Показано с 1 по 2 из 2

Тема: Вопросы защиты денежных средств скрипта goldcoders

  1. #1

    Вопросы защиты денежных средств скрипта goldcoders

    Очень часто возникает вопрос по защите денежных средств скрипта goldcoders.
    Причина возникновения этих вопросов кроется в том, что очень часто взламывают админку или аккаунты на этом скрипте и воруют деньги со счета админа. Все эти действия происходят в течении 1 или 2 минут. Админ проекта даже и не догадывается что прямо сейчас с его счета снимаются деньги.

    Что надо знать и как себя защитить от взломов.
    1. Ваш счет платежной системы после запуска проекта сразу становится публичным. Потому что на форумах те кто пишет посты всегда прячут свой счет, но счет админа проекта всегда на виду. Решение защиты по этому пункту в принципе не очень сложное, достаточно просто поставить или кодовую карту для входа на свой счет перфекта либо смс подтверждение. В этом случае есть гарантия что злоумышленники не взломают Ваш счет перфектмани.
    2. Учитывая что публичным становится еще и сам Ваш проект, нужно готовится к взлому самым распространенным способом, а именно взлому проекта через аккаунт пользователя. В этом случае хакеры регистрируют новый аккаунт и сразу начинают тестировать его сначала прогоняют не большие суммы, в размере 0,01$ то есть до 1$, если такие суммы появляются на счетах, то это уже признак взлома проекта, потому что как только у них это получится, то сразу они будут заводить виртуально большие суммы примерно 5 000$ или 10 000$. Вопрос защиты по этому типу взлома самый сложный, потому что во первых админ не знает когда это будет происходить(знал бы где упадешь постелил бы соломку), во вторых учитывая как стремительно они могут работать 1 или 2 минуты, то самая лучшая защита это не держать на счету проекта больших сумм и конечно очень бдительно следить за счетами на проекте, благо что админка позволяет в принципе мониторить.
    При обнаружении у пользователя больших сумм следует сразу и немедленно удалить не только этого пользователя а еще и его реферрера, потому что всегда они выводят реферальные. Лучшим помощников в данном случае является бдительность.
    3. Взлом проекта осуществляется через доступ по ftp. Это тоже очень опасный для проекта вид взлома, который называет shell (оболочка), в этом случае хакеры каким то образом получают доступ по ftp и начинают взлом проекта специальной программой которая работает аналогично песочнице антивирусов. То есть сам сайт работает без никаких изменений а на самом деле работает через эту программу которая все записывает и создает в текст файле аналог sql базы данных. А далее техника взлома очень проста они ждут когда на счету появятся приличные суммы и осуществляют взлом проекта. Именно по этому этот вид взлома еще называют фишинг(fishing - рыбалка).
    На самом деле решение этой проблемы простое в админке си панели можно отключать доступ по ftp и включать когда нужно.
    4. В этот пункт я включаю все типы взломов так называемые на дурняка. Это когда пытаются снять деньги мошеническим путем обмана админа. Например когда на почту приходят письма следующего содержания " я положил(ла) деньги но в аккаунте они не отображаются пожалуйста заведите их на мой счет" есть и другие подобные способы и методы. Решение и так понятно все эти мошенники легко обнаруживаются, проверкой платежного счета и если там нет подобных транзакций то можно даже удалить эти аккаунты.


    В данной статье я привел обзор видов взлома проектов на goldcoders, на самом деле их может быть больше, почему сами разрабочики гк почти ничего не делают для решения этих вопросов не понятно. Известно что им многие писали о способах взлома их проектов он отвечают что т о типа того что надо использовать версию php не ниже 5,3 на сервере, но опыт показал что для взломщиков это не помеха.

    В итоге можно сказать что самая лучшая защита это Ваша бдительность во первых и спасать деньги путем увода с проекта на запасной счет который никому не известен.

  2. #2

    Только так и надо...

    Всем привет...
    Есть еще один распространенный способ взлома, который тоже похож на фишинг.
    Это например изменение файла deposit.confirm.perfectmoney.tpl в котором подменяются кошельки и при депозите деньги попадают прямо на кошелек мошенников и при выводе то выводятся с кошелька админа

Метки этой темы

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Индекс цитирования