• DONATE to NULLED!
    Вы можете помочь Форуму и команде, поддержать финансово.
    starwanderer - модератор этого раздела будет Вам благодарен!

Вопрос Какие бывают уязвимости в нуленных темах/плагинах и как их устранить?

lancelot7

Создатель
Регистрация
30 Июл 2010
Сообщения
42
Реакции
0
Опасно ли вообще ставить такие дела на свой сайт? И как насчет авторских прав? Всякие звонилки-стучалки можно отключить?
 
Уязвимостей только три вида:

1. Стучалка-перделка. Отправляет создателю инфу про базу, админский доступ, ftp или какие там доступы могут юзаться движком
2. Невидимые фреймы. Всякие ссылки, майнинг, вирусня и т.п.
3. Веб-шелл.

Особо этим богаты фришно-платные шаблоны Wordpress
 
насчет п.1 я понял, но фтп они точно не могут найти, если он не записан где-то в файлах сайта.
п.2 не так страшен, а вот насчет 1 и 3 вопрос - как это все почистить? Есть ли сервис/плагин/софт какой? Или ручками тока?:)
 
насчет п.1 я понял, но фтп они точно не могут найти, если он не записан где-то в файлах сайта.
п.2 не так страшен, а вот насчет 1 и 3 вопрос - как это все почистить? Есть ли сервис/плагин/софт какой? Или ручками тока?:)
Зачем им ftp данные, если надо будет то сольют все данные да еще вдобавок и соседей поковыряют через ваш сайт (на шаред хостингах)
 
Зачем им ftp данные, если надо будет то сольют все данные да еще вдобавок и соседей поковыряют через ваш сайт (на шаред хостингах)

Потому что есть такая хрень, как "Safe Mode", которая накладывает очень большие ограничения на работу скриптов и шаблонов, которые установлены через Web.

насчет п.1 я понял, но фтп они точно не могут найти, если он не записан где-то в файлах сайта.
п.2 не так страшен, а вот насчет 1 и 3 вопрос - как это все почистить? Есть ли сервис/плагин/софт какой? Или ручками тока?:)

Шелы ищутся через скрипты или программы, наподобии AI-Bolit, либо вручную через поиск по регуляркам.
 
Стучалка может быть обычным файлом стилей, картинкой, js файлом, который загружается с удаленного сервера.
Могу сюда добавить, что есть скрытые бекдоры, которые вы не сможете отследить с помощью сервисов и антивирусов. Это в своем роде специально созданные уязвимости в продукте, такие я видел на складчине и у в wpnull магазине. Если источник откуда вы скачали продукт знает, на каком домене вы активировали плагин или тему, то он легко может залить шелл например или состарить плагин, чтобы вы купили обновление.
 
Стучалка может быть обычным файлом стилей, картинкой, js файлом, который загружается с удаленного сервера.
Могу сюда добавить, что есть скрытые бекдоры, которые вы не сможете отследить с помощью сервисов и антивирусов. Это в своем роде специально созданные уязвимости в продукте, такие я видел на складчине и у в wpnull магазине. Если источник откуда вы скачали продукт знает, на каком домене вы активировали плагин или тему, то он легко может залить шелл например или состарить плагин, чтобы вы купили обновление.
то есть, вы хотите сказать, что вирустотал не сможет определить все стучалки и бэкдоры?
 
то есть, вы хотите сказать, что вирустотал не сможет определить все стучалки и бэкдоры?
Ни за что и никогда не сможет. Там интеллект нужен и не искусственный, а желательно человеческий. А virustotal - это всего лишь сборник антивирусов, работающих по известным сигнатурам вирусов и троянов. Стоит изменить один байт в такой последовательности и антивирус ничего не увидит. Поведенческого анализа там нет вообще.

Что же касается стучалок, то практически в любом плагине поищите функции wp_remote_post и wp_remote_get. Автору на блюдечке выкладывается информация о домене сайта, где плагин активирован.

Даже, если прибить такие запросы, то в темах и плагинах есть обращения к справке, картинкам, функциям на сервере продавца. Это можно отследить по логу сервера.
Правда, вместо доменного имени будет IP.
 
Последнее редактирование:
Что же касается стучалок, то практически в любом плагине поищите функции wp_remote_post и wp_remote_get. Автору на блюдечке выкладывается информация о домене сайта, где плагин активирован.
на днях видел примерно такую структуру:
PHP:
w'.'p'.'_'.'r'.'e'.'m'.'o'.'t'.'e'.'_'.'g'.'e'.'t
что более усложняет поиск и приходится вручную все файлы пересматривать

за этот год очень много повстречал встроенных бэкдоров в файле class.plugin-modules.php, его вставляют в самый верх файла, который при активации плагина или темы, сразу себя устанавливает, бывало, что встраивался во все темы
 
Назад
Сверху