ОФИГЕННАЯ СКЛАДЧИНА - Shаблon - 2

Так ,ч то то я не понял, так мы будем скидываться по минималочке за "Видео" или нет?

 

Добавлено спустя 3 часа 11 минут 10 секунд:

 

Прямо Мосад какой-то http://bmshop5.ru/ привязан к хостеру продавца и отдельно не продается. Только хотел этот шаблон ставить, а тут такое(( Ждем продолжение истории...

 

У Моссада ребята очень башковитые, да и зарплата нехилая. Но у меня шла речь о частной службе - хедхантинг, в основном ломать тех, кто нахимичил с деньгами, офшорами. Коллекторство и привлечение. И весьма успешное, кстати.
Хотите продолжения? : ) Ну давайте тогда скажу Вам пару слов о безопасности сайта/магазина? Ломать можно разными способами, как на локальной машине, так и на сервере. И знать это важно для превентивной защиты.
Локально:
Если известен адрес администратора сайта, или нужно взломать Вебмани, то кроме посылания подобных писем с социальной инжинирией, можно к примеру взломать пользуясь дырами системы или программ. Например, если Виндовс не обновлялся можно эксплойтами получить доступ к машине и взять что надо(файлы, откуда выковыриваются пароли)
Вывод: обновлять систему или использовать устойчивые ОС, типа Линукса и МакОС из наиболее известных. Не пользоваться ИнетЭксплорером, т.к. там слишком много уязвимостей, благодаря тому, что програмисты хотели добавить удобностей. Не использовать учетку с правами администратора - в большинстве случаев она и не нужна, но больше прав - больше возможности ими воспользоваться.
Использовать хороший фаерволл и антивирус. Не пользоваться непроверенными программами из неизвестных источников. К примеру возьмем прогу нашего soundie. ; ) Она использует движок трайдента, то есть грубо говоря - интернет-эксплорера. Если бы наш саунди стал злым сантой, он бы вполне мог встроить туда разные "интересные" функции, которые бы использовали дыры в ИЕ, и крали всё что нужно(из файлов или даже следя за буфером обмена и клавиатурой), присылая ему на почту отчет о проделанной работе. Программа саунди всё-таки нормальная, я и сам ее использую, проверив, но подобные программы отнепонятно кого со свежего сайта на народру или тем более юкозе - лучше обходить стороной. Чаще всего взломы сайтов(магазинов в т.ч. как в нашем случае!) происходят при помощи кражи паролей к фтп. Потому ни в коем случае не сохранять пароль в том же ТоталКоммандере в записях фтп. Только ручками каждый раз вводить. И конечно если пришло письмо "всё пропало, сайт сейчас закроем, мы все умрем, нажмите здесь чтобы исправить", то нужн обыть бдительным куда и чего вводите. Даже если адрес выглядит как адрес хостера, и письмо выглядит как все его письма, и даже саёт выглядит так же - не вводите свои имя и пароль сразу. Тут впору вспомнить неприятную практику браузеров укорачивать ссылки,ч тоыб выглядели красивее. Эту функцию лучше сразу отключить. Особенно это касается уродского "яндекс.браузера", усиленно пиарящегося в последнее время. Ссылку надо видеть полностью всегда. Из моей картинки в посте выше видно наглядно почему.
Это в двух словах о локальной машине.

Сервер:
Взлом сайта(магазина в нашем случае) также можно произвести даже не зная кто его хозяин и его адреса для работы с хостингом/сайтом. Ведь на сайте может быть указан адрес менеджера, который к администрированию сайта отношения не имеет.
В моем случае когда я зарегился на ТаймВебе, а у меня большинство сайтов по ряду причин на Джино, мне пришло письмо на административный адрес, с которым я обслуживаю сайты на Джино. Пришло от имени Джино, а реальная ссылка вела на домен на ТаймВебе. Я считаю что это не совпадение. Но вернемся к взлому.
Итак, взломать доступ к хостингу/сайту можно напрямую или опосредованно.
- Опосредованно: например, если сайт хостится на шаред хостинге, что наиболее дешевый вариант, то на одной площадке, ан одном айпи может находится сотня разных клиентов и сайтов. Ищем корявый сайт, который легко взломать(если не заниматься регистрацией у хостера и надеяться на удачу что попадешь на тот же сервер), и получив доступ к серверу можно использовать уязвимости сервера для доспута к любой другой учетке на том же сервере. Некоторые серверы еще имеют такие уязвимости, и для этого можно использовать скрипты, которые их используют.
Вывод: лучше пользоваться выделенным сервером и/или хорошим хостером, у которого админы с прямыми руками и голова на месте. В погоне за дешевым хостингом можно налететь на недонастроенные ненадежные серверы. Как злоумышленник может это монетизировать я по понятным причинам умолчу.
- Напрямую: через Базу Данных, или файловую систему.
БД: например узнав какая у вас CMS или плагины к ней, и использовав уязвимости можно внедрить кусок данных в БД. К примеру, если у вас стоит Вордпресс и плагин допустим книги отзывов или еще какая беда, которая давно не обновлялась и проверив у себя на компе злоумышленник узнал как внедрить кусок данных в БД, он может так сформировать запрос, что добавит в БД себя как администратора Вордпресса. А дальше уже дело техники - ставим плагин файлового менеджера, или даже в форме редактирования шаблона открываем конфиг-файл, и там читаем все пароли.
Вывод: если ставите CMS - обязательно выберите необычный префикс БД. Ни вкоем случае нельзя ставить WordPress в БД на префикс wp_ и Joomlу - на jom_ и т.п. Ну , сейчас они уже споххватились, и саим предлагают абракадабру в префикс, но если ставите из панели хостера(например через Fantastico, или что там у вашего хостера для автоматической установки ЦМС), то можно нарваться.
Также лучше анонимизировать ЦМС - чтобы злоумышленику сложней было сразу узнать какую ЦМС используете. Ну, часто для ВП и Джумлы это поучится невозможно, из за исходного кода страницы, где пути спалят тему. Но всё таки методы действенные есть, и можно анонимизироваться вполне успешно.
Не забывать обновлять ЦМС, потому что выявленные дыры публикуются в сети, и совсем не проблема пройтись по гуглу в поиске сайтов с устаревшей ЦМС, где известная дыра не закрыта только потому что не была обновлена ЦМС.
Файлы - ну, как в случае с тем письмом что мне пришло- этобыло использована уязвимость одного из сайтов. Там либо изначально в движке была такой скрипт, либо злоумышленник(сомневаюсь что хозяева того сайта - онибы не подставлялись так, чтобы их сайт не закрыли и забанили навеки) подгрузил его, и уже там запустил скрипт, и рассылал письма. Очень просто можно найти такие дырявые сайты(тем более если там открыт пхп мейлер!), загрузить туда сво скрипт, и слать письма тысячными пачками. Для защиты от этого нужно чтобы ЦМС была нормальной и написанной с прямыми рукаи - например активно использовала htaccess. Также должна содавать директории с правильными правами доступа, а там где права слишком высокие - были разумные ограничения от влияния извне.
О, кстати, глянув на пост выше могу еще добавить вот что - есть одна нехорошая возможность взлома при помощи смайлика! : ) На днях так взламывали один форум... другой складчины.
И, конечно же, складчина дает просто неограниченные возможности поживиться. : ((( На самом деле очень легко за недельку собрать со множества складчиков кучу бабла! Учить как этоделать я не буду, но поверьте, это клондайк просто, и я очень опасаюсь чтобы в один нехороший день такого не произошло, если кто-то вдруг простется не с той ноги, или Мрочковскй решит что кроме юристов ему еще надо нанять какого-то...(я не в счет - у меня принципы) : (

