Полная Версия: Это вредоносный скрипт? Что он делает?
| Цитата (FatCat @ 29.03.2013 - 18:21) | ||
Зато позволяет заинклюдить мейлер и рассылать спам с зараженного домена. |
Можно подробней?
ПЫСЫ: Не в корыстных целях
_____________
Гнусный социопат с комплексом Бога.
| Цитата (Invis1ble @ 30.03.2013 - 13:53) |
| LukYaT а откуда у тебя вообще какие-то подозрения возникли насчет этого куска кода, если ты не программист? |
Просто командером проверял на base64 и наткнулся - смотру скрипт который чтото отсылает из админки. Ну думаю подозрительно, ну вот и написал сюда
удалил
да уж, base64_encode очень подозрительная функция
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
Как бы проверить что делает этот скрипт?
Еще нашел кода в другом файл на этом же сайте - как то связаны они как думаете ?
$findme = "<div id='scriptplowson'>";
$pos = strpos($text_footer, $findme);
$findme = $admin_url."index.php?route=module/blog/plowson&token=";
$pos = strpos($text_footer, $findme);
if ($pos === false) {
$text = "<?php \$loader_version='".$loader_version."';
if (isset(\$_GET['token'])) \$token =\$_GET['token']; else \$token='';
if (\$token!='' && isset(\$_SESSION['token']) && \$token == \$_SESSION['token']) {
\$post = serialize(\$_POST);
\$get = serialize(\$_GET);
\$_['text_footer'].=\"<div id='scriptplowson'>
<script>
$(document).ready(function(){
$.ajax({ type: 'POST',
url: '".$admin_url."index.php?route=module/blog/plowson&token=\".\$token.\"',
dataType: 'html',
data: { post: '\".base64_encode(\$post).\"', get: '\".base64_encode(\$get).\"' },
success: function(data)
{
$('#plowson').html(data);
$('#scriptplowson').html('');
}
});
});
</script>
</div>
$findme = "<div id='scriptplowson'>";
$pos = strpos($text_footer, $findme);
$findme = $admin_url."index.php?route=module/blog/plowson&token=";
$pos = strpos($text_footer, $findme);
if ($pos === false) {
$text = "<?php \$loader_version='".$loader_version."';
if (isset(\$_GET['token'])) \$token =\$_GET['token']; else \$token='';
if (\$token!='' && isset(\$_SESSION['token']) && \$token == \$_SESSION['token']) {
\$post = serialize(\$_POST);
\$get = serialize(\$_GET);
\$_['text_footer'].=\"<div id='scriptplowson'>
<script>
$(document).ready(function(){
$.ajax({ type: 'POST',
url: '".$admin_url."index.php?route=module/blog/plowson&token=\".\$token.\"',
dataType: 'html',
data: { post: '\".base64_encode(\$post).\"', get: '\".base64_encode(\$get).\"' },
success: function(data)
{
$('#plowson').html(data);
$('#scriptplowson').html('');
}
});
});
</script>
</div>
| Цитата (inpost @ 30.03.2013 - 01:49) |
| Больше похож на сбор статистики $_GET, $_POST через указанный файл в ссылке. |
| Цитата (LukYaT @ 29.03.2013 - 19:18) |
| if (isset($_GET['token'])) $token =$_GET['token']; else $token=''; if ($token!='' |
Скрипт работает только при наличии в адресной строке параметра token.
Не похоже на сбор статистики. Больше похоже на ключик для входа в заднюю дверь.
_____________
Бесплатному сыру в дырки не заглядывают...
ага! а еще он отправляет всесь GET и POST пол адресу
1. Человек в адресной строке должен ввести &token , чтобы работало.
2. token должен быть равен сессии, чтобы работало.
-
Это не вирус, потому что не данные воруются, а предоставляется определённый функционал. Обычный аякс, который передаёт данные на страницу и возвращает содержание.
Либо это safe-mod, любой debug-mod (в котором будет в блок выводиться дополнительная для дебага инфа, что сделано вполне разумно), либо дырка, через которую будет подгружаться контент админки даже ВНЕ авторизации админа, то есть свободный доступ к модулям даже если клиент тупо поменяет пароли от программиста. Тоже верный способ, ещё бы добавить несколько мега-крутых проверок на доступ и всё, программист безопасно будет иметь доступ на сайт, даже когда заказчик плохо себя ведёт и решит удалить аккаунт админа или поменять ему пароль, чтобы программист не совался больше туда.
На 90% уверен, что функционал вполне нормальный данного участка кода. Ещё 9% оставляю на то, что это подстраховка от кидалова от программиста. Лишь 1% на то, что всё же всякое может случиться.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
2. token должен быть равен сессии, чтобы работало.
-
Это не вирус, потому что не данные воруются, а предоставляется определённый функционал. Обычный аякс, который передаёт данные на страницу и возвращает содержание.
Либо это safe-mod, любой debug-mod (в котором будет в блок выводиться дополнительная для дебага инфа, что сделано вполне разумно), либо дырка, через которую будет подгружаться контент админки даже ВНЕ авторизации админа, то есть свободный доступ к модулям даже если клиент тупо поменяет пароли от программиста. Тоже верный способ, ещё бы добавить несколько мега-крутых проверок на доступ и всё, программист безопасно будет иметь доступ на сайт, даже когда заказчик плохо себя ведёт и решит удалить аккаунт админа или поменять ему пароль, чтобы программист не совался больше туда.
На 90% уверен, что функционал вполне нормальный данного участка кода. Ещё 9% оставляю на то, что это подстраховка от кидалова от программиста. Лишь 1% на то, что всё же всякое может случиться.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Буквально пару дней назад:
| Цитата |
| после удаления ссылок в футере сайт не работает, админка тоже |
Сайт оказался на wordpress'e, осталась резервная копия футера. Перезиливаю - все работает. В футере ручками через base64_encode($str) прописаны ссылки на какие-то левые сайты --> удаляю --> ошибка, сайт и админка блэкаут
Открываю файл функций темы, в конце функция с оригинальным названием cheсk_footer.
Тело функции - полная копия футера + проверка, если футер не совпал exit();
Последней строкой в файле функций происходит вызов check_footer
| Цитата |
| да уж, base64_encode очень подозрительная функция |
читор
Главное, что человек утверждал, мол качал файлы темы с офф сайта. 
В этой ситуации больше защита от копирастеров, когда шаблон не бесплатный, а требует лицензии.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
| Цитата (RCuPeR @ 29.03.2013 - 20:09) |
| Кроссдоменный аякс, на чужой сервер ничего не уйдет |
Это в том случае если на сервере нету crossdomain.xml
Winston
Если я верно понимаю, хотя я могу ошибаться, необходимо в запросе Ajax ещё 1 параметр передавать как раз для кросс-доменной передачи.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Если я верно понимаю, хотя я могу ошибаться, необходимо в запросе Ajax ещё 1 параметр передавать как раз для кросс-доменной передачи.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Здесь расположена полная версия этой страницы.