1. Уважаемые пользователи, прежде чем ответить в теме или создать новую,
    внимательно ознакомьтесь с правилами раздела

    Кому лень работать или руки не оттуда - пользуйтесь услугами специалистов
  2. Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.."

    Есть JED!!! Ищите там!!!

Обсуждение Бэкдор в NoNumber от создателя

Тема в разделе "Joomla", создана пользователем kolio, 22 дек 2014.

Информация :
  • Уважаемые пользователи, прежде чем ответить в теме или создать новую, внимательно ознакомьтесь с правилами раздела
  • Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.." Есть JED!!! Ищите там!!!
  • Аналоги ищите там же - на JED!!!
  • Новая версия? - У кого будет - тот выложит!
Модераторы: arman29, DMS, Genk0, NightHunter
  1. kolio

    kolio Постоялец

    Регистр.:
    21 фев 2012
    Сообщения:
    107
    Симпатии:
    39
    Всем привет. Хочу поднять очень серьезную тему на обсуждение

    Все рано или поздно сталкиваются с разработками от NoNumber. Да, там есть хорошие вещи.

    Позавчера столкнулся с такой бедой. В один раз захожу на сайт - а там вместо контента всех статей (com_content) стоит надпись "this site using pirated software!!!" или как-то так. Не помню.

    Сижу думаю, ну кто из авторов, кто? Там юзается около 4-5 источников платных компонентов, плагинов т.п.
    Сижу думаю, ну как вычислить кто именно из авторов компонентов понял, что юзаю не покупное.

    Беру бекап файлов до и после проблемы и нахожу (программой araxis merge) всего 2 изменения в файлах php
    Как раз в 2х файлах NoNumber. Именно в его фреймворке.
    В общем он убрал на сайте из 2х файлов 1 функцию update и всё. Вечером напишу какие именно файлы он заменил.
    Саму функцию не изучал, но думаю вечерком погляжу на неё

    Собственно понятно, что я виновен в том, что юзаю на халяву платное. А разработчик не брезгует удаляя контент со всего сайта. И это опасно для тех кто в принципе юзает его ПО не оплачивая его.
    Я покупал 1 раз у него Табы, но не помню указывал ли я при покупке название сайта (то-есть идет ли привязка к домену или нет - не помню)

    Всё это можн полечить по-идее заменив везде текст "nonumber.nl" на какую-то другую хрень.
    НО! Суть не в этом! Ведь он как то вошел на сайт, сделал, что хотел и свалил. То есть в компонентах есть бекдор! И если там нет защиты от левого входа в бекдор, то зная как это работает - можно по идее навредить любому сайту, который юзает PRO версии плагинов.

    Гляну сегодня вечером логи сервера, к каким файлам было обращение, а тем более я знаю дату модификации тех самых 2х файлов. и смогу найти по логам какие именно файлы он дергал.

    В инете находил эту фразу в гугле. Многие с ней сталкивались. Но честно говоря я не запомнил. Я просто восстановил БД и всё.
     
    Последнее редактирование: 22 дек 2014
    Гузель и Kolfg нравится это.
  2. Denixxx

    Denixxx

    Регистр.:
    7 фев 2014
    Сообщения:
    247
    Симпатии:
    194
    Ну хочется просто парню навариться, Рождество впереди. Его можно понять.
    Понять и простить:)
     
  3. kolio

    kolio Постоялец

    Регистр.:
    21 фев 2012
    Сообщения:
    107
    Симпатии:
    39
    ну это и я хочу :)
    но сам факт присутствия бэкдора никого не смущает? ни у кого не появилось желание его оттуда вырезать?
    я вечерком обязательно по-изучаю его "писанину"
    а то мало-ли, ему вздумается отсылать себе копию БД при инсталле компонентов, или допустим автовставка в БД своего супер-админа с паролем, который он знает.

    Конечно продавая сорцы ты по факту можешь только надеяться, что покупатель не выкинет его в инет на растерзание. в этом конечно минус. И как бороться с этим даже я не знаю. Увы
     
  4. kise97

    kise97 Создатель

    Регистр.:
    22 июн 2012
    Сообщения:
    16
    Симпатии:
    2
    Ну вот зато вам хороший пример того, когда стоит купить лицензию, а не брать пиратки.
     
  5. kolio

    kolio Постоялец

    Регистр.:
    21 фев 2012
    Сообщения:
    107
    Симпатии:
    39
    это всем понятно и без Вас. Тема не об этом.
    Как Вы понимаете - Вы находитесь на сайте, где именно пиратство - основной вид заинтересованности юзеров. И как Вы понимаете люди выкладывают в подавляющем количестве оригинальные компоненты, плагины, которые уже содержат такую фигню в коде и задача в том, чтобы избавить людей от подобных случаев
     
  6. iskif

    iskif

    Регистр.:
    21 авг 2006
    Сообщения:
    325
    Симпатии:
    35
    а вас не смущает фраза в описании лицензии:
    You can install the extension on any domain you want. No limitations. No domain checks.

    т.е. то что вы описали скорее всего сделал не автор компонента, а тот, у кого вы "взяли" свою версию со встроенной "доработкой".
     
  7. opposite

    opposite Постоялец

    Регистр.:
    25 сен 2007
    Сообщения:
    125
    Симпатии:
    115
    Примеры и понимание это здорово, но все от Nonumber для Joomla выходит под Перейти по ссылке на самом сайте разработчика, что ставит под сомнение легальность вышеописанных действий. При условии, что это вообще было сделано автором расширения, а не каким-нибудь сторонним весельчаком, модифицировавшим расширение и пустившим его по сети.
    Использование расширений лицензия не запрещает. Автор в праве ограничить доступ к своему сайту для скачивания (заблокировать аккаунт) при условии весомых доказательств распространения его расширений. Но модифицировать содержимое сайта... Если это так, то можно смело обращаться на Перейти по ссылке с описанием проблемы и просьбой дать оценку подобных действий.
     
    kolio нравится это.
  8. kolio

    kolio Постоялец

    Регистр.:
    21 фев 2012
    Сообщения:
    107
    Симпатии:
    39
    я брал из ветки https://www.nulled.cc/threads/229363/page-11
    как и все остальные берут оттуда

    а смысл автору, который выложил в сеть эту "доработку" шариться по чужим сайтам и писать, что сайт юзает пиратку? во благо разработчику? такой себе "альтруист - Робин Гуд"

    допустим Ваша теория верна - тогда всё, что выкладывается здесь на сайте может быть с бэкдорами (про скрытые ссылки я молчу, бывало и такое) и авторитет выкладывающего не играет никакой роли?

    блин. вечером отпишусь :)
     
  9. iskif

    iskif

    Регистр.:
    21 авг 2006
    Сообщения:
    325
    Симпатии:
    35
    может и, думаю, 99,9% так и есть.
    я вот сам несколько раз перевыкладывал здесь разное скачанное на других аналогичных (буржуйских) форумах, но честно предупреждал, что источник - не автор.
     
  10. opposite

    opposite Постоялец

    Регистр.:
    25 сен 2007
    Сообщения:
    125
    Симпатии:
    115
    Смотря что понимать под авторитетом. Уже бывали случаи, когда выкладывались расширения от людей с большим количеством сообщений и полученных благодарностей, но они (выкладываемые расширения) были перепостами с таких проектов как portaliz, где каждый может разместить и скачать все, что угодно по крайней мере до тех пор пока его не забанят. Было бы неплохо ввести в правила пункт, обязывающий указывать источник расширения при условии, что релизер не является обладателем лицензии.
     
    Lm777 и kolio нравится это.