[PHP]Kradzież skryptów. Co można z tym zrobić? Opcje

[Ghost_78]

Witam serdecznie.

Mam dzisiaj taką sprawę.
Przeglądałem sobie dzisiaj statystyki w google analitics i niestety mam takie wrażenie, że ktoś pobrał plik, którego nie powinien. Stronkę mam postawioną na Zendzie i jak wiadomo każde żądanie jest za pomocą .htacces przekierowywane na index.php.

Niestety z tego co widzę w analizach ktoś (z Węgier) dostał się do plików biblioteki :/. Tzn widnieje tam link do pliku z główną biblioteką zawierającą skrypt, nad którym sporo pracowałem ponieważ rozwiązuje on jeden z problemów NP-hard :/

Jestem przekonany na 99%, że udało się tej osobie pobrać owy plik.
Powiedzcie - co można w takim przypadku zrobić ?

Pozdrawiam szanowne grono.

[!*!]

Niewiele. Poza tym pliku ze skryptem php nie można pobrać z zewnątrz, chyba że serwer słabo zabezpieczony.

Ten post edytował !*! 26.08.2011, 09:45:24

[Ghost_78]

Hosting mam na Home.pl wiec nie sądzą żeby to była kwestia zabezpieczeń serwera. Staram się z nimi ustalić jak do tego doszło :/. Zobaczymy co z tego wyjdzie. Jak na mój nos wykorzystali do tego jquery bo tak mi to wygląda w logach home (aczkolwiek mogę się mylić). Z tego co widzę to ktoś dostał się do tego skryptu z north.recomp.hu (jakaś węgierska strona IT). Czy byli by tak głupi żeby kraść skrypty z firmowego IP ?

[Daiquiri]

Przenieśmy się do HydeParku.

[peter13135]

skąd wiesz, że to kradzież ? Czy to nie było tak, że ktoś odpalił w przeglądarce plik typu:
includes/cośTam.class.php

[erix]

Hosting mam na Home.pl wiec nie sądzą żeby to była kwestia zabezpieczeń serwera.

Wystarczy dziurawy skrypt.

Poza tym, co to za myślenie? Jak home, to już na pewno w 100% bezpieczny? Nie ma 100% zabezpieczeń.

[Ghost_78]

@erix
Wcale nie napisałem, że jest niemożliwym żeby to było winą zabezpieczeń home tylko, że nie sądzę.
Tak samo jak Ty uważam, że nie ma 100% zabezpieczeń jak i 100% uszczelnionych skryptów.
Całkiem możliwe, że gdzieś mam dziurę - tylko kwestia tego czy ktoś wykorzystując dziurę, pobierając skrypt robi to zgodnie z prawem

@peter13135
po 1. skąd znałby nazwę pliku "includes/cośTam.class.php"
po 2. w normalnych warunkach dostanie pustą stronę (zakładając, że w pliku jest tylko ciało klasy)


Serdeczne dzięki za zainteresowanie.
To dla mnie dość istotna sprawa - z resztą jak dla każdego piszącego skrypty

Log który mnie zaniepokoil wyglada tak:

north.recomp.hu - - [15/Aug/2011:11:00:23 +0200] "GET /katalogZeSkryptami/html/simulator/..sciezkaDoPlikuKlasy../klasa.lib.php HTTP/1.0" 404 2098 "" "Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0"

a po nim kolejny:

north.recomp.hu - - [15/Aug/2011:11:00:24 +0200] "GET /katalog/html/simulator/..sciezkaDoPlikuKlasy../scripts/jquery.js HTTP/1.0" 404 223 "http://moja.domena/html/simulator//..sciezkaDoPlikuKlasy../klasa.lib.php" "Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0"

Ten post edytował Ghost_78 26.08.2011, 11:21:25

[erix]

Całkiem możliwe, że gdzieś mam dziurę - tylko kwestia tego czy ktoś wykorzystując dziurę, pobierając skrypt robi to zgodnie z prawem

Nie robi. Ale wątpię, abyś mógł dochodzić swoich praw.

