обнаружен баг на сайте через sql запрос

обнаружен баг на сайте через sql запрос, необходимо понять, а есть ли баг?

Сообщений: 21 Регистрация: Дек 2012

11 Апреля 2019 22:10

Здравствуйте!
Сегодня ребята, которые недавно ставили на сайт каптчу, неожиданно заявили, что проверили наш сайт (без нашей просьбы) и обнаружили критично опасный баг разработчика, который способен даже удалить сайт
На мои вопросы, какой программой пользовались и мою просьбу прислать скрины результатов и тп ответили, что скринов нет, дословно : "все делали вручную, с помощью sql запросов и xss инъекций"

Сайту 7 лет, ранее такого никто не находил

Предложили незамедлительное лечение, конечно.
Необходимо понять, так ли это на самом деле? Учитывая, что несколько дней назад они же писали и спрашивали, нет ли новых работ по сайту... не нашли ли они ее сами smile:)

Бесплатная контекстная реклама

WGN

Сообщений: 8331 Регистрация: Июн 2015

11 Апреля 2019 23:02

Цитата
Ольга пишет: Учитывая, что несколько дней назад они же писали и спрашивали, нет ли новых работ по сайту... не нашли ли они ее сами

Вы сами ответили на свой вопрос - забейте развод на бабки скорее всего!

♛ЛУЧШИЙ ПРОВЕРЕННЫЙ И САМЫЙ ДЕШЕВЫЙ ХОСТИНГ: HTTPS+АНТИВИРУС БЕСПЛАТНО!

✔МОНЕТИЗИРУЙ СВОЙ САЙТ НА PUSH РАССЫЛКАХ-ДОХОД БОЛЬШЕ ЧЕМ в ADSENSE и РСЯ

Ольга

Сообщений: 21 Регистрация: Дек 2012

12 Апреля 2019 10:06

А вдруг все же...Страшновато
Как проверить?

Seilor

Сообщений: 671 Регистрация: Фев 2012

12 Апреля 2019 17:54

Попросите продемонстрировать что то безобидное. Скажем смену пароля на администратора.
Вполне может быть, учитывая что сайт писался 7 лет назад.

Слушай :) Тебе случаем не нужен Агрегатор новостей, есть так же и под DLE, а так же скрипт файлообменика.

Ольга

Сообщений: 21 Регистрация: Дек 2012

13 Апреля 2019 10:27

Цитата
Seilor пишет: Попросите продемонстрировать что то безобидное. Скажем смену пароля на администратора. Вполне может быть, учитывая что сайт писался 7 лет назад.

Спасибо!

Ольга

Сообщений: 21 Регистрация: Дек 2012

13 Апреля 2019 10:38

Цитата

Ольга пишет:

Цитата
Seilor пишет: Попросите продемонстрировать что то безобидное. Скажем смену пароля на администратора. Вполне может быть, учитывая что сайт писался 7 лет назад.

Спасибо!

Ответили на мою просьбу сменить парольДословно:
"Мы не занимаемся взломами сайтов. Мы закрываем ошибки, дыры и баги как в серверной части так и со стороны сайта. Максимум можем прислать крон-планировщик с дырами и багами"
Вообще застряла. Врут или нет....

Ольга

Сообщений: 21 Регистрация: Дек 2012

13 Апреля 2019 10:38

Seilor, Ответили на мою просьбу сменить парольДословно:
"Мы не занимаемся взломами сайтов. Мы закрываем ошибки, дыры и баги как в серверной части так и со стороны сайта. Максимум можем прислать крон-планировщик с дырами и багами"
Вообще застряла. Врут или нет....

c00x

Сообщений: 19 Регистрация: Сен 2018

14 Апреля 2019 06:34

Ольга, А что вам мешает самостоятельно воспользоваться одним из сканеров уязвимостей, коих предостаточно на просторах интернета?

Ольга

Сообщений: 21 Регистрация: Дек 2012

14 Апреля 2019 10:54

c00x, они говорят, что делали все вручную, что программы это не увидят. Прислали сейчас какие-то сканы, в которых я ничего не понимаю, и торопят с ответом.

Seilor

Сообщений: 671 Регистрация: Фев 2012

#10

14 Апреля 2019 12:36

Цитата

Ольга пишет:
Seilor, Ответили на мою просьбу сменить парольДословно:
"Мы не занимаемся взломами сайтов. Мы закрываем ошибки, дыры и баги как в серверной части так и со стороны сайта. Максимум можем прислать крон-планировщик с дырами и багами"
Вообще застряла. Врут или нет....

