Внимание, "Крыса"! Прошу администрацию принять меры!
 

Здравствуйте!
Сегодня заметил, что кто-то завел кучу проектов в моем аккаунте, накупил кучу ссылок на свои сайты... короче я попал почти на 1300 рублей.
Во-первых прошу наказать хозяев данных сайтов (если это возможно), и взыскать с них в мою пользу вышеуказанную сумму! Данные площадки я удалил (осталась только моя).
И еще хочу предложить усовершенствование Вашей системы: дайте возможность человеку указывать IP с которого он сможет зайти в свой аккаунт и производить какие-либо операции, думаю, что многие скажут вам за это огромное спасибо!
Мой проект ID 204103

Эта сволочь удалила все мои площадки со всеми проданными ссылками, плюс удалила все купленные мной ссылки!
В течение 4-х часов не мог поменять пароль на аккаунт, пишет, что запрос принят, но ничего не приходит.
Помогите!!! Восстановите, плз., все, что этот козел удалил

Все это изложил 6 часов назад в Обратной связи... пока никакого ответа

BigKurt, логин ваш в системе напишите.

bigkurt76

и список проектов, которые НЕ нужно восстанавливать

Нужно восстановить только проект DDBS (Оптимизатор)
И нужно восстановить все удаленные площадки (Вебмастер)

Ждите.

Спасибо!
Жду...

хренасе несчастье! мужайтесь-крепитесь сударь!

вам решат сейчас последствия проблемы, но не источник.
Не боитесь что такое будет повторятся?

Опасаюсь... из-за этого и выдвинул предложение

просто можно запретить удаление площадок из сапе и все...
площадки удалялись бы автоматически при снятии кода в течение, например, недели.

Добавлено через 1 минуту
а на создание новых проектов и добавление площадок ставился бы дополнительный пароль...

тада хрен бы кто че мог сделать даже при взломе, ну и конечно же статистика входов с IP.

Тоже вариант!

Этому предложению уже много-много лет........

частично оптимизаторские вещи восстановили

сайты восстановить не удалось, увы. Нашли у себя ошибку, которая не позволила их восстановить.

добавляйте заново.

по поводу введения айпи - я уже 10 раз отписывал, что найдется дофига "идиотов", которые запишут айпи, а потом будут писать в техподдержку "у меня сменился айпи что мне делать"

пароль на удаление - думаю интересная мысль - в ближ будущем сделаем

А что если сделать так, что бы эту фичу мог задействовать тот кому это надо?
(что-то типа активации, доп. услуги, по ип)
те, кому это не нужно продолжают пользоваться сапой как и раньше.

Для включения функции блокировки по айпи выводить текст на весь экран:

"Я понимаю что делаю и осознаю, что если сам себя заблокирую буду очень долго ждать ответа от поддержки по этому вопросу и обещаю не выть на весь форум" =)

бесполезно.

Идиотизм должен оплачиваться, сброс IP = 1000 рублей.
А если серьезно, IP нужно брать не из системы, а периодически из "мастер сайта", т.е. если на любой площадке вебмастера в файле sape.php есть var типа $stat_ip = 'xx.xx.xx.xx/24'; - то сапе и должно понимать что этот IP нужно взять и использовать. Если меняется IP достаточно в файле sape.php на "мастер сайте" сменить IP, или написать $stat_ip = false;
- Мастерсайт, условно 1 сайт который по мнению вебмастера основной.

Другой вариант смены IP, наиболее правильный + обеспечивает защиту оптимизатора:

Форма: Login / Password / CurrentIP / NewIP / Ok - система выдает сообщение, поместите в корень сайта (произвольный сайт вебмастера или оптимизатора) файл ip-false-md4(login).txt и нажмите Ок.

Клик на Ok приводит к перезаписи IP, если файл найден, или к сбросу, если "NewIP" не заполнено. Разумеется "CurrentIP" ни где в системе не должно светиться, т.е. если подобрать логин и пароль не вопрос, то IP уже не возможно, т.к. переменная живет на уровне $_SERVER[VAR] атрибута.

Очевидно что данный механизм реализуется маленьким кусочком кода, и совершенно исключает обращение к суппорту. Хотя, безусловно феномены найдутся, тут рублем нужно лечить.

Подобный способом у меня закрыты все сервера на уровне ipfw, sh раз в пять минут по крону ищет определенный файл на сервере, который можно закинуть через upload форму, др. способов нет. Нужно на время командировок, где IP разумеется не постоянный. Таким образом вскрыть сервеак по левым портам с не моего IP можно только если известно имя и содержание контрольного файла, а также точка залива.

Это бесполезно.

Потому что все равно будут крики:

Меня не пускает, а мне срочно нужно заказать вывод 44 рубля, а то хостинг нечем оплатить, а он завтра заканчивается. Кстати, чтобы не создавать новую тему - и выведите мне срочно мои 44 рубля

Лезит на сайт по FTP и делает то, что я предложил, и спокойно выводит свои 44 рубля..

сложно - мастерфигастер .... не пойдет

А второй вариант?

Тут вот надо хорошенько продумать ход действий
Если хакер взломал аккаунт, то наверняка он взломал и почту. Тоесть он может восстановить пароль на удаление площадки.

это к почтовым сервисам - пусть почту усложняют...

только ведь не усложнят - потому что неудобно это.

