Чего бояться при зарузке/установке плагинов?

Привет! Меня очень волнует вопрос, чего мне, как новичку и нубу, бояться в скачанных плагинах. Я не говорю, конкретно про этот ресурс. В сети очень много сайтов и форумов, где выкладываются плагины для скачивания. На одних выложены оф. плагины(т.е. с оф. сайта), на других "самоделки". Мне, как не профессионалу, не понимающему на раз-два HTML, css и т.д. не понятно и не видно, что записано в этих файлах. Профи, ответьте плиз, как нам определить есть ли в скачанных файлах, скрытые ссылки, ссылки на вирусы, ну или что в них может быть страшного. Спасибо.

 

Ну может быть минимально бэкдор (возможность эксплуатации уязвимости) зашит или еще чего. Без знаний в php и ручной проверки плагина - никак не определите, если с сомнительного места скачали. Поэтому все плагины качать только с офф. сайта или сайтов, где администрация следит за контентом. В рунете их всего два, на одном из них вы пишете.

 

К сожалению даже этот форум не является официальным. Хотя доверия к нему больше, чем к другому русскоязычному форуму о ксюше где выставляют нулённые версии и пытаются за это ещё получить деньги.

На этом форуме просто есть люди которые очень хорошо себя зарекомендовали в русском инете. Я говорю о таки людях как Romchik® (его ещё на vbsupport помню) , infis, FractalizeR и т.

Так что большинство плагинов конечно же просматривается, но гарантии что в них нет дыр вам никто не даст. Хотя таких гарантий вы даже на официальном форуме не получите.

 

Есть специализированные скрипты для поиска закладок, искать руками это большая трата времени. В качестве примера могу предложить AI-Bolit, NeoPI, да и чего греха таить у меня Касперыч визжал на бегдоры в скриптах

Еще конечно можно в полуручном режиме. Поискать во всех файлах registor_globals, $_GET, $_POST, $_REQUEST и посмотреть что принимают.

 

SrDEN, а как вы каспером проверяете или у него есть какая-то приблуда? Я пользуюсь AVG, но он у меня молчит.
Я так понимаю, на сайтах с количеством пользователей пару десятков, вообще не стоит задерживаться. Значит пару-тройку закладок на другие сайты удаляю. ))
Пойду изучать AI-Bolit и NeoPI.

 

Вот просканировал ай-болитом. Реально ли беглым взглядом понять, мол - "да надо ковыряться в этом файле и искать левую ссылку."

Критические замечания
Шелл-скрипты не найдены.
Подозрение на вредоносный скрипт: (5)
\\DISKSTATION\WEB\forum/library/XenForo/Install/Data/MySql.php
L1 <iframe src="|http://www.metacafe.com/embed/{$id}/" width="500" height="300" allowFullScreen
06/11/2013 14:39:44
17/01/2015 16:31:33
110.35 Kb
-1208992165
\\DISKSTATION\WEB\forum/library/XenForo/Install/Data/MySql.php
L1 <iframe width="500" height="300" src="|http://www.liveleak.com/ll_embed?i={$id}" frameborder="0" allowfullscreen
06/11/2013 14:39:44
17/01/2015 16:31:33
110.35 Kb
-1208992165
\\DISKSTATION\WEB\forum/library/XenForo/Install/Upgrade/1020070-120.php
L1 <iframe src="|http://www.metacafe.com/embed/{$id:digits}/" width="500" height="300" allowFull
30/08/2013 06:05:40
17/01/2015 16:32:43
884 b
-515638460
\\DISKSTATION\WEB\forum/library/XenForo/Install/Upgrade/1020070-120.php
L1 <iframe width="500" height="300" src="|http://www.liveleak.com/ll_embed?i={$id}" frameborder="0" allowfullscreen
30/08/2013 06:05:40
17/01/2015 16:32:43
884 b
-515638460
\\DISKSTATION\WEB\forum/library/InfisJSC/VKontakte/MatchCallback.php
L1 <iframe src="|http://vk.com/video_ext.php?oid=' . $keys[0] . '&id=' . $keys[1] . '&hash=' . $


