[Решено] На сайте появилась внешняя ссылка minipedia_org_ua

Тема в разделе "Joomla", создана пользователем MGT1, 11 июн 2015.

  1. MGT1

    MGT1

    Регистрация:
    5 янв 2013
    Сообщения:
    612
    Симпатии:
    182
    Пациент http://finansist.biz.ua/
    Веду сейчас проверку модулей, что установил, но пока без успешно.
    На главной выводится
    <div id="sj_mas"><a href="http://www._minipedia_org_ua" target="_blank" title="энциклопедия планеты">энциклопедия планеты</a>

    <p dir="ltr" style="text-align: justify;">&nbsp;</p> <div id="sj_mas"><a href="http://www_minipedia_org_ua" target="_blank" title="энциклопедия планеты">энциклопедия планеты</a></div>
    --- Добавлено, 11 июн 2015 ---
    Провожу проверку с поиском HEX-кода через тотал-командр- 168 файлов, в основном png, но есть и css. tft. Возможно?
    --- Добавлено, 11 июн 2015 ---
    Проверка на вирусы - пока ничего не дала.
    --- Добавлено, 11 июн 2015 ---
    Поиск в гугл:
    "
    Добавлю в копилку по поиску скрытых ссылок
    в материалах в коде страницы видно как <div id="xtc_main"><a href="http://САЙТ" target="_blank" title="всё для детей">всё для детей</a></div>
    поиск по xtc_main дает только #xtc_main { position: absolute; right: 4524px; } в default.css в теме
    но что бы выключить ее в файле html/com_content/article/default.php ищем xtc и находим
    <?php echo base64_decode($xtc_ain); ?>
    и
    <?php if ( ($this->item->id & 1) && ($this->item->hits >'23' ) && ($this->item->id <'999') ) {$xtc_ain = 'PGRpdi'. 'BpZD0i'. 'eHRjX21'. 'haW4iPj'. 'xhIGhyZ'. 'WY9Imh0d'. 'HA6Ly9ta'. 'W5pcGVka'. 'WEub3JnLn'. 'VhIiB0YXJ'. 'nZXQ9Il9i'. 'bGFuayI'. 'gdGl0bG'. 'U9ItCy0'. 'YHRkSDQt'. 'NC70Y8g0'. 'LTQtdGC0'. 'LXQuSI+0L'. 'LRgdGRINC'. '00LvRjyDQ'. 'tNC10YLQt'. 'dC5PC9hPjw'. 'vZGl2Pg0K';} if ( !($this->item->id & 1) && ($this->item->hits >'23' ) && ($this->item->id <'999') ) {$xtc_ain = 'PGRpdiB'. 'pZD0ieHR'. 'jX21haW4'. 'iPjxhIGhy'. 'ZWY9Imh0d'. 'HA6Ly9zaW'. '5nbGVwYy5y'. 'dSIgdGFyZ2'. 'V0PSJfYmxh'. 'bmsiIHRpdGx'. 'lPSLQsdC70L'. '7QsyDQviDQu'. 'tC+0L'. 'zQv9G'. 'M0Y7R'. 'gtC10'. 'YDQsNG'. 'FIj7Qs'. 'dC70L7'. 'QsyDQv'. 'iDQutC+'. '0LzQv9G'. 'M0Y7Rgt'. 'C10YDQs'. 'NGFPC9h'. 'PjwvZGl2Pg0K';} ?>
    Ранее сталкивалась только с base64 а что это особенно второе непонятно, может разъяснит кто?

    "
    Ответ
    "А зашифрованно в приведенном Вами фрагменте доподлинно именно следующее: <div id="xtc_main"><a href="http://minipedia.org.ua" target="_blank" title... ... И так далее...".
    Как он это нашел?
     
    Lasted edited by : 11 июн 2015
  2. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    В общем смотри, зарыли ссылки у тебя по хитрому.
    Итак по порядку:
    Открываешь в браузере исходный код своей страницы (ctrl+U) и находишь там "свою" левую ссылку:

    Здесь ключ sj_mas. Прогоняешь в тотале по тексту sj_mas и находишь 2 файла templates\sj_financial\asset\bootstrap\css\bootstrap.css и templates\sj_financial\asset\bootstrap\less\mixins.less
    В них указанна позиция, в которой выводятся левые ссылки #sj_mas { position: absolute; right: 4221px; } , удаляешь нафиг эту строку.
    Круг твоих поисков сузился до шаблона, но удалили только позицию вывода, а надо и сами ссылки. :smile:
    Просматриваешь шаблон на base64 (9 файлов), вроде ничего подозрительного на первый взгляд нет, потому что они на куски разделили base64. Но все таки одна вещь мне не понравилась, а именно в 2-х файлах (в templates\sj_financial\html\com_content\article\default.php и в templates\sj_financial\html\com_k2\templates\sj-template\item.php) было прописано как-то нестандартно
    PHP:
    <?php echo base64_decode($sj_as); ?>
    и при поиске в этих файлах по $sj_as, находим сам закодированный левый код
    PHP:
    <?php      if ( ($this->item->id 1) && ($this->item->hits >'23' ) && ($this->item->id <'999') ) {$sj_as 'PGRpdiBpZ''D0ic2pfbW''FzIj48YSBo''cmVmPSJodH''RwOi8vd3d3''Lm1pbmlwZWR''pYS5vcmcudW''EiIHR''hcmdl''dD0iX''2JsYW''5rIiB0''aXRsZT''0i0Y3Qv''dGG0LjQ''utC70L7''Qv9C10L''TQuNGPIN''C/0LvQsN''C90LXRgt''GLIj7RjdC''90YbQuNC6''0LvQvtC/0''LXQtNC40Y8''g0L/Qu9Cw0''L3QtdGC0Ys8''L2E+PC9kaXY''+DQo=';}    if ( !($this->item->id 1) && ($this->item->hits >'23' ) && ($this->item->id <'999') ) {$sj_as 'PGRpdiBpZD''0ic2pfbWFzI''j48YS''BocmV''mPSJo''dHRwOi''8vc2lu''Z2xlcG''MucnUiI''HRhcmdl''dD0iX2Js''YW5rIiB0''aXRsZT0i''0YXQsNC5I''NGC0LXQui''DQvdC+0LLQ''vtGB0YLQuC''I+0YXQsNC5''INGC0LXQui''DQvdC+0LLQv''tGB0YLQuDwv''YT48L2Rpdj4''NCg==';}              ?>
    Удаляй его нафиг. И удаляй так же
    PHP:
    <?php echo base64_decode($sj_as); ?>
    Все!
     
    $iD и MGT1 нравится это.
  3. MGT1

    MGT1

    Регистрация:
    5 янв 2013
    Сообщения:
    612
    Симпатии:
    182