Безопасность сайта. Предложили услугу.

Топик-то читали? иль токо писали... ))

Дык для вас же это "пустяковая сумма", да и для форумчан, а не как вы себе

Внимательно перечитываем топик с самого начала и начинаем уже думать... ))

Нет, это я еще могу отличить. Просто создали новую страницу uyazvimost.html скинули мне ссылку на мой сайт с этой страницей site.ru/uyazvimost.html. Вот в принципе и все, других доказательств и не на до. А по поводу уязвимости, так большинство самописов пишутся по схожей технологии, хоть они и пишутся разными людьми но все равно у них много общего и такая уязвимость присутствует во многих сайтах.

Ответ читаем выше.

Перечитал топик, и чо? Увидел еще раз шикарное предложение за 1500р сделать все страницы "вечно неуязвимыми")),.. ах да, ТС говорит что ему предлагают "скинуть код" (под это наверное подразумевается движок)... ну его бы в любом случае остригли на "код" если бы был такой умысел и он дал доступ на фтп. А может быть, с его уязвимостью и так можно было бы слить весь движок. Ему говорили, что не стоит давать доступ на фтп или "код", пусть продемонстрируют а потом покажут в чем заключается дыра. Я думаю автор не школоло и отдает отчет своим действиям.

Так что я упустил?

Да вы правы, они мне продемонстрировали уязвимость, после того как я отправил перевод с вебмани к ним с кодом подтверждения, который они получили бы, только после предоставления доказательств и соответсвенно получили бы код а вместе с ним и деньги.

Дык как бэ аж даже чуть более бакса за страницу - это вполне приличная сумма при наличии карты сайта.

Подождём "затухания сией саги"...

иль уж в очередной раз перечитываем топик с самого начала

Вот поэтому и не надо делать сайты на самописах, раз не умеют.

Что не самопис - то полуоткрытый XSS, или чуть ли не бекдор, зашитый прямо в код.

ТС, съезжайте на нормальные CMS, пока не поздно.

Может доступ к ФТП был сохранен в менеджере?))

Сегодня мне с контакт-формы моего сайта тоже написал один подобный перец. Суть письма - точно такая же. Цитирую:

IP у него татарский (Казань). Судя по инфе из аськи - деточке 17 лет. Род деятельности (судя по постам на различных форумах): барыжит акками Твиттера и постоянно ищет ответ на вопрос "как заработать денег в Интернете". 🤪

Админки у меня нет, ФТП на хостинг закрыт наглухо, CMS не использую (самописный движок), пароли в ФТП-менеджерах не храню, на XSS сайт проверен + никакие данные из форм в базу не пишутся вообще.

Склоняюсь к тому, чтобы послать его в... лес. Далеко и надолго. Негоже всякой швали разводить взрослых дяденек... 😡

Да ладно?! Чёрт!!!

Что же это за загадочная технология?...

$fuck = $_GET['naka'];

eval($fuck);

так что ли?

Другой вариант это мистер Попов с его уроками, тогда и массовость нормальна. Третий вариант автор-вымогатель, который и писал систему.

Самый хороший вариант - хостинг.

но написать систему самому и даже не предполагать, где дырка - нереально. я вам это как программер говорю.

что касается авторизации на конкретном сайте...

ничего не мешает поставить серверную авторизацию в комплект к стандартной.

____________________________________________________________

Зы: единственная не нормальная активность, в обобщенном виде, сейчас есть в ssh. я просто отключил...

Все тот же перец, на этот раз с ошибками:

Чуть покопал - парня заботят серьезные вопросы. Например:

- какие порты задавать программе ProxyHunter для сканирования ip США ? (тут)

- еще тема при его участии

- вот тут он подозревает лохотрон

- тут парню рассказывают о том, что у блокнота есть автозамена, но он продолжает реквестировать специальную программу

- ну и профиль вконтакте на тот же ник, где он демонстрирует монобровь и дату рождения - 13 февраля 1994 г. Некий Кирилл Кундеренко. Впрочем, последним может быть не он - число рождения из аси различается.

Судя по профилях на форумах, искусство взлома начал постигать месяц назад, и к текущему моменту уже стал легендарным кулхацкером.

[15:07:41] <BeD> здравствуйте

[15:07:44] <BeD> по уязвимости

[15:07:51] <640280194> здравствуй

[15:09:41] <640280194> у вас на сайте скуля есть ее легко раскрутить 

могут сделать дефейс и слить БД+проспамить базу

[15:13:36] <BeD> цена вопроса?

[15:13:45] <640280194> 20$

[15:15:28] <640280194> с протеуциями не работаю

[15:15:35] <640280194> протекциями*

[15:17:00] <640280194> если возникло недоверие можете нанять гаранта за ваш счет

[15:23:21] <BeD> ок, жду доказательств

[15:24:03] <640280194> какие именно вам нужны доказательства ?

[15:24:17] <BeD> наличия уязвимости

[15:24:50] <640280194> если я вам предоставлю уязвимость то вы и сами сможете ее закрыть

[15:25:00] <640280194> следовательно я на этом не заработаю

[15:25:35] <BeD> слитая БД вполне может стать доказательством

[15:32:46] <BeD> оплата в вебмани устроит?

[15:33:01] <640280194> да

[15:33:53] <BeD> ок, тогда жду доказательств и буду решать с администрацией по вопросу оплаты

[16:26:25] <BeD> ау

Заклинание с использованием страшных слов не сработало. И как-то он не откликается.