0 Пользователей и 1 Гость просматривают эту тему.
  • 51 Ответов
  • 2370 Просмотров
*

winni-pyx

  • Осваиваюсь на форуме
  • 25
  • 0 / 0
Друзья, такая ситуация случилась: пришло два заказа на сайт. У обоих заказов почти сразу поменялся статус на  Отменен, а один из этих заказов вообще удалился. Связались с покупателями, а те говорят, что заказ оплатили и показали скрины о списании их денег с карт Сбера. Я денег не вижу. После последнего заказа, который "удалился" прошло несколько часов. Я решил сделать тестовый заказ. Все четко, деньги списались куда нужно. Начинаем разбираться (писали заявления и в Сбер и в ТП Я.Д) и в итоге выяснили, что деньги списались на какой то левый кошелек, а не мой.

Разумеется мысль о том, что был сбой в ЯД, сразу отпала и на первое место выдвинулась мысль о том, что кто из "программистов", работающих сейчас с сайтом, мог просто в модуле оплаты подставить данные своего кошелька и все. По потом, после удаления второго заказа из админки вернуть все обратно.

Расскажите, есть вообще варианты как то вычислить кто из пользователей удалил заказ или кто менял настройки в модуле оплаты?
Я же правильно понимаю, что менять подобные настройки могут только пользователи с правами админа, суперЮзера? таких пользователей всего 4 (я, манагер и два "программиста"). Я и манагер (девочка наша подруга и далеко она от этого всего) отпадаем. Один из прогееров не заходил под своим аккаунтом уже неделю на сайт. Остается второй прогер, который как раз последний раз на сайте был именно в тот день, когда все это случилось. Является ли это неоспоримым доказательством его вины?

Общая сумма за два заказа 6800руб.

И есть ли вариант как то вообще защитить этот модуль оплаты, что бы никто, кроме меня не смог в него лезть?
*

nevigen

  • Moderator
  • 10431
  • 862 / 25
  • http://n*****n.com
Re: кто то меня кинул с помощью ЯД
« Ответ #1 : 03.11.2017, 10:13:15 »
защитить модуль можно всегда.
жестко прописав ваш номер и ключи и скрыв их из настроек.

присутствие человека на месте престпуления не является прямой уликой :) и уж тем более доказаетльством вины.
если конечно кошелек куда ушло сопадет с его кошельком тут конечно :)

как говоярт профики.."ищите финансовый след... любое преступление его оставляет."
ну и не только прогер может. по сути кто угодно если сайт взломан.
а оплату на яндекс вы ставили ? где брали ?

П.С. по сути вопрос мало относится к ЖШ :(
Профессиональные / Бесплатные решения для JoomShopping
Не лечи бесплатно, ибо тот, кто лечится бесплатно, рано или поздно перестает ценить свое здоровье,
а тот, кто лечит бесплатно, рано или поздно перестает ценить результаты своего труда/ (с) Гиппократ?
Не ищите ответов, ищите решение !
*

winni-pyx

  • Осваиваюсь на форуме
  • 25
  • 0 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #2 : 03.11.2017, 10:16:51 »
я правильно понимаю, что логов удаления заказа никаких не ведется?
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #3 : 03.11.2017, 10:23:36 »
если вы имеете в виду именно в JoomShopping именно логов удаления заказа - то нет, такого лога не ведется. но MySQL ведет общий лог записи/обновления таблиц, по которому будет видно это. попробуйте обратиться к хостеру с этим вопросом.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

winni-pyx

  • Осваиваюсь на форуме
  • 25
  • 0 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #4 : 03.11.2017, 11:07:06 »
Получил ответ от хостера:
К сожалению, логи действий в базе данных MySQL у нас не ведутся, но, возможно, удасться выяснить какую-либо информацию из лога запросов, который мы выгрузили за 31.10. Анализ лога Вам необходимо производить либо самостоятельно, либо с привлечением стороннего специалиста.

