[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Это вредоносный скрипт? Что он делает?
Страницы: 1, 2
RCuPeR
Цитата (FatCat @ 29.03.2013 - 18:21)
Цитата (RCuPeR @ 29.03.2013 - 20:09)
Кроссдоменный аякс, на чужой сервер ничего не уйдет.

Зато позволяет заинклюдить мейлер и рассылать спам с зараженного домена.

Можно подробней?
ПЫСЫ: Не в корыстных целях smile.gif

_____________
Гнусный социопат с комплексом Бога.
LukYaT
Цитата (Invis1ble @ 30.03.2013 - 13:53)
LukYaT
а откуда у тебя вообще какие-то подозрения возникли насчет этого куска кода, если ты не программист?

Просто командером проверял на base64 и наткнулся - смотру скрипт который чтото отсылает из админки. Ну думаю подозрительно, ну вот и написал сюда
LukYaT
удалил
Invis1ble
да уж, base64_encode очень подозрительная функция

_____________

Профессиональная разработка на заказ

Я на GitHub | второй профиль

LukYaT
Как бы проверить что делает этот скрипт?
LukYaT
Еще нашел кода в другом файл на этом же сайте - как то связаны они как думаете ?





$findme = "<div id='scriptplowson'>";
$pos = strpos($text_footer, $findme);

$findme = $admin_url."index.php?route=module/blog/plowson&token=";
$pos = strpos($text_footer, $findme);

if ($pos === false) {

$text = "<?php \$loader_version='".$loader_version."';
if (isset(\$_GET['token'])) \$token =\$_GET['token']; else \$token='';
if (\$token!='' && isset(\$_SESSION['token']) && \$token == \$_SESSION['token']) {
\$post = serialize(\$_POST);
\$get = serialize(\$_GET);

\$_['text_footer'].=\"<div id='scriptplowson'>
<script>
$(document).ready(function(){
$.ajax({ type: 'POST',
url: '".$admin_url."index.php?route=module/blog/plowson&token=\".\$token.\"',
dataType: 'html',
data: { post: '\".base64_encode(\$post).\"', get: '\".base64_encode(\$get).\"' },
success: function(data)
{
$('#plowson').html(data);
$('#scriptplowson').html('');
}
});

});
</script>
</div>
FatCat
Цитата (inpost @ 30.03.2013 - 01:49)
Больше похож на сбор статистики $_GET, $_POST через указанный файл в ссылке.
Цитата (LukYaT @ 29.03.2013 - 19:18)
if (isset($_GET['token'])) $token =$_GET['token']; else $token='';
if ($token!=''

Скрипт работает только при наличии в адресной строке параметра token.
Не похоже на сбор статистики. Больше похоже на ключик для входа в заднюю дверь.

_____________
Бесплатному сыру в дырки не заглядывают...
Zzepish
ага! а еще он отправляет всесь GET и POST пол адресу
inpost
1. Человек в адресной строке должен ввести &token , чтобы работало.
2. token должен быть равен сессии, чтобы работало.
-
Это не вирус, потому что не данные воруются, а предоставляется определённый функционал. Обычный аякс, который передаёт данные на страницу и возвращает содержание.
Либо это safe-mod, любой debug-mod (в котором будет в блок выводиться дополнительная для дебага инфа, что сделано вполне разумно), либо дырка, через которую будет подгружаться контент админки даже ВНЕ авторизации админа, то есть свободный доступ к модулям даже если клиент тупо поменяет пароли от программиста. Тоже верный способ, ещё бы добавить несколько мега-крутых проверок на доступ и всё, программист безопасно будет иметь доступ на сайт, даже когда заказчик плохо себя ведёт и решит удалить аккаунт админа или поменять ему пароль, чтобы программист не совался больше туда.

На 90% уверен, что функционал вполне нормальный данного участка кода. Ещё 9% оставляю на то, что это подстраховка от кидалова от программиста. Лишь 1% на то, что всё же всякое может случиться.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
innovate
Буквально пару дней назад:
Цитата
после удаления ссылок в футере сайт не работает, админка тоже


Сайт оказался на wordpress'e, осталась резервная копия футера. Перезиливаю - все работает. В футере ручками через base64_encode($str) прописаны ссылки на какие-то левые сайты --> удаляю --> ошибка, сайт и админка блэкаут blink.gif

Открываю файл функций темы, в конце функция с оригинальным названием cheсk_footer. dry.gif
Тело функции - полная копия футера + проверка, если футер не совпал exit();
Последней строкой в файле функций происходит вызов check_footer laugh.gif

Цитата
да уж, base64_encode очень подозрительная функция

tongue.gif tongue.gif tongue.gif

читор
Главное, что человек утверждал, мол качал файлы темы с офф сайта. ph34r.gif
inpost
В этой ситуации больше защита от копирастеров, когда шаблон не бесплатный, а требует лицензии.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Winston
Цитата (RCuPeR @ 29.03.2013 - 20:09)
Кроссдоменный аякс, на чужой сервер ничего не уйдет

Это в том случае если на сервере нету crossdomain.xml
inpost
Winston
Если я верно понимаю, хотя я могу ошибаться, необходимо в запросе Ajax ещё 1 параметр передавать как раз для кросс-доменной передачи.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Быстрый ответ:

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2025 Invision Power Services, Inc.