1. Уважаемые пользователи, прежде чем ответить в теме или создать новую,
    внимательно ознакомьтесь с правилами раздела

    Кому лень работать или руки не оттуда - пользуйтесь услугами специалистов
  2. Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.."

    Есть JED!!! Ищите там!!!

Обсуждение Бэкдор в NoNumber от создателя

Тема в разделе "Joomla", создана пользователем kolio, 22 дек 2014.

Информация :
  • Уважаемые пользователи, прежде чем ответить в теме или создать новую, внимательно ознакомьтесь с правилами раздела
  • Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.." Есть JED!!! Ищите там!!!
  • Аналоги ищите там же - на JED!!!
  • Новая версия? - У кого будет - тот выложит!
Модераторы: arman29, DMS, Genk0
  1. kolio

    kolio Постоялец

    Регистр.:
    21 фев 2012
    Сообщения:
    101
    Симпатии:
    38
    Всем привет. Хочу поднять очень серьезную тему на обсуждение

    Все рано или поздно сталкиваются с разработками от NoNumber. Да, там есть хорошие вещи.

    Позавчера столкнулся с такой бедой. В один раз захожу на сайт - а там вместо контента всех статей (com_content) стоит надпись "this site using pirated software!!!" или как-то так. Не помню.

    Сижу думаю, ну кто из авторов, кто? Там юзается около 4-5 источников платных компонентов, плагинов т.п.
    Сижу думаю, ну как вычислить кто именно из авторов компонентов понял, что юзаю не покупное.

    Беру бекап файлов до и после проблемы и нахожу (программой araxis merge) всего 2 изменения в файлах php
    Как раз в 2х файлах NoNumber. Именно в его фреймворке.
    В общем он убрал на сайте из 2х файлов 1 функцию update и всё. Вечером напишу какие именно файлы он заменил.
    Саму функцию не изучал, но думаю вечерком погляжу на неё

    Собственно понятно, что я виновен в том, что юзаю на халяву платное. А разработчик не брезгует удаляя контент со всего сайта. И это опасно для тех кто в принципе юзает его ПО не оплачивая его.
    Я покупал 1 раз у него Табы, но не помню указывал ли я при покупке название сайта (то-есть идет ли привязка к домену или нет - не помню)

    Всё это можн полечить по-идее заменив везде текст "nonumber.nl" на какую-то другую хрень.
    НО! Суть не в этом! Ведь он как то вошел на сайт, сделал, что хотел и свалил. То есть в компонентах есть бекдор! И если там нет защиты от левого входа в бекдор, то зная как это работает - можно по идее навредить любому сайту, который юзает PRO версии плагинов.

    Гляну сегодня вечером логи сервера, к каким файлам было обращение, а тем более я знаю дату модификации тех самых 2х файлов. и смогу найти по логам какие именно файлы он дергал.

    В инете находил эту фразу в гугле. Многие с ней сталкивались. Но честно говоря я не запомнил. Я просто восстановил БД и всё.
     
    Последнее редактирование: 22 дек 2014
    Гузель и Kolfg нравится это.
  2. Denixxx

    Denixxx

    Регистр.:
    7 фев 2014
    Сообщения:
    247
    Симпатии:
    191
    Ну хочется просто парню навариться, Рождество впереди. Его можно понять.
    Понять и простить:)
     
  3. kolio

    kolio Постоялец

    Регистр.:
    21 фев 2012
    Сообщения:
    101
    Симпатии:
    38
    ну это и я хочу :)
    но сам факт присутствия бэкдора никого не смущает? ни у кого не появилось желание его оттуда вырезать?
    я вечерком обязательно по-изучаю его "писанину"
    а то мало-ли, ему вздумается отсылать себе копию БД при инсталле компонентов, или допустим автовставка в БД своего супер-админа с паролем, который он знает.

    Конечно продавая сорцы ты по факту можешь только надеяться, что покупатель не выкинет его в инет на растерзание. в этом конечно минус. И как бороться с этим даже я не знаю. Увы
     
  4. kise97

    kise97 Создатель

    Регистр.:
    22 июн 2012
    Сообщения:
    16
    Симпатии:
    2
    Ну вот зато вам хороший пример того, когда стоит купить лицензию, а не брать пиратки.
     
  5. kolio

    kolio Постоялец

    Регистр.:
    21 фев 2012
    Сообщения:
    101
    Симпатии:
    38
    это всем понятно и без Вас. Тема не об этом.
    Как Вы понимаете - Вы находитесь на сайте, где именно пиратство - основной вид заинтересованности юзеров. И как Вы понимаете люди выкладывают в подавляющем количестве оригинальные компоненты, плагины, которые уже содержат такую фигню в коде и задача в том, чтобы избавить людей от подобных случаев
     
  6. iskif

    iskif

    Регистр.:
    21 авг 2006
    Сообщения:
    325
    Симпатии:
    35
    а вас не смущает фраза в описании лицензии:
    You can install the extension on any domain you want. No limitations. No domain checks.

    т.е. то что вы описали скорее всего сделал не автор компонента, а тот, у кого вы "взяли" свою версию со встроенной "доработкой".
     
  7. opposite

    opposite Постоялец

    Регистр.:
    25 сен 2007
    Сообщения:
    124
    Симпатии:
    114
    Примеры и понимание это здорово, но все от Nonumber для Joomla выходит под GNU GPL v2.0, о чем говорится на самом сайте разработчика, что ставит под сомнение легальность вышеописанных действий. При условии, что это вообще было сделано автором расширения, а не каким-нибудь сторонним весельчаком, модифицировавшим расширение и пустившим его по сети.
    Использование расширений лицензия не запрещает. Автор в праве ограничить доступ к своему сайту для скачивания (заблокировать аккаунт) при условии весомых доказательств распространения его расширений. Но модифицировать содержимое сайта... Если это так, то можно смело обращаться на JED с описанием проблемы и просьбой дать оценку подобных действий.
     
    kolio нравится это.
  8. kolio

    kolio Постоялец

    Регистр.:
    21 фев 2012
    Сообщения:
    101
    Симпатии:
    38
    я брал из ветки https://www.nulled.cc/threads/229363/page-11
    как и все остальные берут оттуда

    а смысл автору, который выложил в сеть эту "доработку" шариться по чужим сайтам и писать, что сайт юзает пиратку? во благо разработчику? такой себе "альтруист - Робин Гуд"

    допустим Ваша теория верна - тогда всё, что выкладывается здесь на сайте может быть с бэкдорами (про скрытые ссылки я молчу, бывало и такое) и авторитет выкладывающего не играет никакой роли?

    блин. вечером отпишусь :)
     
  9. iskif

    iskif

    Регистр.:
    21 авг 2006
    Сообщения:
    325
    Симпатии:
    35
    может и, думаю, 99,9% так и есть.
    я вот сам несколько раз перевыкладывал здесь разное скачанное на других аналогичных (буржуйских) форумах, но честно предупреждал, что источник - не автор.
     
  10. opposite

    opposite Постоялец

    Регистр.:
    25 сен 2007
    Сообщения:
    124
    Симпатии:
    114
    Смотря что понимать под авторитетом. Уже бывали случаи, когда выкладывались расширения от людей с большим количеством сообщений и полученных благодарностей, но они (выкладываемые расширения) были перепостами с таких проектов как portaliz, где каждый может разместить и скачать все, что угодно по крайней мере до тех пор пока его не забанят. Было бы неплохо ввести в правила пункт, обязывающий указывать источник расширения при условии, что релизер не является обладателем лицензии.
     
    Lm777 и kolio нравится это.