Всем привет! Изначально создал подобную тему в оффтопе, но там понабежала школота и начала пороть неадекват. Создаю в разделе "Уязвимости" для адекватного обсуждения. Предположим, перед вами стоит задача ликвидировать чужой сайт или форум. Какой метод реализации этой задачи вы бы разработали и осуществили? Просто удалить контент и базу данных - должного эффекта не возымеет, через некоторое время ресурс будет элементарно восстановлен из бэкапов. После некоторых размышлений мне в голову пришел следующий алгоритм действий: 1. Зашифровываем (например по алгоритму AES) часть БД жертвы (если мы говорим о форуме, то шифруем только записи таблицы постов и только поле "тело сообщения") 2. Модифицируем исходный код ресурса для шифрования/дешифрования всех запросов к записям поля "тело сообщения" (при извлечении информации происходит процесс дешифрования, при внесении/обновлении записей - шифрование). 3. Ключ к шифру располагаем на удаленном сервере. 4. Ждем год О_о (столь длительный промежуток времени необходим для того, чтоб все имеющиеся бэкапы уже были зашифрованы и у жертвы не осталось незашифрованных бэкапов БД) 5. Через год попросту удаляем файл-ключ. Результат: У жертвы остались либо только зашифрованные бэкапы и без ключа шифрования они представляют из себя информационный мусор, либо у жертвы всё же завалялся чистый (незашиврованный) бэкап годичной давности, но он уже неактуален. P.S.: При использовании подобного метода мы безусловно столкнемся с серьезной нагрузкой на CPU сервера жертвы, но это уже детали. Я привел лишь концепт. А какие оригинальные способы и методы решения подобной задачи, можете предложить вы?
нормальные админы бекапы хранят на другом сервере, или на флешке в своем кармане а вышенаписанное просто мазохизм, для чего все это нужно? и в чем смысл вреда? кайф получаете или что?
Крупный проект? 1)r00t=>PROFIT! 2)Зачем шифровать все посты измени алгоритм поролей юзеров палева меньше.Обычно бэкапы хранятся 14 дней. 3)Накидай на сайт доров,малвари,ДП,etc=PROFIT!
Можно так: скопировать базу на иной сервер и подключить его. А оригинал испортить. После года просто отключить сервер.
Не останется. Для дешифровки необходим ключ. На сайте жертвы хранится только путь к ключу, сам ключ находится на стороннем сервере. Когда наступает время "Ч" - удаляем ключ. В бэкапах осталась лишь ссылка на него, но самого тела ключа нет.
Можно посмотреть на этот проект? Мы сами оценим его нормальность. Возможно даже узнаем каким образом бэкапятся данные Жди, они уже идут
надеяться на то что одмин не заметит каши в бд во время того что на сервер возрастет ни с того ни с сего нагрузка и при том что мы говорим не о заброшенном блоге довольно глупо и можно поподробнее про второй пункт, мне просто интересно сколько ты будешь модифицировать какую нить джумлу например порой от админа безуспешно пытаешься спрятать шел, спрятать строчку в файле с shell_exec eval, а ты тут сурс переписать решил
Найти уязвимость ресурса и включить его в бот сеть, через некоторое время IP попадет во все черные списки и не один АВ не пустит пользователя на него.
Вероятность того, что админ заметит кашу только в одном поле одной таблицы - стремится к нулю. Если у вас есть собственный форум, то ответьте на вопрос: Делали вы хоть раз прямой вывод поля "тело сообщения", как часто вы вообще заглядываете в таблицу с постами? При поиске решения возросшей нагрузки, можно попробовать посмотреть в сторону аппаратного ускорения AES. Т.е. если процессор сервера поддерживает аппаратное ускорение AES, то можно уже думать в сторону программной реализации. Если без учета реализации ускорения шифрования/дешифрования через аппаратную составляющую, то на такую модификацию уйдет минут 15-20 и одна чашка кофе. Можно использовать AES_ENCRYPT() В принципе решение хорошее, но до первой попытки админа сменить пароль БД.
Все одобряю, вперед и с песней. Можешь через недельку отписаться здесь, как там у тебя успехи с модификацией.
А на собственный вариант решения задачи, как я посмотрю, у вас фантазии не хватает? Ваш вариант какой?
С фантазией и креативом у меня все окей. Мой вариант будет действительно фатален для ресурса. Я лучше посмотрю как вы свой реализуете
Блесните! Предложите вариант "действительно фатального" исхода для ресурса. Сомневаюсь, что у вас такой вариант есть.
О наркоша ты опять здесь, скажи а кто тебя из лосей надоумил такую схему уничтожения сайта придумать?
тебе в прошлой написал про вирусы на сайте, или просто на ссылку на домен, уже спаленную антивирусными компаниями, тоже помогает с поисковой выдачи свалить Дорвей на сайт, к примеру детское порно, очень популярно сейчас качать такое видео! Тупо запретить в роботсе заходить поисковикам на сайт !! (Способ работает на ура, проверено!) Ну и в конце концов, ни 1 поисковик не любит когда сайты спец. по каталогам сайтов загоняют, раскручивают нечестным путём. Достаточно по спаленным, грязным, каталогам разместить ссылки, чем больше тем лучше. И лучше всего одновременно. Кстати, лучше всего по нелепым по тематике ключевикам! выкидывать людей с поисковиков на другие ресурсы, прокладки типа "пиздуй на ... сайт больше не работает =)"
OxoTnik, все то, что вы описали - это детский сад. Это все обратимо и поправимо. Мы обсуждаем ликвидацию ресурса. Ресурс считается ликвидированным, когда он одномоментно теряет весь свой контент без возможности восстановления.
