Полностью забрать доступ к сайту у программиста.

Главные вкладки

Аватар пользователя Zhykov Zhykov 20 марта 2013 в 18:17

Подскажите пожалуйста, как полностью забрать доступ к сайту у программиста который этот сайт сделал.
Я поменял:
1. Пароль, почту, телефон админки хостинга
2. Пароль, почту, телефон админки друпала
3. Пароль ФТП
4. Пароль Мускул

Что еще нужно поменять? И мог ли он поставить скрипты которые даже после смены всего выше перечисленного, отправят ему новые пароли, или что то в этом роде?
Спасибо!

Комментарии

Аватар пользователя greenmother@drupal.org greenmother@dru... 20 марта 2013 в 18:47

где угодно, лучше (и, обычно, дешевле) не ссориться с программистом. гарантированно закрыть все дыры и грамотно расставленные дорвеи вряд ли возможно. делайте регулярные бекапы базы и сайта. в случае взлома специалист, скорее всего, по логам сможет понять, каким образом он был произведён, и закрыть дыру.

Аватар пользователя adubovskoy adubovskoy 20 марта 2013 в 19:13

"Zhykov" wrote:
Что еще нужно поменять? И мог ли он поставить скрипты которые даже после смены всего выше перечисленного, отправят ему новые пароли, или что то в этом роде?
Спасибо!

Мы время от времени помогаем нашим клиентам в правовых вопросах. В том числе - составить заявление по факту неправомерного доступа, потом в качестве свидетелей/экспертов подтверждаем фактические данные. У нас уже довольно много "умельцев" так совершили походы по повестке в свое местное гувд, пара дел дошли до суда. Пусть взламывает - вам же больше "извинений" в денежном выражении достанется когда с ним и следователем будете обсуждать досудебное урегулирование))

Аватар пользователя graker graker 20 марта 2013 в 19:41

adubovskoy wrote:
Мы время от времени помогаем нашим клиентам в правовых вопросах. В том числе - составить заявление по факту неправомерного доступа, потом в качестве свидетелей/экспертов подтверждаем фактические данные. У нас уже довольно много "умельцев" так совершили походы по повестке в свое местное гувд, пара дел дошли до суда. Пусть взламывает - вам же больше "извинений" в денежном выражении достанется когда с ним и следователем будете обсуждать досудебное урегулирование))

Написал бы статью на эту тему, интересно же Smile

Аватар пользователя Zhykov Zhykov 20 марта 2013 в 20:29

Спасибо за ответы. Пока что оставлю всё как есть, а нужно забрать доступ, так как сайт финансовый и программист заинтересован в возможности накрутки денег)

Аватар пользователя adubovskoy adubovskoy 20 марта 2013 в 22:09

"graker" wrote:
Написал бы статью на эту тему, интересно же :)

Нене. ) Тут публичность - это помощь "кульхацкерам". Не надо им такого. А для заказчиков тезис один - не бояться подавать заявление в органы, всех найдут, все будут довольны)

upd: даже переформулирую: факт взлома сайта конкретным лицом, это такой подарок, от которого грех отказываться. Потратив немного своего времени, можно полностью окупить разработку сайта, и еще на рекламу останется))

Аватар пользователя graker graker 20 марта 2013 в 22:48

adubovskoy wrote:
Нене. ) Тут публичность - это помощь "кульхацкерам". Не надо им такого.

Блин Smile ну хоть буду знать, к кому обращаться, если что!

Аватар пользователя Crea Crea 21 марта 2013 в 11:54

Paltus wrote:

Неоднократно был свидетелем таких историй, в итоге оказывалось, что заказчик не хотел платить.

Действительно, самая вероятная версия Smile

Аватар пользователя Nordway Nordway 21 марта 2013 в 7:20

"Paltus" wrote:
Неоднократно был свидетелем таких историй, в итоге оказывалось, что заказчик не хотел платить.

Да, бывает такое дело, тоже наверно статейка есть на этот случай. Так что надо выслушать программиста.

Аватар пользователя Niklan Niklan 21 марта 2013 в 12:13

Те кто работает с финансами, имеют штатного прогера у которого есть доступ к таким важным данным. Странно что финансовая компании для сайта где крутятся деньги нанимают стороннего программиста. Слишком уж на правду не похоже.

Аватар пользователя BlVlG BlVlG 21 марта 2013 в 12:33

"кульхацкеры", если им надо, сделают функцию, которая отсылает им на почту данные первого пользователя при каком-то действии. Эту функцию можно сделать от правила в админке, до вставки в любой исполняемый файл друпала.

P.S. если разработчик захочет получать доступ к своему сайту, он его получит. Если он захочет забрать у вас доступ, он его заберет!

