|
| |
|
|
| |
для: Владислав777
(08.09.2006 в 16:28)
| | | 1. Я бы поискал среди тех, то имеет доступ к вашему компьютеру. (пароль можно получить в 1 сек даже не заметишь).
2. На счет дыр не силен, но похоже, хоть и можно менять пораметр из админки, то вероятнее существует его какая то альтернатива. Как в monster toplist, вместо логина и пароля, просто ставим 1 в логин и ахтунг. | |
| |
|
|
| |
|
|
| |
для: cheops
(08.09.2006 в 16:05)
| | | Из почты никак, ибо почта не связана никак с данными. Ни по какой почте эти данные не отправлялись. И если бы он получил доступ к админцентру, то наверно уж не ограничился бы только изменением своего баланса. | |
| |
|
|
| |
|
|
| |
для: Yuri
(08.09.2006 в 14:22)
| | | Он накрутил или зачислил каким-то образом несколько тысяч у.е. на свой счёт. А это поле - баланс, можно изменить только в админцентре. Но есть какая-то дыра. | |
| |
|
|
| |
|
|
| |
для: Владислав777
(08.09.2006 в 13:15)
| | | Он мог украсть его из друго места, например из вашей почты (вы храните почту на сервере или загружаете её), но это действительно маловероятно. | |
| |
|
|
| |
|
|
| |
для: Владислав777
(08.09.2006 в 13:34)
| | | Я нашел ваш сайт (или аналогичный). Попробую посмотреть. Но все равно было бы не плохо если б написали, что именно сделал хацкер. | |
| |
|
|
| |
|
|
| |
для: Владислав777
(08.09.2006 в 13:34)
| | | Что именно пострадало? Что должно было быть и что стало? | |
| |
|
|
| |
|
|
| |
для: Yuri
(08.09.2006 в 13:17)
| | | Я закачал файл. Какие он уязвимости может иметь? | |
| |
|
|
| |
|
|
| |
для: Владислав777
(08.09.2006 в 12:16)
| | | Здесь речь, судя по описаниям, идет о "c99shell". Сама по себе эта програма в тупую точно ничего не взломает, а вот в руках оператора, который нашел способ закинуть этот Sell к вам - да. Кроме того этот аспект безопасности должен регулироваться в основном владельцами хоста. Обычно хостеры перекрывают доступ к базе из вне. (То есть вы не можете напрямую обратится на сервер MySql...к примеру с локального или другого хоста).
>Такие уязвимости имеет абсолютно любые скрипты?
Да если слепо доверять всему тому что получает в качестве переданных параметров ваш скрипт.
Если вопрос еще стоит, необходимо более подробно описать ситуацию. | |
| |
|
|
| |
|
|
| |
для: cheops
(08.09.2006 в 12:57)
| | | Как он мог украсть пароль, если пароль хранится в зашифрованном виде, т.е. админцентр защищён с помощью htpasswd.
Может кто знает дыры такого скрипта, это скрипт системы раскрутки IPNOW. Данный злоумышленник начислил себе на счёт несколько тысяч у.е. Не знаю даже, может накрутил как-то. Я решил на другой скрипт перенести систему, на таких скриптах работают очень много систем, как наших, так и зарубежных и вроде никто их не взламывает, по крайней мере я ни разу не видел и не читал об этом. | |
| |
|
|
| |
|
|
| |
для: Владислав777
(08.09.2006 в 12:17)
| | | Такое может быть, но скорее всего он просто украл пароль... а SQL-дамп базы данных у вас нигде не валяется? | |
| |
|
|
|
