• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.
    Помогите модератору этого раздела wpt лично.

Помощь Поиск и выявление "стучалок": Или о том как дудки вам дудки

mrLom

♒︎
Регистрация
24 Дек 2014
Сообщения
938
Реакции
1.936
Итак, тема давно назревала, в итоге я решил таки вынести ее в отдельную ветвь.
Правила простые: поменьше флуда, старайтесь писать по теме, что бы не мусорить в теме, просто лишний раз читайте внимательно где находятся подобные стучалки и не ленитесь пользоваться поиском по скриптам. Ищущий найдет.

Студия Сотбит с решениями sotbit.missshop и sotbit.mistershop:
sotbit.missshop/lang/ru/include.php
PHP:
$MESS['YANDEX']  = '<!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
    (w[c] = w[c] || []).push(function() {
        try {
            w.yaCounter22491013 = new Ya.Metrika({id:22491013,
                    webvisor:true,
                    clickmap:true,
                    trackLinks:true,
                    accurateTrackBounce:true});
        } catch(e) { }
    });
 
    var n = d.getElementsByTagName("script")[0],
        s = d.createElement("script"),
        f = function () { n.parentNode.insertBefore(s, n); };
    s.type = "text/javascript";
    s.async = true;
    s.src = (d.location.protocol == "https:" ? "https:" : "http:") + "//mc.yandex.ru/metrika/watch.js";

    if (w.opera == "[object Opera]") {
        d.addEventListener("DOMContentLoaded", f, false);
    } else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="//mc.yandex.ru/watch/22491013" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
';
$MESS['GOOGLE']  = "
<script type='text/javascript'>
  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-45850056-1']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
  })();
</script>
";

Решение: вычистить содержимое в кавычках, либо сразу же заменить реквизиты счетчиков на свои.

Студия Аспро, замечено во всех решениях по аналогии:
Все непотребства находятся в /bitrix/modules/ а далее в соответствии с решением aspro.(mshop, kshop, ishop, tires, optimus и т.д., во всех решениях студии)
Учтите, путь тоже может меняться, поэтому пользоваться поиском никто не отменял!
В старых версиях:
/aspro.mshop/include.php
В новых версиях:
/aspro.mshop/classes/general/CMShop.php
вытаскиваю отдельные части кода:
PHP:
                $socket = fsockopen('bi.aspro.ru', 80, $errno, $errstr, 10);
  $data = json_encode(
  array(
  "client" => "aspro",
  "install_date" => date("Y-m-d H:i:s"),
  "solution_code" => self::moduleID,
  "ip" => $serverIP,
  "http_host" => $_SERVER["HTTP_HOST"],
  "bitrix_version" => SM_VERSION,
  "bitrix_edition" => $APPLICATION->ConvertCharset($edition, SITE_CHARSET, "utf-8"),
  "bitrix_key_hash" => md5(CUpdateClient::GetLicenseKey()),
  "site_name" => $APPLICATION->ConvertCharset(COption::GetOptionString("main", "site_name"), SITE_CHARSET, "utf-8"),
  "site_url" => $APPLICATION->ConvertCharset(COption::GetOptionString("main", "server_name"), SITE_CHARSET, "utf-8"),
  "email_default" => $APPLICATION->ConvertCharset(COption::GetOptionString("main", "email_from"), SITE_CHARSET, "utf-8"),
  "action" => $action,
  )
  );
  fwrite($socket, "POST /rest/bitrix/installs HTTP/1.1\r\n");
  fwrite($socket, "Host: bi.aspro.ru\r\n");
  fwrite($socket, "Content-type: application/x-www-form-urlencoded\r\n");
  fwrite($socket, "Content-length:".strlen($data)."\r\n");
  fwrite($socket, "Accept:*/*\r\n");
  fwrite($socket, "User-agent:Bitrix Installer\r\n");
  fwrite($socket, "Connection:Close\r\n");
  fwrite($socket, "\r\n");
  fwrite($socket, "$data\r\n");
  fwrite($socket, "\r\n");
  $answer = '';
  while(!feof($socket)){
  $answer.= fgets($socket, 4096);
  }
  fclose($socket);

/aspro.mshop/admin/mc.php
Фрагмент кода открывает фрейм сайта студии, а это вам знаете ли рефка:
PHP:
  <iframe src="https://aspro.ru/mc/?<?=$m?>"></iframe>
Благовидно, но сдаст вашу копию с потрохами.

Решение: Полностью удалить представленные части кода — формирование статистики в сокет и фрейм.
Либо заменить bi.aspro.ru на localhost — тем самым отправим статистику в никуда.