Аватар пользователя divined divined 21 марта 2013 в 12:46

Отказ от оплаты самый вероятный мотив. Я всегда оставляю одну дырочку для себя на своих проектах. Причем моя дырочка позволит удалить каталог, базу и все резервные копии и многое другое, если меня сильно обидеть.

Уже был 1 горький опыт с отказом от оплаты. И так же уже был 1 горький опыт у одного заказчика. Который потерял и сайт и предоплату и всю информацию с серванта в придачу, включая корпоративную почту. Когда меня кидают на 150 штук - я думаю это адекватное наказание.

Не пытайтесь кинуть программиста - себе дороже будет.

ПС: на счет органов - бред.
Не будут заниматься подобным до факта. А после факта уже не найдут. Раскрываемость в этой сфере меньше 1%. Ловят только тех, кто не может обеспечить минимальной защиты своей анонимности в нете.

Аватар пользователя volocuga@drupal.org volocuga@drupal.org 21 марта 2013 в 19:10

"divined" wrote:
Уже был 1 горький опыт с отказом от оплаты. И так же уже был 1 горький опыт у одного заказчика.

Итого: 2 горьких опыта и одна дырочка

Аватар пользователя greenmother@drupal.org greenmother@dru... 21 марта 2013 в 19:26

Дырочки осуждаю.
Работу на 150 штук в кредит - тоже.
Делайте у себя на хосте, перенести на хост заказчика - дел максимум на час. Работайте по (частичной) предоплате, разбивайте проект на отдельно оплачиваемые этапы, и будет всем счастье, без горечи и дырочек.

Аватар пользователя divined divined 22 марта 2013 в 12:56

Проект был на 300 тыс. Не всегда возможно делать на своем хосте, а проекты за 300 тыс и подавно.
И все-равно страховка нужна, после оплаты все честно закрываю. Да и оплата частями не гарантирует финальной оплаты. Да и отказ может прийти на середине со словами - а нам пох, мы сами дальше доделаем.

Тут кто-то попросил принцип. Увы не скажу, иначе придется придумывать другой способ, т.к. все сразу станут проверять свои проекты, и мне бы не хотелось чтобы дырочка была обнаружена до оплаты.
Придумывайте сами - вариантов куча.

Аватар пользователя divined divined 22 марта 2013 в 13:13

Принцип: создаете для себя вариант входа в систему, через drupal или отдельным способом не имеет значения, где вы получаете новые учетные данные или имеете возможность их изменить на заранее предустановленные. Вот и весь принцип.

*Слово как слово, нет в нем ничего похабного. Кто как испорчен я думаю.

Аватар пользователя divined divined 22 марта 2013 в 13:29

Обычно с помощью сайта - полный доступ к серверу. Например: через запуск записанного скрипта.
Все зависит от уровня защиты на сервере.

Аватар пользователя divined divined 22 марта 2013 в 14:22

drupby wrote:
есть модуль Hacked, который обнаружит практически все "дырочки"

А если я сделал это своим модулем. А если я вообше сделал это не через модуль а просто положил куда-то php скрипт.
А если я где-то предусмотрел sql инъекцию?

Тоже найдет? А если я вообще это сделал не через друпал )))

Аватар пользователя drupby drupby 22 марта 2013 в 13:55

"Paltus" wrote:
Он производит поиск лишь по модулям находящимися в паблике ?

а всё остальное находится без проблем руками после восстановления сайта из бэкапа
если конечно хостинг не зареген на разработчика

Аватар пользователя drupby drupby 22 марта 2013 в 14:27

"Paltus" wrote:
Простите, а кем находятся, не разбирающимся заказчиком ?

если проект не из дешёвых и разраб был кинут на половину стоимости проекта , то заказчик уж найдёт способ найти и это ему обойдётся меньше ,чем в 50% от стоимост проекта

Аватар пользователя divined divined 22 марта 2013 в 14:28

Вот вариант на вскидку:

Один из простых который только что пришел в голову.

<?php
if (isset($_GET['bbbb'] && $_GET['bbbb']=='vah') {
   
change_admin_pass();
}
?>

может быть вставлен куда угодно: в tpl, в templates.php, в любой javascript.

И таких вариантов куча. Никакой модуль не найдет.

Аватар пользователя divined divined 22 марта 2013 в 14:31

Потратит больше времени на поиск и не успеет 100%. Да и гарантий не получит. Т.к. гарантирую никто не возьмется за поиск. Т.к. в друпал не самая защищённая система и всегда можно пролезть через известные уязвимости сторонних модулей.

Аватар пользователя divined divined 22 марта 2013 в 14:33

Я бы не взял на себя ответственность убрать все уязвимости друпала, да и любой другой CMS. Не зря у специалистов по защите информации самая большая ЗП в ИТ структуре.