Взлом обменников

pixelranger · 8 Янв 2009

Каким частым способом ломают обменники и как уводят деньги? Это общий вопрос, а теперь конкретнее.
Еслли в обменнике, все курсы и пароли хранятся в файле, а этот файл находится на сервере в папке с правами 100, могут ли как-то к нему получить доступ?

RxB · 9 Янв 2009

1. Обменники ломают теми же способоми что и другие сайты, те же sql-инъекции, инклудинг и спирание сохранённых паролей в ftp-клиентах. Это обсуждалось не раз уже здесь
2. Если права на файл 100, то это значит что исполнять файл может только владелец, просто так уже не отредактируешь, без смены прав доступа

pixelranger · 9 Янв 2009

RxB написал(а):
1. Обменники ломают теми же способоми что и другие сайты, те же sql-инъекции, инклудинг и спирание сохранённых паролей в ftp-клиентах. Это обсуждалось не раз уже здесь
2. Если права на файл 100, то это значит что исполнять файл может только владелец, просто так уже не отредактируешь, без смены прав доступа

1. Да это ясно, я задал вопрос со словом "частым"?
2. Т.е. залитым шелом нельзя просмотреть файл?

1d37r · 9 Янв 2009

Стоить повысить права в системе до рута и файлик твой

pixelranger · 9 Янв 2009

а хостинг виртуальный, от РБК. Причем на этом аккуанте только обменник, других сайтов нет, которые могли бы быть взломанны.

Lonely Wolf · 9 Янв 2009

1d37r написал(а):
Стоить повысить права в системе до рута и файлик твой

И это пишет человек, который в соседней теме предлагает услуги аудита.... взлом скрипта через какую-то уязвимость и поднятия прав до рута в системе ой как далеки друг от друга, я бы даже выразился это маленький процент вероятности, без приватных багов в ядре системы или популярном ПО, на хостингах это 1 к 1000 а то и к 10000.

1d37r · 11 Янв 2009

Lonely Wolf написал(а):
И это пишет человек, который в соседней теме предлагает услуги аудита.... взлом скрипта через какую-то уязвимость и поднятия прав до рута в системе ой как далеки друг от друга, я бы даже выразился это маленький процент вероятности, без приватных багов в ядре системы или популярном ПО, на хостингах это 1 к 1000 а то и к 10000.

а кто говорит что это занятие для простых пользователей? человек спросил как возможно прочитать файл на который стоят права users, собственно я и ответил

B1rdEX · 11 Янв 2009

Рута ты точно не возьмешь, уверен. РБК - не дети, да и багов в паблике сейчас уже нет..

Тебе надо достать доступ на этот акк.. так пробуй другие пути - соц инженерия, к примеру. Или поищи бэкапы, на них-то точно права не нужны.

jdspb · 5 Июн 2009

B1rdEX написал(а):
Рута ты точно не возьмешь, уверен. РБК - не дети, да и багов в паблике сейчас уже нет..
Тебе надо достать доступ на этот акк.. так пробуй другие пути - соц инженерия, к примеру. Или поищи бэкапы, на них-то точно права не нужны.

Ну да, системные бэкапы хранятся с правами пользователей...

B1rdEX · 5 Июн 2009

jdspb написал(а):
Ну да, системные бэкапы хранятся с правами пользователей...

А такого не бывает? Знакомая контора арендует сервер, у них бэкапы лежат, ты не поверишь, с правами на чтение nobody. Ты будешь в шоке - они лежат в директории public_html. Ну и что? Ведь со стороны не видно, что у тебя дырка на трусах, так ведь?
Бывает всякое (к дырке на трусах тоже относится

).

Взлом обменников

pixelranger

Постоялец

RxB

Гуру форума

pixelranger

Постоялец

1d37r

Читатель

pixelranger

Постоялец

Lonely Wolf

Прохожие

1d37r

Читатель

B1rdEX

Постоялец

jdspb

Постоялец

B1rdEX

Постоялец