Elite-Board - поставь себе backdoor

А если пойдете получать "Свидетельство о государственной регистрации программы для ЭВМ №XXXXX", тоже не вспомните?

И то верно. Ну заплатил свои деньги за скрипт, а там еще и бекдор. Делов то.

Офигеть, продавать продукт и при этом "забыть" убрать бекдор, ну-ну.

Lupus вы конечно правы- это все нехорошая история я ж и не выгораживаю никого, я просто предложил один из вариантов попадания бекдора внутрь движка моя мысль была в том что ситуации могут быть разные и 50 на 50 что автор преследовал злой умысел.

Был бы коммент автора было бы лучше.

Не катит. При получении свидетельства надо предоставить код. Значит закладка вставлена позже.

Приведу пример, стоит у меня магазин одной партнерки.

Меня сразу предупредили, в таком то файле бекдор, что бы в случае проблемы с шопом мы могли быстро все обновить или исправить. Я не спец в этом и не знаю как это все делается через бекдоры.

Просто меня перед установкой предупредили и сказали, что если я хочу, то могу этот файл удалить. На работу шопа он не влияет.

Здравствуйте,

прошу прощения за случившееся. Не у вас, господа личнующие, но у пользователей скрипта. Да, эта закладка имела место быть. В вялотекущем проекте она тянулась с ранних версий, и в итоге получился казус, когда самой серьёзной уязвимостью оказался этот говнокод.

Я вообще забыл про эту лямбду! Вернее подозревал, что она где-то оставалась, но не придавал значения, уповая на защиту Зенда. Теперь есть подозрение, что код уже был декомпиллирован и уязвимость эксплуатировалась ранее, но без огласки.

Друзья, мне не нужен бэкдор для доступа к пользовательским файлам! В рамках техподдержки пользователи мне предоставляют доступ самостоятельно, а на партнёрском хостинге, которым пользуется большинство клиентов, у меня есть рутовый доступ ко всем серверам. Мне правда это не нужно!

Исправление я собрал сразу же как узнал об уязвимости, но обновления в скрипте не устанавливаются автоматически. Иногда пользователи обновляются частично, чтобы не затереть изменения в шаблонах, многие не обновляется вообще И теперь стою перед дилеммой - я могу написать процедуру, которая будет устранять уязвимость, удалённо, используюя её же. И прогнать её по клиенской базе. Но одновременно получится крайне нехороший прецедент, кода я использую уязвимость в собственном скрипте. Впрочем, учитывая произошедшее, это наверно уже не важно.

Только там, где вебсервер имеет права записи на скрипты. Что само по себе неслабая уязвимость.

Вы хотите сказать, что "ключевая" кука там одинакова для всех? Следовательно, любой имеющий копию скрипта и прочитавший этот топик может ломать всех ваших клиентов?

Не знаю, насколько эффективно работают дезендеры, но думаю да.

Вполне эффективно. И найти их очень просто - в сети полно.

В таком случае вам все-таки следует делать рассылку по базе клиентов. Даже если сейчас удалить этот топик, проблема останется и всплывет скорее рано, чем поздно.

Замена одного файла шаблоны никому не поломает.