Посмотрел его.....и даже не знаю что из него мне может быть полезным. Пока только вижу, что обувь, которую заказывали в этом проблемном заказе. Артикул 2501BL . Но что именно с ним делали, судя по этим логам, я понять не могу.

Вдруг кто с ходу сможет чем то помочь.....за что можно зацепиться

ссылка на гугл.диск на лог
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #5 : 03.11.2017, 11:14:00 »
этот лог ничем не поможет, тут нет ни post запросов, ничего. без логов MySQL к сожалению ничего толком выяснить не удастся.

а логи оплаты в JoomShopping у вас включены?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

winni-pyx

  • Осваиваюсь на форуме
  • 25
  • 0 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #6 : 03.11.2017, 12:28:06 »


а логи оплаты в JoomShopping у вас включены?

понятия не имею. А чем они могут помочь?
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #7 : 03.11.2017, 13:15:23 »
понятия не имею.
JoomShopping - Настройки - Основное - Сохранить информацию в лог-файл и Сохранить информацию об Оплате в лог-файл

файлы логов payment.log и paymentdata.log, лежат в \components\com_jshopping\log\

А чем они могут помочь?
по ним будет виден процесс оплаты.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

winni-pyx

  • Осваиваюсь на форуме
  • 25
  • 0 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #8 : 03.11.2017, 14:16:48 »
JoomShopping - Настройки - Основное - Сохранить информацию в лог-файл и Сохранить информацию об Оплате в лог-файл

файлы логов payment.log и paymentdata.log, лежат в \components\com_jshopping\log\
по ним будет виден процесс оплаты.
да, эти логи велись. Вижу там эти платежи. Но какая польза от этой информации я не знаю.

Скажите, а логи посещения сайта пользователями ведутся где нибудь?
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #9 : 03.11.2017, 14:57:32 »
да, эти логи велись. Вижу там эти платежи. Но какая польза от этой информации я не знаю.
киньте в личку оба файла

Скажите, а логи посещения сайта пользователями ведутся где нибудь?
логи посещения в том файле, который вы выложили до этого. зачем они вам, что вы хотите там посмотреть?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

winni-pyx

  • Осваиваюсь на форуме
  • 25
  • 0 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #10 : 03.11.2017, 15:14:27 »
киньте в личку оба файла
логи посещения в том файле, который вы выложили до этого. зачем они вам, что вы хотите там посмотреть?
Кинул
У меня есть подозреваемый. Он на сайт редко заходит. Последний раз он там был в день инцедента. И он там должен был быть, т.к. я в первую очередь ему написал о возникшей проблеме. Вот если я увижу, что он заходил на сайте непосредственно до самого инцедента, то у меня будет больше косвенных доказательств, что это именно он, а не какая то хакерская атака.
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #11 : 03.11.2017, 15:27:49 »
какие ID заказов, с которыми проблема? какой модуль оплаты вы используете, где вы его взяли?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

winni-pyx

  • Осваиваюсь на форуме
  • 25
  • 0 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #12 : 03.11.2017, 15:41:20 »
какие ID заказов, с которыми проблема? какой модуль оплаты вы используете, где вы его взяли?
id=1509447134889
id=1509389084768
Модуль Яндекс.Деньги  Не знаю где посмотреть подробную инфу
ставил как раз тот, кого я подозреваю.
*

tima

  • Захожу иногда
  • 71
  • 3 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #13 : 03.11.2017, 15:54:17 »
А на стороне Яндекса в настройках кошелька разве нельзя привязку к домену сделать? Если идет переадресация на оплату с такого-то домена, то оплата возможна только на такой номер кошелька -- такой настройки разве нет?
Это же вообще бред если такого нету, это так любой любой суперадмин джумлы введет свой кошелек. Это недоработка самого Яндекса.
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #14 : 03.11.2017, 15:55:46 »
файл \components\com_jshopping\payments\pm_yacard\pm_yacard.php есть у вас? если да, киньте его в личку
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #15 : 03.11.2017, 15:58:27 »
Если идет переадресация на оплату с такого-то домена, то оплата возможна только на такой номер кошелька -- такой настройки разве нет?
вы хоть сами поняли, что предлагаете? :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

