Webboard

Pełna wersja: Włamanie za pomocą stylu?
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
wersja skryptu MyBB: 1.8
adres forum: unt4u.eu
na czym polega problem (screen, opis, komunikaty):

Posiadam dziwny problem. Od kilku godzin zmieniając nowy styl na forum, który został "zakupiony" za 30zł, dzieją się dziwne rzeczy. Przy zabawie przy nagłówku zmieniło się coś w headerinclude i nie odświeżał się DVZ, potem pojawił się napis w divach "xd", w logach strony nic nie ma na temat logowania się przez kogoś innego, a nikt inny po za mną NA PEWNO się nie "bawił" na forum.

I moje pytani jest czy można się włamać w jakiś sposób za pomocą wgrania stylu .php na forum?

Weryfikacja plików znalazła takie coś:
jscripts/sceditor/textarea_styles/jquery.sceditor.buttons.css Zmodyfikowany
jscripts/sceditor/editor_themes/buttons.css Zmodyfikowany
inc/functions_indicators.php Zmodyfikowany
Stylu php?
Wybacz .xml
Ale co za pliki php wgrywałeś? Style mają postać pliku xml.

Czy za pomocą wgrania pliku php można się włamać na forum - tak. Do póki nie zobaczymy co to za plik php, to nic nie będziemy wiedzieć.

update
Może po prostu kod po edycji dawał taki efekt?

Na pewno teraz masz ustawiony ten "zhackowany" styl? Nie jest on dostępny publicznie za darmo?
Wątpię, po edycji headera w indexie pojawiało się:

<div style="width:1040px!important;">
xd
</div>

na dole forum zmiana stylu na "Unt4u"
Nie rozumiem problemu.
Kod:
<div style="width:1040px!important;">
    xd
</div>
nie znalazłem nigdzie takiego diva.

Odpowiadając na pytanie
(03.07.2016, 20:29)rzeczowy napisał(a): [ -> ]I moje pytani jest czy można się włamać w jakiś sposób za pomocą wgrania stylu .xml na forum?

da się wyrządzić pewne szkody, jednakże wątpie, by ktoś sprzedawał taki styl i niszczył sobie opinie.
Usunąłem tego diva, tylko nie rozumiem czemu zmieniając jedno zmieniało się coś innego w innym miejscu. Dlatego moja teza z włamaniem, bo kompletnie tego nie rozumiem.
To poducz sie htmla i css, nie wstawiaj niepewnego kodu na strone i nie wstawiaj kodu php w szablon.
(03.07.2016, 20:59)rzeczowy napisał(a): [ -> ]zmieniając jedno zmieniało się coś innego w innym miejscu.

Za mało szczegółów, co zmieniłeś, na co, gdzie?

Możesz także postawić forum np. na cba.pl wgrać tam ten styl zrobić to co zrobiłeś i zobaczyć, czy ten div znowu się pojawi.
Wrzuciłem ten sam styl z inną nazwą i tego diva nie ma.

Bawiłem się buttonami w headerze a ten div pojawił się w indexie.
Tak jak koledzy napisali, postaw forum na cba, wgraj styl, wykonaj te same kroki co na głównym forum i sprawdź czy to samo wyskoczy.

Instalowałeś jakieś pluginy do tego stylu?
Jest taka możliwość, że instalując plugin dałeś mu "cichy dostęp" do mysql, konta administratora i inne, wszystko jest możliwe, wystarczy, że podmieni ci tym pluginem stronę logowania do ACP i logując się wysyłasz swoje dane do jego bazy.

Podeślij mi wszystkie pliki w formacie *.php, które od niego dostałeś na priv albo tutaj, zajrzę do nich.
Dodatkowo możesz wprowadzić zmiany opisane w tym poradniku
https://webboard.pl/thread-65744.html
Przejrzałem pliki i nie ma tam żadnej różnicy pomiędzy oryginałem. Sprawdź ten styl na innym forum.
Dzięki.
Masz zainstalowany plugin php in templates?
Jeśli tak przejrzyj plik xml i sprawdź czy nie ma w nim kodu php (wyszukaj znacznik <?php).