Открыть Ответить

Сайт блокируется при установке скрипта чата

12.11.2015 12:52:1312.11.2015 12:58:14

на сайт под ОпенСлаед нужно установить чат типа живосайт.

Инструкции там простые.
вставить код

<script type='text/javascript'>
(function(){ var widget_id = '4WlQmbfEUx';
var s = document.createElement('script'); 
s.type = 'text/javascript'; s.async = true; 
s.src = '//code.jivosite.com/script/widget/'+widget_id;
 var ss = document.getElementsByTagName('script')[0]; 
ss.parentNode.insertBefore(s, ss);})();</script>

перед </body>

Ошибка в следующем:
При запуске сайт блокируется с сообщением попытка взлома и не пускает ни на сайт ни в админку.
Как это обойти?

Версия системы: Open SLAED 1.*
Версия PHP: 5
Сервер: Сервер в интернете

Сообщение Профиль Сайт

4.09

13.11.2015 17:26:55

1. Проверьте лог файлы безопасности, что пишет туда система?
2. Попробуйте подключить этот скрипт отдельным файлом.

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...

Сообщение Профиль Сайт

3.24

Администратор

13.11.2015 18:43:3013.11.2015 18:44:22

1. Проверьте лог файлы безопасности, что пишет туда система?
2. Попробуйте подключить этот скрипт отдельным файлом.

в логе:
Попытка взлома: URL in COOKIE - jv_refer_4WlQmbfEUx = http://pallada-tour.ru/admin.php?op=module
IP Адрес: 81.4.243.164
Пользователь: Guest
Ссылка: /contact.html
Браузер: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Дата размещения: 12.11.15 - 13:31:49
---
Попытка взлома: URL in COOKIE - jv_refer_4WlQmbfEUx = http://pallada-tour.ru/admin.php?op=module
IP Адрес: 81.4.243.164
Пользователь: Guest
Ссылка: /content.html
Браузер: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Дата размещения: 12.11.15 - 13:31:57
и т.д...

Отдельным файлом имеется ввиду через блоки добавить новый файл или в index.php прописать инклюд?

Версия системы: Open SLAED 1.*

Сообщение Профиль Сайт

4.09

13.11.2015 19:04:5913.11.2015 19:06:02

Возможно что скрипт генерирует данные Cookies на Вашем компьютере...

Очистить Cookies браузера не пробовали?
Как реагирует система при использовании других браузеров?

Создайте отдельный файл, к примеру file.js с соответствующим кодом. Далее, можно непосредственно в index.html файле Вашей темы подключить данный файл.

Перед: </head>
По типу: <script src="plugins/system/file.js"></script>

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...

Сообщение Профиль Сайт

3.24

Администратор

13.11.2015 22:25:05

Возможно что скрипт генерирует данные Cookies на Вашем компьютере...

Очистить Cookies браузера не пробовали?
Как реагирует система при использовании других браузеров?

Создайте отдельный файл, к примеру file.js с соответствующим кодом. Далее, можно непосредственно в index.html файле Вашей темы подключить данный файл.

Перед: </head>
По типу: <script src="plugins/system/file.js"></script>

пробовал хром и оперу.
в хроме использовал обычный режим и режим инкогнито.

прописал файл в хеаде, и перед боди. В обоих случаях чат не запустился. путь в скрипте прописан корректно

Сообщение Профиль Сайт

4.09

14.11.2015 11:24:39

Попробуйте в файле темы оформления, как описано выше вставить код перед </body>

Проблема с безопасностью осталась?

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...

Сообщение Профиль Сайт

3.24

Администратор

14.11.2015 15:18:47

Попробуйте в файле темы оформления, как описано выше вставить код перед </body>

Проблема с безопасностью осталась?

Удалил скрипт подключения файла, добавил код перед /боди.

Обновил страницу: попытка взлома.

Версия системы: Open SLAED 1.*

Сообщение Профиль Сайт

4.09

14.11.2015 17:55:4614.11.2015 17:57:06

В таком случае следует отключить проверку URL в Cookies, в функции безопасности.

Откройте файл: function/security.php
За комментируйте данный участок, строка 250, код:

if (preg_match("#^(http\:\/\/|ftp\:\/\/|\/\/|https:\/\/|php:\/\/|\/\/)#i", $var_value)) hack_report("URL in COOKIE - ".$var_name." = ". $var_value);

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...

Сообщение Профиль Сайт

3.24

Администратор

14.11.2015 19:13:38

закоментировал. вроде работает.

Спасибо.

Чем грозит данное послабление безопасности?

Версия системы: Open SLAED 1.*

Сообщение Профиль Сайт

4.09

15.11.2015 15:53:2915.11.2015 15:55:17

Система проверяет содержание Cookies на присутствие в них ссылок. В принципе снижение уровня безопасности незначительное и критическим не является. Это больше теоретическая возможность взлома чем практическая. За последние 10 лет успешных попыток взлома через данную возможность не наблюдалось.

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...

Сообщение Профиль Сайт