tima

  • Захожу иногда
  • 71
  • 3 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #16 : 03.11.2017, 16:11:57 »
вы хоть сами поняли, что предлагаете?
Я не запустил еще магаз, модуль оплаты не ставил... чисто логически рассуждаю..
Допустим у меня обычный кошелек, не юр лицо. Покупателя после оформления заказа перебрасывает с моего домена на сайт Яндекс.Деньги где он и оплачивает на номер моего кошелька. Если же его перебрасывает с моего домена на форму где указан номер не моего кошелька, тогда должна происходить ошибка по идее. Что не так? Разве это не логично?))
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: кто то меня кинул с помощью ЯД
« Ответ #17 : 03.11.2017, 16:15:45 »
Что не так? Разве это не логично?))
Не логично. Обмен данными с платежным агрегатором намного сложнее, чем вы себе это представляете.

P.S. Не лезу в ваш разговор, просто слежу за темой. Интересно, где раки зимовали )
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

tima

  • Захожу иногда
  • 71
  • 3 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #18 : 03.11.2017, 16:21:34 »
Не логично. Обмен данными с платежным агрегатором намного сложнее, чем вы себе это представляете.
Я конечно не прогер, многого не догоняю. Но ведь Яндекс метрика как-то же определяет с какого домена переходы, с каких ссылок... потом есть насколько знаю GET параметры которые тоже можно передать.
Для таких монстров как Яндекс наврятли это какая-то невыполнимая задача привязку к домену сделать.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: кто то меня кинул с помощью ЯД
« Ответ #19 : 03.11.2017, 16:31:29 »
Но ведь Яндекс метрика как-то же определяет с какого домена переходы, с каких ссылок...
А вы откройте инструкцию по API Яндекс.Денег - он знает и адрес, и сумму, и домен, и товар, за который идет оплата, и что за перец платит и т.п. Там много информации на самом деле. Лично я предполагаю, что вам произвели временную смену платежных реквизитов. Ну да посмотрим...
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #20 : 03.11.2017, 20:02:15 »
при чем тут выполнимая или невыполнимая задача? :) т.е. вы предлагаете дать возможность например мне привязать ваш домен к моему кошельку. а вы после этого уже все, лесом? :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

tima

  • Захожу иногда
  • 71
  • 3 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #21 : 03.11.2017, 20:59:39 »
вы предлагаете дать возможность например мне привязать ваш домен к моему кошельку
А как вы сможете подтвердить права на мой домен?
У Яндекса же все сервисы связаны друг с другом. Например чтобы пользоваться метрикой нужно сперва подтвердить свои права на домен, после этого уже можно пользоваться вебмастером и почтой для домена. Надо чтобы и в Яндекс.Деньгах эта опция тоже добавлялась -- домен привязать к кошельку. Левый чел не сможет привязать мой домен ^-^
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #22 : 03.11.2017, 21:01:37 »
естественно, левый не сможет. левый и кошелек не поменяет в настройках. речь идет о том, когда я у вас суперадминистратор на сайте. вы же от них хотите защитится?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

tima

  • Захожу иногда
  • 71
  • 3 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #23 : 03.11.2017, 21:07:45 »
Я говорю о том что эта привязка должна быть на стороне Яндекса в моем аккаунте ЯД, чтобы я там мог сделать эту привязку к домену. Тогда пусть суперадмин меняет настройки, с моего сайта (домена) он все равно не сможет на свой кошелек принять платеж -- ЯД заблокирует такой платеж.
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #24 : 03.11.2017, 21:28:49 »
ну так что мне как суперюзеру помешает привязать ваш сайт на свой кошелек в своем аккаунте яндекса?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: кто то меня кинул с помощью ЯД
« Ответ #25 : 03.11.2017, 21:48:22 »
@tima
При желании можно подменить HTTP_REFERER, REMOTE_ADDR, REMOTE_HOST, IP И т.д.
Вы не сможете получить деньги на свой кошелек, если трансферт инициирован отличными от вашего сайта источниками: терминалом, банком, различными сервисами...
Но самое главное, вы не сможете защититься от жены, у которой кроме ключей от квартиры есть еще ключи от сейфа, пароли банковских счетов, ваш паспорт и документы на квартиру :).
Не будь паразитом, сделай что-нибудь самостоятельно!
*

