1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

Чего бояться при зарузке/установке плагинов?

Тема в разделе "Для новичков", создана пользователем TOP-ic, 24 янв 2015.

Загрузка
  1. TOP-ic

    TOP-ic Пользователь

    Регистрация:
    17.01.15
    Сообщения:
    12
    Симпатии:
    0
    Версия XF:
    1.4.3
    Привет! Меня очень волнует вопрос, чего мне, как новичку и нубу, бояться в скачанных плагинах. Я не говорю, конкретно про этот ресурс. В сети очень много сайтов и форумов, где выкладываются плагины для скачивания. На одних выложены оф. плагины(т.е. с оф. сайта), на других "самоделки". Мне, как не профессионалу, не понимающему на раз-два HTML, css и т.д. не понятно и не видно, что записано в этих файлах. Профи, ответьте плиз, как нам определить есть ли в скачанных файлах, скрытые ссылки, ссылки на вирусы, ну или что в них может быть страшного. Спасибо.
     
  2. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    999
    Симпатии:
    546
    Версия XF:
    1.4.4
    Ну может быть минимально бэкдор (возможность эксплуатации уязвимости) зашит или еще чего. Без знаний в php и ручной проверки плагина - никак не определите, если с сомнительного места скачали. Поэтому все плагины качать только с офф. сайта или сайтов, где администрация следит за контентом. В рунете их всего два, на одном из них вы пишете.
     
    TOP-ic нравится это.
  3. ANGEL OF FIRE

    ANGEL OF FIRE Модератор Команда форума

    Регистрация:
    06.11.11
    Сообщения:
    395
    Симпатии:
    179
    Версия XF:
    1.1.3
    К сожалению даже этот форум не является официальным. Хотя доверия к нему больше, чем к другому русскоязычному форуму о ксюше где выставляют нулённые версии и пытаются за это ещё получить деньги.

    На этом форуме просто есть люди которые очень хорошо себя зарекомендовали в русском инете. Я говорю о таки людях как Romchik® (его ещё на vbsupport помню) , infis, FractalizeR и т.

    Так что большинство плагинов конечно же просматривается, но гарантии что в них нет дыр вам никто не даст. Хотя таких гарантий вы даже на официальном форуме не получите.
     
    TOP-ic и Romchik® нравится это.
  4. SrDEN

    SrDEN Местный

    Регистрация:
    29.08.14
    Сообщения:
    114
    Симпатии:
    52
    Версия XF:
    1.5.0
    Есть специализированные скрипты для поиска закладок, искать руками это большая трата времени. В качестве примера могу предложить AI-Bolit, NeoPI, да и чего греха таить у меня Касперыч визжал на бегдоры в скриптах :)

    Еще конечно можно в полуручном режиме. Поискать во всех файлах registor_globals, $_GET, $_POST, $_REQUEST и посмотреть что принимают.
     
    TOP-ic нравится это.
  5. TOP-ic

    TOP-ic Пользователь

    Регистрация:
    17.01.15
    Сообщения:
    12
    Симпатии:
    0
    Версия XF:
    1.4.3
    SrDEN, а как вы каспером проверяете или у него есть какая-то приблуда? Я пользуюсь AVG, но он у меня молчит.
    Я так понимаю, на сайтах с количеством пользователей пару десятков, вообще не стоит задерживаться. Значит пару-тройку закладок на другие сайты удаляю. ))
    Пойду изучать AI-Bolit и NeoPI.
     
  6. TOP-ic

    TOP-ic Пользователь

    Регистрация:
    17.01.15
    Сообщения:
    12
    Симпатии:
    0
    Версия XF:
    1.4.3
    Вот просканировал ай-болитом. Реально ли беглым взглядом понять, мол - "да надо ковыряться в этом файле и искать левую ссылку."

    Критические замечания
    Шелл-скрипты не найдены.
    Подозрение на вредоносный скрипт: (5)
    \\DISKSTATION\WEB\forum/library/XenForo/Install/Data/MySql.php
    L1 <iframe src="|http://www.metacafe.com/embed/{$id}/" width="500" height="300" allowFullScreen
    06/11/2013 14:39:44
    17/01/2015 16:31:33
    110.35 Kb
    -1208992165
    \\DISKSTATION\WEB\forum/library/XenForo/Install/Data/MySql.php
    L1 <iframe width="500" height="300" src="|http://www.liveleak.com/ll_embed?i={$id}" frameborder="0" allowfullscreen
    06/11/2013 14:39:44
    17/01/2015 16:31:33
    110.35 Kb
    -1208992165
    \\DISKSTATION\WEB\forum/library/XenForo/Install/Upgrade/1020070-120.php
    L1 <iframe src="|http://www.metacafe.com/embed/{$id:digits}/" width="500" height="300" allowFull
    30/08/2013 06:05:40
    17/01/2015 16:32:43
    884 b
    -515638460
    \\DISKSTATION\WEB\forum/library/XenForo/Install/Upgrade/1020070-120.php
    L1 <iframe width="500" height="300" src="|http://www.liveleak.com/ll_embed?i={$id}" frameborder="0" allowfullscreen
    30/08/2013 06:05:40
    17/01/2015 16:32:43
    884 b
    -515638460
    \\DISKSTATION\WEB\forum/library/InfisJSC/VKontakte/MatchCallback.php
    L1 <iframe src="|http://vk.com/video_ext.php?oid=' . $keys[0] . '&id=' . $keys[1] . '&hash=' . $


