- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
На сайте с ModX версии 1.0.6 (судя по админке) найден скрытый блок со ссылками на доры. Блок прямо перед </body>. Шаблоны хранятся в базе, там всё чисто: сниппет метрики и после него </body>. На странице после кода метрики и перед </body> появляется этот блок. В закешированных движком страницах код со ссылками также присутствует.
Прогнал сайт ай-болитом, ничего похожего не нашёл.
Что делать? куда копать?
обновить до 1.0.15 для начала
Возможно, вредонос закодирован в base64, но айболитом не детектится, находиться может где угодно....
Обновление может закрыть дыру, но если успели залить шелл, то обновление не поможет.
Тут все надо проверять вручную.
А разве открытое предложение услуг допустимо в данном разделе?
Если да, то я тоже буду предлагать услуги своего специалиста в открытую....
Просьба для админа - объясните, пожалуйста, так можно или нельзя?....
Возможно, вредонос закодирован в base64, но айболитом не детектится,
Айболит вполне детектит base64.
А разве открытое предложение услуг допустимо в данном разделе?
Нет. А предлагающие (даже завуалировано) получат по рукам.
Айболит вполне детектит base64.
Не всегда.
Вот: /ru/forum/909033
Тут не нашел такое:
$content = base64_decode('IyBCRUdJTiBXb3JkUHJlc3MKPElmTW9kdWxlIG1vZF9yZXdyaXRlLmM+ClJld3JpdGVFbmdpbmUgT24KUmV3cml0ZUJhc2UgLwpSZXdyaXRlUnVsZSBeaW5kZXhcLnBocCQgLSBbTF0KUmV3cml0ZUNvbmQgJXtSRVFVRVNUX0ZJTEVOQU1FfSAhLWYKUmV3cml0ZUNvbmQgJXtSRVFVRVNUX0ZJTEVOQU1FfSAhLWQKUmV3cml0ZVJ1bGUgLiAvaW5kZXgucGhwIFtMXQo8L0lmTW9kdWxlPgoKIyBFTkQgV29yZFByZXNzCg==');if (file_exists($path) AND file_get_contents($path) != $content) {
chmod($path, 0644);
Вот: /ru/forum/909033
Тут не нашел такое:
Вот "там" я не знаю как можно было не найти такое :) Ты сам проверял?
Вообще то ли я на лыжах, то ли одно из двух, но мне странно и не понятно когда говорят, что айболит ничего не нашел. Да он находит даже там, где нет и кучу предупреждений вывавливает! А то "не нашел".. Не знаю..
Ида. Не надо думать что я прям уж такой фанат айболита и защищаю его "просто так". Это не так. Я к нему отношусь так же, как и к любому другому полезному инструменту. Если есть косяки или чего-то не ищется (что я вполне допускаю, и сам отсылал разрабам сигнатуры) - всегда можно обратиться к разрабам. Это всем на пользу. В отличии от жалоб в разных топиках на форуме.
Конечно, не сам :)
Может, скрипт не доработал или ставили на мин. чувствительность, или еще что-то.....
Знает тот, кто сканил.
Айболит помощник хороший, никто не спорит, но не бывает абсолютно надежных антивирусов/сканеров.
P. S.
Накормил айболит фор виндовс файлом, где содержится только тот самый нехороший код.
Вот что получилось:
Критические замечания
Вредоносные скрипты не найдены. Попробуйте сканер в режиме "Параноидальный".
Предупреждения
Эвристический анализ обнаружил подозрительные файлы. Проверьте их на наличие вредоносного кода. (1)
.....\aibolit-for-windows\site/626.php (Подозрительные параметры времени изменения файла)
При этом define('AI_EXPERT_MODE', 2);
Почему то ничего про base64 не сказано....
Вообще-то в modx можно сувать скрипты сразу в mysql файлов шаблона, ищити в админке в шаблонах, физических файлом с кодом нет
Сам так делал в молодости 🍿
Попробуйте сканер в режиме "Параноидальный".
Эм.. Я всегда (вернее с нек пор после общения с разрабами) только в параноидальном сканю. Возможно поэтому я вижу лишку :)
Сохранить дамп базы где-нибудь на диске сервера, просканировать айболитом. 🍿