В разделе Black list - Жалоба на @mrLom 460$
 
Последнее редактирование модератором:

Тоже вижу их у себя на хостинге:
/bitrix/modules/aspro.optimus/classes/general/_COptimus.php.back1.0.0
/bitrix/modules/aspro.optimus/classes/general/COptimus.php

Заменил bi.aspro.ru на localhost , но я так понимаю, статистика все равно будет передаваться?

P.S. заметил в админке, иногда появляются новые пользователи с бредовыми никами и почтой на @example.com. - это имеет отношение к делу?
1) /bitrix/modules/aspro.optimus/classes/general/_COptimus.php.back1.0.0 - так понял это архивы предыдущих версий и их можно удалить?
2) так получается, вместо /bitrix/modules/aspro.mshop/classes/general/CMShop.php теперь /bitrix/modules/aspro.optimus/classes/general/COptimus.php , т.к. после установки aspro.optimus версии 1.0.7 файла CMShop.php не нашел, а соответствующий код открывающий сокет имеет файл COptimus.php.
3) заменив bi.aspro.ru на localhost - статистика, я как я понял из вышенаписанного поста передается в никуда(т.е. на деревню дедушке) - т.е. по факту адресату bi.aspro.ru не передается.
4) тоже возник вопрос(после установки какого-то модуля) откуда пользователи типа - "Анонимный пользователь anonymous_блаблабла@example.com"
 
Последнее редактирование:
У меня подобные выгружались из 1с, когда стояла галка создавать те заказы которых нет в бус.
 
4) тоже возник вопрос(после установки какого-то модуля) откуда пользователи типа - "Анонимный пользователь anonymous_блаблабла@example.com"

Работает Магазин на aspro.mshop , в течение месяца наблюдал таких пользователей , пробовал удалять - появляются они у нас в момент оформления заказа , возможно это временный пользователь для работы покупки без регистрации , если его не удалить новый не появляется, пользователь по умолчанию деактивирован.
 
4) тоже возник вопрос(после установки какого-то модуля) откуда пользователи типа - "Анонимный пользователь anonymous_блаблабла@example.com"
Работает Магазин на aspro.mshop , в течение месяца наблюдал таких пользователей , пробовал удалять - появляются они у нас в момент оформления заказа , возможно это временный пользователь для работы покупки без регистрации , если его не удалить новый не появляется, пользователь по умолчанию деактивирован.
Это пользователи, которые сделали заказ в один клик. У многих эта функция реализована по разному. Кому-то предлагают указать почту и телефон, а кому-то только телефон.
В Аспро решили только по телефону запрос делать, остальное используется с фейковыми адресами.
Во внешних почтовиках, в часности exchange или kerio есть возможность указать на какой ящик принимать сообщения если не существует отправителя.

И это тема не стучалок!
 
А в решениях от redsign есть стучалки (redsign.flyaway)?
 
А в решениях от redsign есть стучалки (redsign.flyaway)?
В решениях redsign стучалок не находил!

Ну а всем очередной совет. Используйте плагин для Firefox — RequestPolicy. Оно вам лишний раз запретит скачивание с внешних серверов в рамках сайта который вы посещаете.
Из плюсов: быстро освоитесь, будете знать кто куда стучит, будут более чистые посещаемые ресурсы.

В дополнение — каждому админу Битрикс стоит внести в локальный hosts запись:
127.0.0.1 bitrix.info

Иш ты масленица — собирает статистику, даже в админке!
 
В модуле step2use.lastmodified есть такой кусок:
PHP:
$site = $_SERVER["SERVER_NAME"];
$mail = urlencode(COption::GetOptionString("main", "email_from"));
$time = urlencode(date("d.m.Y H:i:s"));
$module = self::MODULE_ID;
$url = "https://atlant2010.ru/module_statistics.php?key=7PkP7wp0H50&site=".$site."&email=".$mail."&time=".$time."&module=".$module;
http_request($url);

Рекомендации внести на сервере адрес сайта разработчика в hosts
 
Последнее редактирование модератором:
step2use.lastmodified — да, модуль хоть и старый, но как оказалось вполне себе интересный. Занулил, вырезал стучалки, опубликовал тут:
Для просмотра ссылки Войди или Зарегистрируйся
 
Запомните простую истину с 1 июля вступил в силу закон о персональных данных (вернее его более жесткая редакция) И когда компания собирает скрытно ваш email, телефон и прочее, она его нарушает. Вывод все эти стучалки ВНЕ ЗАКОНА и вы смело можете наехать на на них гораздо проще и сильнее чем они на вас. Кому хочется можете на основе этих данных отправлять претензию им о незаконном сборе персональных данных и копию в Роскомнадзор. Я думаю будет очень весело)
 
Назад
Сверху