Пусть высылают хоть что то. Можете потом отправить мне в ЛС информацию, посмотрю что они предоставили и возможно хотя бы поймем где оно может быть.

Иван

Сообщений: 2134 Регистрация: Янв 2014

#11

14 Апреля 2019 14:06

Мой совет: не тратьте здесь свое время. Это нужно спрашивать у людей, которые в этом действительно разбираются. Специалисты в этой области, способные объективно оценить ситуацию сюда (на этом форуме) заглядывают сейчас редко.
Теоретически ваши "вымогатели" действительно могут говорить правду, особенно, если у вас сайт на недостаточно качественном самописе или малоизвестных cms и не только.
И то что они нашли уязвимость не обязательно означет, что они могут легко что-то продемонстрировать, включая изменение логина и пароля. Нужно уметь и попотеть, чтобы эту уязвимость использовать, включая пароль от админки.
Но надеюсь, что после выполнения работ вы изменили все пароли, включая БД. Так как с доступом к БД пароль изменить легко и быстро.

Изменено: Иван - 14 Апреля 2019 18:58

Ольга

Сообщений: 21 Регистрация: Дек 2012

#12

15 Апреля 2019 15:23

Иван, пароли изменила, с ними работать не хочу, даже если они правы. Очень сильное давление и манипуляция из серии или сейчас , или никогда. Не могли бы кого-нибудь порекомендовать?

Seilor

Сообщений: 671 Регистрация: Фев 2012

#13

15 Апреля 2019 15:58

Вам в целом думаю не стоит волноваться. Даже если они что то нашли, то как ранее и писали что воспользоваться они этим не могут по закону.
Проще говоря обычный человек не найдет данной уязвимости, только те кто будут копаться под ваш сайт и то не вариант что они найдут.
Сейчас как и советовал Иван сменить все учетные данные, а так же хотя бы 1 раз в неделю делать бекап всего сайта, если этого не делает автоматически ваша хостинг площадка.

Timphenix Developer Сообщений: 331 Регистрация: Сен 2012	#14 15 Апреля 2019 19:15 Ольга, Те скрины что вы скинули мне на почту сомнительные, скорее всего они просто хотят вытянуть с вас деньги. Но если вы все таки хотите проверить весь сайт и обезопасится, напишите мне. Так как сайт, как я понял самописный и вполне может иметь уязвимости. Предлагаю Услуги по веб-разработке/программированию HTML(HTML5), CSS(CSS3), JavaScript(jQuery, AJAX), PHP, MySQL ======================================== http://www.cy-pr.com/forum/f58/t37537/ http://www.cy-pr.com/forum/f50/t35619/

Похожие темы:

02.06.2019 09:52	Прямые заходы на 1 страницу на сайте
19.10.2018 15:01	Вирус на сайте
14.04.2017 20:59	Как закрыть свой сайт от чужого поддомена на чужом сайте.
18.03.2017 04:56	Появляется вредоносный скрипт на сайте =(
18.01.2017 18:23	На сайте поселился вирус

Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Новые темы	Объявления	Свободное общение
23:38 Продвижение в ТОП Яндекс. Мега быстро! 15:21 Adtrafico - Правильная партнёрская сеть под бурж трафик 13:45 Edu-Revenue.com – партнёрка в нише эссе. До 75% за новые заказы, 35% – ребилы! 11:39 Зарабатывай до 50% за сейл с партнерской программой EssayPro! 11:34 Лучшая рекламная сеть Traffic.ru! 09:05 Обновление поисковой базы Яндекса 18.06.2019. 08:12 Как обналичить деньги через Google Adsens?	21:02 Продажа аккаунтов Яндекс Директ без НДС 20:32 Предлагаю Бот для авто-генерации коротких ссылок на бесплатных сервисах 18:20 Статейное продвижение сайтов. Качественные доноры с высокими показателями ИКС и траста, не заспамленные. Хорошая индексируемость доноров. Качественные уникальные статьи (копирайт) 16:07 Услуга чертежника и 3D моделирования 14:33 Публикую ваши статьи и баннеры 11:59 Дизайн сайтов и логотипов 11:37 Целевой трафик +30% за 4 месяца с помощью SEO продвижения у Хачатура	05:34 Что лучше для сайта прогон или контекст ? 00:30 SEO продвижение сайтов в Яндекс, Google. Поднятие ИКС сайту, исправления ошибок, разработка стратегий 17:13 Кто поджёг РКН? 11:10 Lucky.Online - собственные офферы, КЦ 24/7, стабильно высокий апрув 11:02 Сколько можно заработать на сайте с 60к уник траффом в день 08:35 Наши машинки 22:14 В поисках ПП (Партнёрской Программы)