Doorway blog

В про?лом посте писал про взломы сайтов на арбатеке и валуехосте. Беру свои слова обратно (хотя у арбатека на 20 сайтов нормальных бэкапов не на?лось опять!). Как выяснилось - похитили ftp подключения от сайтов.

Валуехост просветил:
В сети интернет появился новый тип вируса - Downloader.JS.Psyme.ct (возможны другия названия), распространяющий себя через веб-сайты. Схема заражения довольно проста: достаточно зайти на зараженный сайт и при стандартных настройках безопасности браузера, вирус автоматически установится на компьютере пользователя. После этого он начинает отслеживать логины и пароли от FTP, высылая их злоумы?ленникам. Собрав определенное количество паролей, запускается специальная программа, которая подключается по FTP к каждому сайту и встраивает в начало или конец страниц собственный html-код.

А еще валуехост выдал логи ftp-доступа (у арбатека тоже таковых не на?лось) и дествительно этот … заходил по фтп и менял файлы.

Вот его IP: 195.189.226.234

К сожалению с какого сайта заходил так и не выяснил (а там их аж 69) =)

Так что ребята. Просканируйте себя на вирусы, а то … тереть все руками.

PS: когда бэкапите битрикс без каталога bitrix не забудьте слить оттуда templates. ?наче может случится так, что придется заново писать ?аблоны (потому что арбатек как обычно не найдет бэкапов =)) )

Это так с целью набивки контентом. Кому интересно - читаем =)

Структура сайта
5.9.0
- Реализованна поддержка визуального редактирования в форме редактирования ?аблона сайта.
- Реализованна возможность вставки Flash-ролика кнопкой “Вставить Flash” в стандартной панели инструментов.
- Добавлена функция вставки разрыва страницы для печати.
- Добавлена функция вставки тега разделителя страниц <BREAK /> (может использоваться для разбиения на страницы при выводе боль?ого текста).
- ?справлен механизм вывода окна ожидания при загрузке редактора.
- ?справлены о?ибки отображения параметров компонентов.
- ?справлен ряд интерфейсных о?ибок редактора.
- По умолчанию в редакторе активирован режим показа границ таблиц.
- При редактировании документа через документооборот реализованна возможность сохранения PHP кода.
- Для разработчиков: реализованно API добавления панелей инструментов и кнопок.

Поиск

5.9.0
- Значительно переработан вне?ний вид компонентов 2.0 bitrix:search.form и bitrix:search.page.
- В компонент bitrix:search.form добавлен ?аблон с кнопкой поиска, расположенной справа.
- ?справлен перевод сообщений модуля.

Главный модуль
5.9.0
- В форме редактирования ?аблона сайта появилась возможность визуального редактирования ?аблона (требуется обновление редактора до версии 5.9.0).
- В форме редактирования ?аблона сайта появилась новая закладка “Стили ?аблона” и возможность редактировать описания стилей на закладке “Стили сайта”.
- Улуч?ен интерфейс компонентов в режиме редактирования сайта:
- переработан диалог “Редактировать параметры компонента”;
- переработан диалог “Копировать ?аблон”;
- добавлена кнопка “Редактировать CSS-файл ?аблона”;
- добавлена кнопка “Очистить ке? компонента”.
- В компоненты добавлен автоматический режим ке?ирования. Управление ке?ированием компонентов и очистка ке?а вынесены на отдельную страницу “Управление ке?ем” в меню “Настройки продукта”.
- Новый компонент “Управляемая регистрация пользователя” (main.register).
- Новый компонент “Переключатель сайтов” (main.site.selector).
- Новый компонент “Включаемая область” (main.include).
- Новый компонент “Меню сайта” (menu).
- Новый компонент “Цепочка навигации” (breadcrumb).
- Новый системный компонент “Сообщение об о?ибке” (system.show_message). Компонент вызывается из функций ShowMessage/ShowError/ShowNote, что позволяет кастомизировать вне?ний вид выводимых сообщений.
- Обновлены компоненты карты сайта и профиля пользователя (main.map, main.profile).
- Обновлены системные компоненты авторизации и навигации (system.auth.*, system.pagenavigation).
- ?справлено некорректное поведение механизма распределения куков по доменам для некоторых браузеров.
- Разработчикам: в CMain добавлено семейство функций AddHeadString(), GetHeadStrings(), ShowHeadStrings() для добавления и вывода произвольных строк в ?аблоне сайта отложенными функциями.

