Я не пробывал версию из той ветки на которую ты дал линк, но то что выложено здесь, как минимум проверяет обновление на сайте пилотов + грузит gif с их же сайта.
Установи на локалке и посмотри логи фаера.
Код:
11:38:30 HTTPD.EXE www.pilotgroup.net/feeder/realestate/version.php Текст 169
11:38:27 HTTPD.EXE www.pilotgroup.net/feeder/realestate/forum.php Текст 19756
11:38:11 OPERA.EXE www.pilotgroup.net/feeder/realestate/images/icon_topic.gif Изображение 234
11:38:09 HTTPD.EXE www.pilotgroup.net/feeder/realestate/version.php Текст 169
11:38:06 HTTPD.EXE www.pilotgroup.net/feeder/realestate/forum.php Текст 19756
Чем и как смотрел? Пожалуйста, подскажи.
Сейчас просидел над скриптом в режиме исследования (кстати, что из этой ветки, что из приведённой мной: скрипт идентичен - по крайней мере по размеру, md5 файлов не сверял)
Что могу сказать:
скрипт никуда и ничего по почте не отсылает, написал ловушку на отсылку почты для функции SendMail (includes/functions_mail.php) - это точно единственная функция, которая инициализирует почтовые сессии, сэмулировал нагрузку трафика с помощью ab,siege и телепорта
) - в файле ничего лишнего не оказалось.
На всякий пожарный (кто его знает? может еще что-то, отправляющее почту, пропустил), посмотрел логи почты, ничего лишнего, подозрительного за шесть часов никуда не ушло.
Далее, гиф на сайте пилота и прочее тоже видел, в рсс ленте (Клиент - Новости - /news.php), после удаления из админки самой рсс ленты вроде ничего больше не встречал. Попробуй запретить рсс ленту в админке и проверь еще раз.
Далее: взял ieHttpHeaders - побегал по страничкам. Сохранил файл заголовков с сайта. Проверил на наличие обращений, не относящихся к моему хосту, после всех махинаций вроде не было ничего лишнего. (Просмотрел все заголовки host: из пост, гет запросов, ничего похожего на
вроде не было).
Что еще было?
В админке есть тоже потенциальные приветы, это авто подтягивание помощи и новостей с пилота с помощью snoppy, что остается на той стороне? тоже не известно (какие заголовки "уходят" от снуппи, и логируются или нет?) (чем snoppy делится? хотя ее можно "поднастроить", но проще удалить из шаблонов, где встречаются разделы помощи и получения новой версии + почистить немного пхп. + Проверить ланг файлы, в них, как не удивительно, тоже для шаблонов сообщений email встречается нечто типа копирайтов и "письмо отправлено от
".
Навскидку с помощью нескольких простых пхп скриптов просмотрел быстро общий скриптинг на яваскрипте, структуру tpl файлов, вроде ничего подозрительного/кодированного нет. Выгреб все встречающиеся ссылки некодированные из общего текста всех файлов. Тоже прямых обращений к нашим друзьям не увидел. Ну да еще буду копаться. Если будет интересно, потом выложу свои изыскания с логом изменений.
Возможно, если будет время, опять "погоняю" сайт с помощью siege и "отфильтрую" трафик tcpdumpom с проверкой на стречаемость наших друзей. Но думаю там уже ничего не осталось. Так что это "почти" полноценный нулл.
Да. Замечания.