[Ghost_78]

Nie bardzo rozumiem.
Sprawa mogłaby wyglądać tak, że za pomocą dziury w google wykradam ich jakiś silnik. Zostanę bezkarny?
Zwłaszcza, że jeżeli dobrze czytam logi to mam źródło skąd pobrano skrypt north.recomp.hu .

[and_woj]

Zerknij na stronę phpencoder.eu. Może warto zainwestować w takie narzędzie?

Ten post edytował and_woj 26.08.2011, 13:42:03

[erix]

Sprawa mogłaby wyglądać tak, że za pomocą dziury w google wykradam ich jakiś silnik. Zostanę bezkarny?
Zwłaszcza, że jeżeli dobrze czytam logi to mam źródło skąd pobrano skrypt north.recomp.hu .

Ty nie pozostaniesz bezkarny. Bo dostaniesz pozew, za którym będzie stał kapitał, a wraz z nim armia prawników.

Chyba że Ty też masz czas, pieniądze i ludzi, aby się tym zajęli. Z naciskiem na czas.

[Ghost_78]

@and_woj
chyba trzeba będzie się zainteresować wreszcie takimi rozwiązaniami

@erix
Masz całkowitą rację. Ja nie pozostanę bezkarny. Nie mniej jednak jeżeli się faktycznie potwierdzi, że ten skrypt został pobrany to jest pewne, że tak tego nie zostawię.

Przynajmniej spróbuję coś z tym zrobić.

Jestem takiego zdania, że jeżeli nie będzie się wcale reagowało to takie incydenty staną się codziennością. A tego ani ja ani żaden koder by nie chciał, bo po co wtedy się męczyć z klepaniem kodu skoro można sobie ukraść.

[l0ud]

Chyba trochę panikujesz. Log który dałeś wskazuje że żaden plik nie został wysłany (błąd 404) bo ścieżka była nieprawidłowa. A nawet jakby była prawidłowa i plik się wykonał, rezultatem będzie biała strona albo jakiś dziwny błąd.
Zastanawiałbym się tylko skąd ktoś zna plik klasy. Może masz jakieś standardowe ścieżki i włączone listowanie zawartości folderów?

[1010]

Chyba że Ty też masz czas, pieniądze i ludzi, aby się tym zajęli. Z naciskiem na czas.

Moim zdaniem zdecydowanie z naciskiem na pieniądze.

[Ghost_78]

@l0ud
Właśnie o to chodzi. Skąd ktoś wziął strukturę katalogów.
Tak naprawdę to każde żądanie powinno się kończyć wywołaniem pliku index.php (ze względu na zenda). Skonfigurowane mam to w taki sposób w .htacces:

w katalogu strony:

[PHP] pobierz, plaintext 
RewriteCond %{HTTP_HOST} ^domena.net
RewriteRule (.*) <a href="http://www.domena.net/$1" target="_blank">http://www.domena.net/$1</a> [R=301,L]
RewriteRule ^(.*)$ <a href="http://domena.net/html/$1" target="_blank">http://domena.net/html/$1</a>
[PHP] pobierz, plaintext 

w katalogu html:

[PHP] pobierz, plaintext 
RewriteEngine on
RewriteRule !\.(js|ico|gif|jpg|png|css|xml)$ index.php
[PHP] pobierz, plaintext 

sadze ze wylistowanie w normalny sposób nie będzie możliwe

A co do panikowania to może trochę tak - ale myślę, że to w miarę normalna reakcja w takim przypadku.

1010
Myślę, że tak. Ale i tak będę starał się coś z tym zrobić jeżeli moje podejrzenia uda się udowodnić. Zwłaszcza, że numer ten odwaliła firma programistyczna :/. Może tak właśnie tworzą soft dla swoich klientów - kradnąc innym :/

[peter13135]

Ale skąd wiesz, że ktoś Ci wykradł ? wlazł Ci ktoś na FTP czy z przeglądarki wlazł na plik ? jeśli to drugie, to jak już Ci ktoś pissał i jak sam zauważyłeś dostałby białą stronę. Czy widzaisz, że ta firma wykorzystała gdzieś Twoją klasę
Moim zdaniem nic się nie stało, a Ty już chcesz się sądzić i oskarżasz jakąś firmę o kradzież.

ten folder z Twoją klasą ma nazwę includes/libs albo podobną standardową? Nie znam się na zendzie, ale jeśli jest tak jak mówię i w dodatku w tym folderze nie ma indexa, to zobaczene nazwy tego pliku nie jest żadnym wlamaniem

[Ghost_78]

Sorki Peter ale muszę to napisać.