 

Лукое, спасибо за развернутый ответ. По поводу данного магазина. Есть подозрения, что с его помощью ломают хостинг, на котором он установлен? Или еще не разобрался?
Или вообще лучше использовать типа insales? Какое ваше мнение, как профессионала.

 

Честно говоря, я сторонник открытого ПО, потому лично я более склонен к ОпенКарту, ВиртуМарту и т.п. Хотя для безопасности магазина неплохо было бы использовать платные магазины, а если они еще и защищены Ионкубом или ДзенГардом т.п. то это еще лучше. Но если магазин продается не скриптом, а услугой, то у злоумышненника не будет доступа к коду, и он его не сможет анализировать на уязвимости - это хорошо. Потому выбор тут очень широк - если есть знания и умения - можно покупать или ставить бесплатный скрип и заниматься безопасностью самому. Еси нет - то наиболее безопасно было бы купить магазин как услугу.
По поводу данногомагазина честно говоря я не смотрел. Я пока еще придумываю чего бы мне продавать. Так как я мечтаю иметь художественную галерейку, то я решил начать это с интернет магазин а художественных материалов и для рукоделия, чтобы можно было наладить связь с потенциальными сотрудниками и участниками галереи. А еще у меня есть небольшой салон красоты, потому решил сделать интернет магазинчик косметики и инструментов, но так как я не тогговец, то пока думаю ка креализовать, вот нагреб немного курсов, так что закончу свои складчину по СЕО и Адсенсу, буду иметь знания как магазин продвигать - и тогда возьмусь за собственно создание : ))
Этот магазин меня заинтересовал тем, что было заявлено что в нем учтены конверсионные хитрости от БМ. Но т.к. я сам в БМ ни разу не участвовал, но слышал хорошие отзывы, то и решил просто пока покрутить сам магазинчик.
Грубо говоря, его можно перенести и на Вордпресс како-то, и на Опенкарт, только надо бы иметь спискок тех высококонверсионных задумок, которые должны быть. Я просто думаю что я не всё вижу первым взглядом. А, ну и магазин еще должен не отнимать много времени по администрированию - к примеру, чтобы отредактировать товар надо лезть в админку, искать товар - тогда как намногологичней было бы просто иметь кнопочку "редактировать"(для залогиненного пользователя естественно) прямо в карточке товара, при нажатии куда либо аяксом открывать форму редактирования, либо идти в админку в товар. Ну и т.п.

 

а резерв то есть?
воот нашел список он еще актуален?

Show Spoiler Hide Spoiler

r01. alarm
r02. sergyst
r03. Leonid
r04. futik
r05. akelstan
r06. drden
r07. Metaphysics
r08. krek37
r09. giomak
r10. kreck
r11. wapip
r12. Freya_777
r13. savilook
r14. trex
r15. Sleight
r16. vans
r17. fan2dim
r18. Guru

 

Ребят, а как поменять в корзине при вводе номера +7 во время оформлении заказа. Поиском нашел три места где есть +7, поменял на +38, но в заказе все равно выскакивает +7

 

Добавлено спустя 1 минуту 43 секунды:

 

Оплатил сабж, ссылку не получил. Исправьте, пожалуйста.

 

Чето я не понял. Какой ты номер в списке, когда оплачивал?

 

В списке №76. Оплачивал 26.12.2012 в 13:11:47.

 

Можно ещё как-то поучаствовать? Хорошая сборка, хотелось бы приобрести :

 

присоединюсь к складчине если еще актуально