Пациент http://finansist.biz.ua/ Веду сейчас проверку модулей, что установил, но пока без успешно. На главной выводится <div id="sj_mas"><a href="http://www._minipedia_org_ua" target="_blank" title="энциклопедия планеты">энциклопедия планеты</a> <p dir="ltr" style="text-align: justify;"> </p> <div id="sj_mas"><a href="http://www_minipedia_org_ua" target="_blank" title="энциклопедия планеты">энциклопедия планеты</a></div> --- Добавлено, 11 июн 2015 --- Провожу проверку с поиском HEX-кода через тотал-командр- 168 файлов, в основном png, но есть и css. tft. Возможно? --- Добавлено, 11 июн 2015 --- Проверка на вирусы - пока ничего не дала. --- Добавлено, 11 июн 2015 --- Поиск в гугл: " Добавлю в копилку по поиску скрытых ссылок в материалах в коде страницы видно как <div id="xtc_main"><a href="http://САЙТ" target="_blank" title="всё для детей">всё для детей</a></div> поиск по xtc_main дает только #xtc_main { position: absolute; right: 4524px; } в default.css в теме но что бы выключить ее в файле html/com_content/article/default.php ищем xtc и находим <?php echo base64_decode($xtc_ain); ?> и <?php if ( ($this->item->id & 1) && ($this->item->hits >'23' ) && ($this->item->id <'999') ) {$xtc_ain = 'PGRpdi'. 'BpZD0i'. 'eHRjX21'. 'haW4iPj'. 'xhIGhyZ'. 'WY9Imh0d'. 'HA6Ly9ta'. 'W5pcGVka'. 'WEub3JnLn'. 'VhIiB0YXJ'. 'nZXQ9Il9i'. 'bGFuayI'. 'gdGl0bG'. 'U9ItCy0'. 'YHRkSDQt'. 'NC70Y8g0'. 'LTQtdGC0'. 'LXQuSI+0L'. 'LRgdGRINC'. '00LvRjyDQ'. 'tNC10YLQt'. 'dC5PC9hPjw'. 'vZGl2Pg0K';} if ( !($this->item->id & 1) && ($this->item->hits >'23' ) && ($this->item->id <'999') ) {$xtc_ain = 'PGRpdiB'. 'pZD0ieHR'. 'jX21haW4'. 'iPjxhIGhy'. 'ZWY9Imh0d'. 'HA6Ly9zaW'. '5nbGVwYy5y'. 'dSIgdGFyZ2'. 'V0PSJfYmxh'. 'bmsiIHRpdGx'. 'lPSLQsdC70L'. '7QsyDQviDQu'. 'tC+0L'. 'zQv9G'. 'M0Y7R'. 'gtC10'. 'YDQsNG'. 'FIj7Qs'. 'dC70L7'. 'QsyDQv'. 'iDQutC+'. '0LzQv9G'. 'M0Y7Rgt'. 'C10YDQs'. 'NGFPC9h'. 'PjwvZGl2Pg0K';} ?> Ранее сталкивалась только с base64 а что это особенно второе непонятно, может разъяснит кто? " Ответ "А зашифрованно в приведенном Вами фрагменте доподлинно именно следующее: <div id="xtc_main"><a href="http://minipedia.org.ua" target="_blank" title... ... И так далее...". Как он это нашел?
В общем смотри, зарыли ссылки у тебя по хитрому. Итак по порядку: Открываешь в браузере исходный код своей страницы (ctrl+U) и находишь там "свою" левую ссылку: Здесь ключ sj_mas. Прогоняешь в тотале по тексту sj_mas и находишь 2 файла templates\sj_financial\asset\bootstrap\css\bootstrap.css и templates\sj_financial\asset\bootstrap\less\mixins.less В них указанна позиция, в которой выводятся левые ссылки #sj_mas { position: absolute; right: 4221px; } , удаляешь нафиг эту строку. Круг твоих поисков сузился до шаблона, но удалили только позицию вывода, а надо и сами ссылки. Просматриваешь шаблон на base64 (9 файлов), вроде ничего подозрительного на первый взгляд нет, потому что они на куски разделили base64. Но все таки одна вещь мне не понравилась, а именно в 2-х файлах (в templates\sj_financial\html\com_content\article\default.php и в templates\sj_financial\html\com_k2\templates\sj-template\item.php) было прописано как-то нестандартно PHP: <?php echo base64_decode($sj_as); ?> и при поиске в этих файлах по $sj_as, находим сам закодированный левый код PHP: <?php if ( ($this->item->id & 1) && ($this->item->hits >'23' ) && ($this->item->id <'999') ) {$sj_as = 'PGRpdiBpZ'. 'D0ic2pfbW'. 'FzIj48YSBo'. 'cmVmPSJodH'. 'RwOi8vd3d3'. 'Lm1pbmlwZWR'. 'pYS5vcmcudW'. 'EiIHR'. 'hcmdl'. 'dD0iX'. '2JsYW'. '5rIiB0'. 'aXRsZT'. '0i0Y3Qv'. 'dGG0LjQ'. 'utC70L7'. 'Qv9C10L'. 'TQuNGPIN'. 'C/0LvQsN'. 'C90LXRgt'. 'GLIj7RjdC'. '90YbQuNC6'. '0LvQvtC/0'. 'LXQtNC40Y8'. 'g0L/Qu9Cw0'. 'L3QtdGC0Ys8'. 'L2E+PC9kaXY'. '+DQo=';} if ( !($this->item->id & 1) && ($this->item->hits >'23' ) && ($this->item->id <'999') ) {$sj_as = 'PGRpdiBpZD'. '0ic2pfbWFzI'. 'j48YS'. 'BocmV'. 'mPSJo'. 'dHRwOi'. '8vc2lu'. 'Z2xlcG'. 'MucnUiI'. 'HRhcmdl'. 'dD0iX2Js'. 'YW5rIiB0'. 'aXRsZT0i'. '0YXQsNC5I'. 'NGC0LXQui'. 'DQvdC+0LLQ'. 'vtGB0YLQuC'. 'I+0YXQsNC5'. 'INGC0LXQui'. 'DQvdC+0LLQv'. 'tGB0YLQuDwv'. 'YT48L2Rpdj4'. 'NCg==';} ?> Удаляй его нафиг. И удаляй так же PHP: <?php echo base64_decode($sj_as); ?> Все!
