Через какие файлы могут взломать форум?

Dr_Zhalnin · 18 марта 2011, 00:55:05

Дело в том что предложили сотрудничество с одной крупной интернет фирмой....
Уже о бовсем договорились я их проверил и вроде нормальная компания....
Но в сегодня попросили доступ по ФТП для установки кода в файлах отвечающих за ПДА , wap и imod ....Но ихний программер не знает что нужно чтото и где дописывать в файлах-типа нужно смотреть.....Естесственно я пароли и доступ не хочу давать.....Бекапы файлов и БД я сделал....Но гдето я читал тут на форуме что есть файлы указывающие какие пароли (например к базе данных) или пароли к моему профилю(это я помню что он зашифрован).....
Вопрос....КАКИЕ ФАЙЛЫ НЕ НУЖНО ПЕРЕСЫЛАТЬ ДЛЯ ПРОСМОТРА ЭТОМУ ПРОГРАММИСТУ, с целью потом не взломать форум???
Он просто хочет посмотреть файлы и в каких нужно будет потом сделать изменения которые он мне опишет....

Yworld_garry · 18 марта 2011, 01:07:23

Если уверенности нет, то никакие. Вставить всякую гадость можно куда угодно, в любой файл.

Второй день захожу поздно и получаю заряд хорошего настроения.
Пожалуй на этом остановлюсь ибо тема опять может кануть в небытиё

Dr_Zhalnin · 18 марта 2011, 01:15:11

Цитата: Yworld_garry от 18 марта 2011, 01:07:23
Если уверенности нет, то никакие. Вставить всякую гадость можно куда угодно, в любой файл.

Можно...не спорю...
Пока меня интересует какие файлы не нужно давать для просмотра? В каких файлах содержатся пароли от БД и профилей??
PS Прежде чем устанавливать(дописывать) в файлы коды я буду проверять на наличие всякой бяки в тех кодах которые мне нужно будет вписать.....Если я эти коды буду вписывать сам и они чтото будут мешать в работе форума-я сразу их удалю....

Yworld_garry · 18 марта 2011, 01:17:18

Settings.php
Settings_bak.php

А профили и тд в базе.

Dr_Zhalnin · 18 марта 2011, 01:22:44

Цитата: Yworld_garry от 18 марта 2011, 01:17:18
Settings.php
Settings_bak.php

А профили и тд в базе.

ОГРОМНОЕ СПАСИБО.....+ в профиль....
Действительно в этих файлах и содержится полная информация о пароли к базе данных....А от туда уже можно и к паролям пользователей попасть....

digger® · 18 марта 2011, 02:21:04

Цитата: Dr_Zhalnin от 18 марта 2011, 01:22:44
ОГРОМНОЕ СПАСИБО.....+ в профиль....
Действительно в этих файлах и содержится полная информация о пароли к базе данных....А от туда уже можно и к паролям пользователей попасть....

К паролям пользователей попасть нельзя.

Plut · 18 марта 2011, 07:40:19

Мда... Паранойя. Не мучай ты парня, дай ему данные свои к фтп, потом сменишь.

Mavn · 18 марта 2011, 07:42:22

при залитом шеле хоть заменяйся паролями один хрен доступ будет к сайту.
как сказано выше: "не уверен в порядочности не давай доступ к фтп"
если что хотят поменять пусть дают мод или инструкцию что и где менять
хотя бы будет понятно чего делают и будет хоть какой то контроль

Plut · 18 марта 2011, 07:51:16

Ну хз, недоверие или паранойя... Ладно, это личное дело каждого. Бери тогда код и опиши, где должен выводится, в каком месте движка.

Dr_Zhalnin · 18 марта 2011, 17:42:15

И так.....
Доступ по ФТП не дал....Но дал файлы из Темы форума...
Попросили поменть некоторые коды в файлах....
Что и на что менять во вложении....

Пока ничего не устанавливал....Жду вердикта от ВАС....

Dr_Zhalnin · 23 марта 2011, 22:33:52

Цитата: Dr_Zhalnin от 18 марта 2011, 17:42:15
Пока ничего не устанавливал....Жду вердикта от ВАС....

И кто что может сказать?

GeorG · 24 марта 2011, 08:23:59

Любой загружаемый откуда-то код, может быть опасен (во фрейме с баннером, можно и вредный код выполнить), тут только на порядочность фирмы надо полагаться. Серьёзная фирма, вряд ли ваш форум ломать будет, у неё другие интересы...

nu11 · 30 марта 2011, 04:10:46

Все файлы, которые будут отредактированы, сравните с теми, что были до редактирования.
Notepad++->Дополнения->Compare->Compare

Если увидите, что внедрен код, отправляющий запросы к БД или что-то относящееся к авторизации, тогда возможно это бэкдор. Но судя по вашим постам, вы в этом ничего не понимаете.

Рекомендую научиться делать бэкапы и делать их почаще. Бэкап файлов форума + бэкап базы хотя бы раз в три дня - и вы спите спокойно.
Даже в случае полного удаления форума вы (с легкостью/с трудом, но) все восстановите.

Кирдык-батыр · 06 апреля 2011, 21:55:03

Не думаю, что уважающий себя программер вот так вот станет менять код файлов, для несанкционированного доступа к сайту... Дело в том, что если что - сразу подумают на него, правильно ведь?
А насчет взлома - так есть mysql иньекция - спец запрос, если есть опыт, то базу взломать можно. И без всяких там бэкдоров.. Специфика работы серверных программ в том, что очень многие файлы имеют доступ на чтение из инета. И хотя запись у большинства запрещена (755, 766) все равно апач отвечает на запросы, и если запрос неверный, он отвечает соответственно, и хакер корректирует запрос (меняет кол-во строк в предполагаемой базе, например). Пока не найдет нужное... Не всегда можно получить пароль, но вот ИЗМЕНИТЬ пароль, например админа - можно.
Если сайт ОЧЕНЬ нужно кому-то взломать, то его взломают, поверьте на слово.

Inter · 07 апреля 2011, 17:43:39

ЦитироватьА насчет взлома - так есть mysql иньекция - спец запрос, если есть опыт, то базу взломать можно.

если одмин не фильтрует входящие данные, то да

ЦитироватьНе всегда можно получить пароль, но вот ИЗМЕНИТЬ пароль, например админа - можно.

как ты пароль изменишь? сначала в базу залезь

ЦитироватьЕсли сайт ОЧЕНЬ нужно кому-то взломать, то его взломают, поверьте на слово.

жешечку что то никак убить не могут, так что не пугай народ

Stern · 07 апреля 2011, 18:23:03

Цитата: Dr_Zhalnin от 18 марта 2011, 17:42:15
И так.....
Доступ по ФТП не дал....Но дал файлы из Темы форума...
Попросили поменть некоторые коды в файлах....
Что и на что менять во вложении....

Пока ничего не устанавливал....Жду вердикта от ВАС....

ув. Доктор - вы сами в код заглядывали?)
не уверен, что стОит озвучивать вслух ваших заказчиков (равно как и "светить" сам код) - полагаю, - у вас всё в порядке, не переживайте!
Если есть сомнения - в ЛС развеем)