Życzę Ci żebyś kiedyś miał podobną sytuację gdzie będziesz ślęczał kilka miesięcy nad biblioteką a potem trafi Ci się podobna sytuacja, gdzie ktoś będzie się do niej bezpośrednio odwoływał.
Ciekaw jestem wtedy Twojej reakcji. Czy będziesz potrafił z zimną krwią to olać.

Tak jak ktoś wcześniej napisał - może jestem trochę przewrażliwiony - ale szkoda mi trochę mojej pracy. Po to właśnie napisałem na tym forum aby ktoś potwierdził lub rozwiał moje obawy.

Edit:
Wpisując wszystkie te adresy które były w logach z hostingu - ja dostawałem stronę z brakiem dostępu lub nieprawidłowe odwołanie. I to mnie właśnie zaniepokoiło. Po tych zabiegach niestety nie byłem w stanie wyświetlić nazwy biblioteki. A jednak komuś się to udało.

Ten post edytował Ghost_78 29.08.2011, 10:04:32

[erix]

Sorki Peter ale muszę to napisać.

Życzę Ci żebyś kiedyś miał podobną sytuację gdzie będziesz ślęczał kilka miesięcy nad biblioteką a potem trafi Ci się podobna sytuacja, gdzie ktoś będzie się do niej bezpośrednio odwoływał.
Ciekaw jestem wtedy Twojej reakcji. Czy będziesz potrafił z zimną krwią to olać.

Jeśli Ci zależy na tym, aby kod źródłowy nie wyciekł, to go zakoduj, np. ionCubem.

Dlaczego masz pretensje? To są żelazne prawa internetu - nie ma 100% zabezpieczeń, a PHP jest językiem interpretowanym. Nawet wredny admin może być powodem wycieku. Chcesz zabezpieczyć? Zakoduj.

[peter13135]

Sorki Peter ale muszę to napisać.

Życzę Ci żebyś kiedyś miał podobną sytuację gdzie będziesz ślęczał kilka miesięcy nad biblioteką a potem trafi Ci się podobna sytuacja, gdzie ktoś będzie się do niej bezpośrednio odwoływał.
Ciekaw jestem wtedy Twojej reakcji. Czy będziesz potrafił z zimną krwią to olać.

Niezbyt jesteś miły, ja niczego złego Tobie nie życzyłem . Wszelkie moje posty w tym temacie były próbą diagnozy, czy ten skrypt został skradziony, czy nie.To jeszcze nie jest pewne. Moja intuicja podpowiada mi, że jednak nic nie zostało wykradzione.
Przykro mi, że za moje starania (nawet jeśli Tobie nic nie pomogły, a mi za dużo czasu nie zabrały) otrzymałem zapłatę w formie takiego życzenia

[Ghost_78]

Ehhhhh.....

Sorki, już mnie chyba trochę ponosi ... jedyne co mogę zrobić to przeprosić co czynię .

Oczywiście za wszelką pomoc i porady dziękuje.

Co do dalszych zabezpieczeń to oczywiście będę coś myślał. Tylko to jest tak jak zwykle - Polak mądry po szkodzie - więc ja niczym nie odbiegam od normy .

Teraz właśnie najbardziej zależy mi na ustaleniu czy jednak wyciekło czy nie.
Wiem, że w bezpośredni sposób odwołując się do strony - raczej nie było takiej możliwości. Przez FTP też niby nie było w tym dniu logowania (info z Home). Jedyne co mi przyszło do głowy to jeszcze jakieś odwołanie przez jQuery (może tworzę herezje).


P.S.
Jeszcze raz przepraszam - zwłaszcza Petera