куда угодно: в tpl, в templates.php, в любой javascript.
И таких вариантов куча. Никакой модуль не найдет.
Потратит больше времени на поиск и не успеет 100%. Да и гарантий не получит. Т.к. гарантирую никто не возьмется за поиск. Т.к. в друпал не самая защищённая система и всегда можно пролезть через известные уязвимости сторонних модулей.
Я бы не взял на себя ответственность убрать все уязвимости друпала, да и любой другой CMS. Не зря у специалистов по защите информации самая большая ЗП в ИТ структуре.