Ну сделайте как на WebMoney, не изобретайте велосипед,
код разблокировки IP приходит SMS.

Всегда найдётся тот, у кого дом с компом сгорел, порш угнали, а в нём мобилка и бук, помогите... и т.д и т.п..

Дом с компом сгорел, порш с мобильником угнали, а чел все равно создает тему на сапе:

Помогите, мне надо 44 рубля вывести чтобы хостинг проплатить! :D


Avelon, а можно сделать доступ по IP и прочие услуги за какую-нибудь символическую плату, тогда и "идиотов" не будет и те кто купил - тот уже будет следить за этим.

нет, такого не будет.

думайте дальше

Да просто не надо допускать угона паролей троянами и прочей шнягой.

придумал!

просто сделать запрет на удаление площадок.
на добавление проектов сделать пароль.

на смену пароля и на восстановление требовалось бы отправить СМС на номер где ответом пришел бы новый пароль или восстановленный старый...

ну чтоб там обязательно надо было ввести минимум 2 номера мобильников, чтоб при утере симкарты - второй номер остался...

Добавлено через 1 минуту
вобщем пароль восстановить или сменить можно было бы только отослав СМС с моего мобильника или со списка номеров мобильных

такой вариант,
доступ к сапе только с определенных ип (или подсетей)...
если ип изменился без его добавления в список разрешенных ип, блокируется доступ к сапе на неделю,
и так до бесконечности.
восстановления доступа с левого ип,
которого не в списке сделать скажем 1мес.
а там все просто, если за месяц, была хоть раз правильная авторизация с белым ип, значит тот кто запрашивал восстановление, является хакером.

а может, удаление площадок сделать с отсрочкой по времени (как первый вывод и смена кошелька) - скажем, двое-трое суток?
как собственно и добавление проекта. чтобы оптимизатор успевал отследить столь ВАЖНЫЕ события на своем аккаунте?

Вот вы виласипетт изобретаете...
Просто проекты/площадки надо удалять в корзину - скрыть в интерфейсе на неделю (две-три), не понадобилось восстановление - затереть в базе.
И уж если совсем мечтать, то лучше было бы все действия с аккаунтом вносить в хистори с возможностью восстановления контрольной точки. Ну это вряд ли, хотя намного проще чем извращения с псевдо "безопасностью".

А чем вебманена система не устраивает?

Поставил галочку чтоб включить функцию.

Логинишься, если Браузер не тот, какая нить кука не найдена специальная, Винда не такая (что там еще мона собрать с юзера), то попадаешь не в аккаунт, а на страницу, где просят ввести код, высланный на мыло.

Ну и тоже самое с ИП, также галочка, если не совпало, на мыло выслался код.

1. изза спамеров, которые гигатоннами рассылают рефссылки, нас постоянно абузят и поэтому наши письма плохо рассылаются

2. почта, если смотреть выше - тоже ненадежна - ломается трояном вместе с аакаунтом в сапе

vopros, весь вопрос в том, что делать, если злоумышленник все равно попадет в аккаунт и удалит площадки? Вот как в этом случае - доступ восстановили, а площадки то тю-тю.

Avelon, так писал же уже, не увидел сложности про которую вы говорил:

Допустим IP прописан, тут все думаю понято как аторизуху сделать.

И вот IP сменился:

Форма восстановления доступа (отключение IP адреса):

[Login]
[Password]
[IP прописанный системе]
[Next]

Если данные совпали:

Сообщение:
"Разместите в корне на сайте <выборочный сайт вебмастера/оптимизатора> файл ip-false-md5(login).txt"
[Next]

Юзер размещает файл, жмет [Next], система проверяет на сайте файл, если есть - очищает инфу про IP и выдает сообщение "Доступ к аккаунту <Login> открыт для любого IP адреса. Защита отключена!"

Безусловно, соглашусь, могут вскрыть ваш логин и пасс к фтп, логин пасс к сапе и даже узнать IP, но все это в тройне усложнят процедуру взлома. Сейчас банальный брут может ее распечатать, тем более что логины долго вычислять не нужно, половина легко обнаруживается тут

Я не знаю как реализовано на бегуне эта фишка, поэтому не наставиваю на реализации но суть такова: Я хочу заказать 20 тысяч рублей, чтоб мне это сделать я должен залогинется в свой кошелек и после этого сделать заказ иначе в пролете :rolleyes:

Так вот если безопасность можно интегрировать с вебмани кипером, было бы очень достойно пускай не все но хочешь удалить площадку запусти вебмани кипер и нажми удалить. Нечего не предлога, так как в бегуне реализован только заказ больших сумм, и я не знаю тонкостей данной услуги это всего один из вариантов решения проблемы.

1 - ну тут думаю как нибудь можно почту отдельную сделать, и отсылать не от SAPE (в общем чтобы фильтры не срабатывали антиспамерские).

2 - Тут уже идет взлом мыла, что вообще к вам не относится.
А так для многих - """Мол вот доверил вам денежку, а из-за вашей дырявой защиты, ее украли. У меня нет троянов!"""

Да и сложнее будет все сразу утащить.

1) площадки удалить невозможно, удаляются сами после снятия кода через неделю
2) проекты удалить возможно по паролю
3) проект добавить возможно только по паролю

а пароль будет - номер паспорта например