    Двойное расширение, зашифрованный контент или подозрение на вредоносный скрипт. Требуется дополнительный анализ: (5)
    \\DISKSTATION\WEB\forum/library/config.php.default
    ".php."
    30/08/2013 06:05:40
    17/01/2015 15:54:33
    208 b
    1876571445
    \\DISKSTATION\WEB\forum/library/config.php.default
    ".php."
    30/08/2013 06:05:40
    17/01/2015 15:54:33
    208 b
    1876571445
    \\DISKSTATION\WEB\forum/library/Zend/Service/LiveDocx/MailMerge.php
    L378 ...) or setRemoteTemplate() first', 0, $e ); } return |base64_decode($result->RetrieveDocumentResult); } /** * Return WM
    30/08/2013 06:05:40
    17/01/2015 16:54:35
    31.09 Kb
    685621996
    \\DISKSTATION\WEB\forum/library/Zend/Service/LiveDocx/MailMerge.php
    L378 ...) or setRemoteTemplate() first', 0, $e ); } return |base64_decode($result->RetrieveDocumentResult); } /** * Return WM
    30/08/2013 06:05:40
    17/01/2015 16:54:35
    31.09 Kb
    685621996
    \\DISKSTATION\WEB\forum/library/Zend/Service/LiveDocx/MailMerge.php
    L236 ...) or setRemoteTemplate() first', 0, $e ); } return |base64_decode($result->RetrieveDocumentResult); } public function
    30/08/2013 06:05:40
    17/01/2015 16:54:35
    31.09 Kb
    685621996


    Предупреждения
    В этих файлах размещен код по продаже ссылок. Убедитесь, что размещали его вы: (4)
    Путь Дата создания Дата модификации Размер CRC32
    \\DISKSTATION\WEB\forum/library/Zend/Feed/Reader/Entry/Atom.php
    L234 ... { if (!array_key_exists('links', $this->_data)) { $this|->getLinks(); } if (isset($this->_data['links'][$index])) {
    30/08/2013 06:05:40
    17/01/2015 17:02:15
    9.59 Kb
    -2112727584
    \\DISKSTATION\WEB\forum/library/Zend/Feed/Reader/Entry/Rss.php
    L432 ... { if (!array_key_exists('links', $this->_data)) { $this|->getLinks(); } if (isset($this->_data['links'][$index])) {
    30/08/2013 06:05:40
    17/01/2015 17:02:15
    18.19 Kb
    -1881786685
    \\DISKSTATION\WEB\forum/library/Zend/Feed/Reader/Extension/Atom/Entry.php
    L361 ... { if (!array_key_exists('links', $this->_data)) { $this|->getLinks(); } if (isset($this->_data['links'][$index])) {
    30/08/2013 06:05:40
    17/01/2015 17:08:52
    17.92 Kb
    -806564854
    \\DISKSTATION\WEB\forum/library/Zend/Locale/Data/en.xml
    L912 ...>São Tomé and Príncipe</territory> <territory type="SU">Union of Soviet So|cialist Republics</territory> <territory type="SV">El Salvador</territory>
    30/08/2013 06:05:40
    17/01/2015 16:48:06
    151.63 Kb
    -1342075554


    В этих файлах размещены невидимые ссылки. Подозрение на ссылочный спам:

    \\DISKSTATION\WEB\forum/js/sortable/index.html

    Спасибо!
    ЗЫ Сорри, спойлера нет.
     
  7. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    999
    Симпатии:
    546
    Версия XF:
    1.4.4
    TOP-ic, все что найдено - ложные срабатывания. Ничего там такого нет. Ох уж эти авторы скриптов...
     
    Mirovinger и TOP-ic нравится это.
  8. Romchik®

    Romchik® The Power of Dreams Команда форума

    Регистрация:
    26.09.10
    Сообщения:
    5.740
    Симпатии:
    5.269
    Версия XF:
    1.5.11
    А это что?
    На панели инструментов кнопка "Вставить..." и затем "Спойлер"...
     
    TOP-ic нравится это.
  9. SrDEN

    SrDEN Местный

    Регистрация:
    29.08.14
    Сообщения:
    114
    Симпатии:
    52
    Версия XF:
    1.5.0
    Каспер сам нашел, я не чего не инициировал :) Мне как-то дали бекап сайта с логами, чтоб я нашел точку входа и по возможности бекдоры, и при сохранении на комп, он сам просканировал архив и нашел.

    kasper.png

    но раз на раз не приходится, если автор закладки шарит в двиге, он может штатными средствами сделать потайной ход, без всяких там попсовых вебшелов и в большом объеме кода не то что сканерами, руками мало шансов найти :)
    В вашем случае у айболита возникли всего лишь подозрения и это лучше чем нечего :)
     
  10. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    Если уж на то пошло, то ни один сканер не ищет что-либо в шаблонах, так как шаблоны хранятся в базе данных. Получается, что в шаблоны можно какой угодно шел залить, а найти его будет достаточно сложно.
     
    Mirovinger нравится это.
  11. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    999
    Симпатии:
    546
    Версия XF:
    1.4.4
    infis, скачать дамп шаблона и просканировать xml.
     
  12. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    Я это знаю. Я же написал "достаточно сложно". Кстати, лучше не дампом делать, а собственным скриптом, который создаст файлы с HTML кодом, убрав экранирование. Тогда анализатору будет проще. Помимо шаблонов можно внедрить вредоносный код в уже скомпилированный шаблон. Это дополнительно усложняет обнаружение такого кода. В идеале надо для всех шаблонов вычислять контрольные суммы, после компиляции шаблонов нужно вычислять контрольные суммы и для скомпилированных. Тогда проверку можно будет делать уже только для тех, у которых поменялась контрольная сумма. Ну и т.д. и т.п.
    В общем все не так уж и плохо, но для параноиков есть простор для воображения :)
     

Поделиться этой страницей