?нформ. блоки
5.9.0
- Значительно переработан вне?ний вид и функциональность компонентов 2.0.
- В административной части фильтры списков сохраняются в сессии, а не в параметрах URL.
- Для значений множественных свойств всех типов добавлена кнопка "Добавить".
- В списке элементов при установленном модуле документооборота фильтр по статусам рас?ирен комбинациями статусов. Например "12" - выбрать элементы в статусе Опубликован/Черновик.
- Программистам: добавлена поддержка кастомных вкладок для формы редактирования элемента. Событие OnAdminIBlockElementEdit.
- Программистам: в методе CIBlockElement::GetProperty добавлена сортировка по BEPE.SORT (enum_sort).
- Программистам: в метод CIBlockElement::GetList в параметр arSelect добавлена обработка IBLOCK_NAME
- Программистам: фильтр по активным элементам метода CIBlockSection::GetList теперь учитывает не только дату, но и время.
- При импорте элементов добавлена дополнительная проверка прав.
- ?справлена о?ибка смены типов свойств при редактировании информационного блока.
- ?справлена о?ибка сохранения значений свойств по умолчанию.
- ?справлена о?ибка редактирования свойства “Привязка к пользователю” в общем списке элементов.

5.9.1
- Добавлены компоненты: iblock.element.add, iblock.element.add.form, iblock.element.add.list.

Забавно, всегда думал, что капча там серьезная, а она оказалась дырявой =(
В кратце: в имени генерируемой битриксом капчи содержится код, который позволяет ее рас?ифровать, точнее то, что отображается на капче содержится за?ифрованным в ее имени. Таблицы рас?ифровки приведены.

http://www.xakep.ru/post/31268/default.asp

PS: А нахеры все-таки не дураки

Наверно, вы сталкивались с невозможностью добавления нескольких картинок в инфоблок или с невозможностью подгружать что-либо в зависимости от просматриваемого элемента.

Есть в битриксе формат свойства “привязка к элементам”, в которой можно хранить id нужного элемента (или несколько), да еще при заполнении прикручен удобный поисковичек.

Дак вот, выдирая свойство можно по этому ID подгрузить еще один инфоблок. Ну а даль?е: кто работал - знает, что ему делать =)

Тут такое открытие случилось. Даже специальную категорию создал.

Оказывается в битриксе существуют отложенные функции.
?з хелпа:

Алгоритм работы данной технологии:
1. любой исходящий поток из PHP скрипта буферизируется
2. как только в коде встречается одна из следующих функций:

• CMain::ShowTitle
• CMain::ShowCSS
• CMain::ShowNavChain
• CMain::ShowProperty
• CMain::ShowMeta
• CMain::ShowPanel

либо другая функция обеспечивающая откладывание выполнения какой либо функции (отложенной), то:
2.1 весь буферизированный до этого контент запоминается в очередном элементе стэка A
2.2 в стэк A добавляется пустой элемент, который в дальней?ем будет заполнен результатом выполнения отложенной функции
2.3 имя отложенной функции запоминается в стэке B
2.4 буфер очищается и буферизация снова включается
Таким образом существует стэк A, в котором находится весь контент страницы разбитый на части. В этом же стэке есть пустые элементы предназначенные для их дальней?его заполнения результатами отложенных функций.
Также существует стэк B, в котором запоминаются имена и параметры отложенных функции в порядке их следования в коде.

3. в конце страницы в служебной части эпилога выполняются следующие действия:
все отложенные функции из стэка B начинают выполняться одна за другой
результаты их выполнения вставляются в специально предназначенные для этого места в стэк A
весь контент из стэка A “склеивается” (конкатенируется) и выводится на экран

Таким образом, данная технология позволяет фрагментировать весь контент страницы, разбивая его на части с помощью специальных функций обеспечивающих временное откладывание выполнения других функций (отложенных функций). В конце страницы все отложенные функции выполняются одна за другой и результаты их выполнения вставляются в отведенные для этого места внутри фрагментированного контента страницы. Затем весь контент склеивается и выводится в поток (отправляется браузеру посетителя сайта).

Короче говоря, нужно было сделать чтобы тайтл браузера и тайтл просто выводились разными. Битрикс в админке предлагает такую возможность и прописывает некоторые параметря в страницу. Причем после этого стандартная функция showtitle начинает выводить доп заголовок, заданный через упомянутые вы?е дополнительные параметры, а на settitle ей становится насра.. пофигу.

Дак вот, оказывается чтобы на settile ей было не насра.. нужно делать так:
showtitle() - выведет дополнительный заголовок
showtitle(false) - выведет заголовок заданный в settitle

Все.