tima

  • Захожу иногда
  • 71
  • 3 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #26 : 03.11.2017, 22:06:35 »
dmitry_stas Подождите.. я торможу что ли?) Там для подтверждения права на домен надо закинуть файл на сервер... из админки джумла разве можно файл закинуть? При условии что в файле configuration.php у меня пусто ftp значения.

Похоже до меня дошло... даже если в джумла так нельзя, то в админках других CMS наверняка можно. Короче это не выход да?

Ну так и что тогда делать? Как не допустить такого у себя? Как себя обезопасить? У кого какие мнения на этот счет? Это ведь актуальная уязвимость, хорошо что ТС ее озвучил. Я например даже не подозревал что так могут сделать, хотя уязвимость вот она, прям на поверхности лежит, как говорится только слепой не увидит))
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: кто то меня кинул с помощью ЯД
« Ответ #27 : 03.11.2017, 22:20:01 »
Похоже до меня дошло... даже если в джумла так нельзя, то в админках других CMS наверняка можно. Короче это не выход да?
конечно не выход :) можно и в жумле закинуть файл, разницы никакой нет. суперадминистратор - на то он и суперадминистратор :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

nevigen

  • Moderator
  • 10431
  • 862 / 25
  • http://n*****n.com
Re: кто то меня кинул с помощью ЯД
« Ответ #28 : 03.11.2017, 23:20:44 »
харош флудить ....
какое отношение все это имеет к ЖШ ?

тема оставлена чтобы ТС как-то мог разобраться, а начался холивар.... что и кому должен яндекс.
если есть претензии к яндексу, вперед на яндекс.ру.

2 ТС вопрос решен по вашему вопросу ?
в смысле получены ответы от спецов, достаточные для принятия вами мер по выяснению "ктокудойваскидал"?
в яндексе должны сохрантся данные по операции потому что как минимум должен был быть введен кошелек и известно куда ушли средства.
обращаться надо вданном случае в яндекс и решать вопрос с ними или при их поддержке.
Профессиональные / Бесплатные решения для JoomShopping
Не лечи бесплатно, ибо тот, кто лечится бесплатно, рано или поздно перестает ценить свое здоровье,
а тот, кто лечит бесплатно, рано или поздно перестает ценить результаты своего труда/ (с) Гиппократ?
Не ищите ответов, ищите решение !
*

winni-pyx

  • Осваиваюсь на форуме
  • 25
  • 0 / 0
Re: кто то меня кинул с помощью ЯД
« Ответ #29 : 03.11.2017, 23:53:35 »
dmitry_stas


2 ТС вопрос решен по вашему вопросу ?
в смысле получены ответы от спецов, достаточные для принятия вами мер по выяснению "ктокудойваскидал"?
в яндексе должны сохрантся данные по операции потому что как минимум должен был быть введен кошелек и известно куда ушли средства.
обращаться надо вданном случае в яндекс и решать вопрос с ними или при их поддержке.
dmitry_stas, что то в личке еще смотрит, только я не пойму что.
Далее я жду еще один ответ от ТП ЯД.
ТП ЯД без запроса из правоохранительных органов не выдаст информацию о владельце кошелька. А номер кошелька я знаю.
В общем, могу в итоге рассказать чем закончилось. Думаю, что ко вторнику вопрос решится в чью то пользу.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Оплата с помощью VIZA и MasterCard

Автор Vyrd

Ответов: 8
Просмотров: 2358
Последний ответ 12.10.2012, 00:11:12
от Sni10