Двойное расширение, зашифрованный контент или подозрение на вредоносный скрипт. Требуется дополнительный анализ: (5)
\\DISKSTATION\WEB\forum/library/config.php.default
".php."
30/08/2013 06:05:40
17/01/2015 15:54:33
208 b
1876571445
\\DISKSTATION\WEB\forum/library/config.php.default
".php."
30/08/2013 06:05:40
17/01/2015 15:54:33
208 b
1876571445
\\DISKSTATION\WEB\forum/library/Zend/Service/LiveDocx/MailMerge.php
L378 ...) or setRemoteTemplate() first', 0, $e ); } return |base64_decode($result->RetrieveDocumentResult); } /** * Return WM
30/08/2013 06:05:40
17/01/2015 16:54:35
31.09 Kb
685621996
\\DISKSTATION\WEB\forum/library/Zend/Service/LiveDocx/MailMerge.php
L378 ...) or setRemoteTemplate() first', 0, $e ); } return |base64_decode($result->RetrieveDocumentResult); } /** * Return WM
30/08/2013 06:05:40
17/01/2015 16:54:35
31.09 Kb
685621996
\\DISKSTATION\WEB\forum/library/Zend/Service/LiveDocx/MailMerge.php
L236 ...) or setRemoteTemplate() first', 0, $e ); } return |base64_decode($result->RetrieveDocumentResult); } public function
30/08/2013 06:05:40
17/01/2015 16:54:35
31.09 Kb
685621996


Предупреждения
В этих файлах размещен код по продаже ссылок. Убедитесь, что размещали его вы: (4)
Путь Дата создания Дата модификации Размер CRC32
\\DISKSTATION\WEB\forum/library/Zend/Feed/Reader/Entry/Atom.php
L234 ... { if (!array_key_exists('links', $this->_data)) { $this|->getLinks(); } if (isset($this->_data['links'][$index])) {
30/08/2013 06:05:40
17/01/2015 17:02:15
9.59 Kb
-2112727584
\\DISKSTATION\WEB\forum/library/Zend/Feed/Reader/Entry/Rss.php
L432 ... { if (!array_key_exists('links', $this->_data)) { $this|->getLinks(); } if (isset($this->_data['links'][$index])) {
30/08/2013 06:05:40
17/01/2015 17:02:15
18.19 Kb
-1881786685
\\DISKSTATION\WEB\forum/library/Zend/Feed/Reader/Extension/Atom/Entry.php
L361 ... { if (!array_key_exists('links', $this->_data)) { $this|->getLinks(); } if (isset($this->_data['links'][$index])) {
30/08/2013 06:05:40
17/01/2015 17:08:52
17.92 Kb
-806564854
\\DISKSTATION\WEB\forum/library/Zend/Locale/Data/en.xml
L912 ...>São Tomé and Príncipe</territory> <territory type="SU">Union of Soviet So|cialist Republics</territory> <territory type="SV">El Salvador</territory>
30/08/2013 06:05:40
17/01/2015 16:48:06
151.63 Kb
-1342075554


В этих файлах размещены невидимые ссылки. Подозрение на ссылочный спам:
\\DISKSTATION\WEB\forum/js/sortable/index.html

Спасибо!
ЗЫ Сорри, спойлера нет.

 

TOP-ic, все что найдено - ложные срабатывания. Ничего там такого нет. Ох уж эти авторы скриптов...

 

Каспер сам нашел, я не чего не инициировал Мне как-то дали бекап сайта с логами, чтоб я нашел точку входа и по возможности бекдоры, и при сохранении на комп, он сам просканировал архив и нашел.



но раз на раз не приходится, если автор закладки шарит в двиге, он может штатными средствами сделать потайной ход, без всяких там попсовых вебшелов и в большом объеме кода не то что сканерами, руками мало шансов найти
В вашем случае у айболита возникли всего лишь подозрения и это лучше чем нечего

 

Если уж на то пошло, то ни один сканер не ищет что-либо в шаблонах, так как шаблоны хранятся в базе данных. Получается, что в шаблоны можно какой угодно шел залить, а найти его будет достаточно сложно.

 

infis, скачать дамп шаблона и просканировать xml.

 

Я это знаю. Я же написал "достаточно сложно". Кстати, лучше не дампом делать, а собственным скриптом, который создаст файлы с HTML кодом, убрав экранирование. Тогда анализатору будет проще. Помимо шаблонов можно внедрить вредоносный код в уже скомпилированный шаблон. Это дополнительно усложняет обнаружение такого кода. В идеале надо для всех шаблонов вычислять контрольные суммы, после компиляции шаблонов нужно вычислять контрольные суммы и для скомпилированных. Тогда проверку можно будет делать уже только для тех, у которых поменялась контрольная сумма. Ну и т.д. и т.п.
В общем все не так уж и плохо, но для параноиков есть простор для воображения