php - una - joomla editar html
Enlaces ocultos de spam/anuncios en la plantilla de Joomla (3)
Acabo de encontrar algunos enlaces ocultos cuando buscaba en el código fuente de un sitio que estoy creando i Joomla cuando encontré algunos enlaces de spam ocultos.
He usado una hora tratando de encontrarlos en algunos de los archivos de plantilla sin suerte. los enlaces son los siguientes (del código fuente html):
<div id="jxtc-zt"><a href="http://magical-place.ru/" target="_blank"
title="достопримечательности Европы">достопримечательности Европы</a></br><a
href="http://joomla-master.org/" target="_blank" title="шаблоны Joomla 3.5">шаблоны Joomla
3.5</a></div>
Y esto:
</div><div id="jxtc-zt"><a href="http://battlefield4.com.ua/" target="_blank"
title="Battlefield 4">Battlefield 4</a><br><a href="http://www.absolut.vn.ua/"
target="_blank" title="минеральные воды">минеральные воды</a></div></div></div>
¿Tienes alguna sugerencia sobre cómo averiguar dónde fueron creados?
Probablemente está ofuscado de alguna manera?
Gracias
Para aquellos que tienen problemas similares, me gustaría sugerir una solución completa.
Una herramienta de búsqueda binaria, como "Text-Crawler" o "String Finder" (para Windows) es útil, y luego busca la "palabra más infrecuente de todo el texto no deseado" en la carpeta raíz.
A continuación, como se indicó en "Jevgeni Boga ~" en la respuesta anterior, intente buscar la forma hash de esas cadenas, que podrían ser base64, hexadecimal, aasci.
Ahora bien, si aún no puede concentrarse en el código exacto, existe la posibilidad de que el código oculto se obtenga de la base de datos en lugar de un archivo, por lo que su siguiente lugar para buscar es su base de datos, y es muy fácil de usar. realice una búsqueda de cadenas a través de "phpmyadmin".
Todo lo que necesita hacer es ir a "phpmyadmin home", seleccionar "su base de datos" y luego seleccionar "buscar" ...
Palabras o valores para buscar: => "palabra más infrecuente del código inyectado"
Buscar: => Dejar predeterminado (al menos una de las palabras)
Dentro de las tablas: => Elija la columna Seleccionar todo dentro: => Deje en blanco.
Ahora bien, si su "código no deseado" estaba oculto dentro de la base de datos, entonces lo más probable es que lo haga.
Ahora también existe la posibilidad de que alguien haya indicado anteriormente que el código fue inyectado por un script después de la carga de la página, así que podría estar seguro de que este no es el caso, al deshabilitar el javascript en su navegador ...
Hay varias otras cosas a tener en cuenta ... Me gusta comprobar si el código está en formato de texto o si es solo una imagen del texto ... entonces, si ese es el caso, quizás entonces tenga que buscar ese archivo. jpg o .png ... además, la imagen también se puede analizar desde el CSS utilizando el método "URLdata: image / png; base64" ...
o Por último, solo busque la etiqueta "iframe", tal vez sea iframed de alguna otra fuente.
Si no puede encontrar la palabra "Campo de batalla" en ninguno de los documentos del sitio, intente buscar (sin comillas):
"QmF0dGxlZmllbGQ=" (Base64 representation),
"426174746c656669656c64" (Hexademical representation),
"Battlefield" (ASCII).
Estas serían las formas más comunes de codificarlo.
Si todavía no tiene suerte, busque el código manualmente: elimine pequeños fragmentos de código en el archivo de plantilla principal (index.php más comúnmente) y mire si el enlace no deseado desapareció después de eliminarlo. Si lo hizo, ha encontrado el código, que es el responsable.
Tuve el mismo problema, pero encontré la solución.
El código está oculto en la plantilla en template_name / html / com_content / article / default.php. El texto está codificado usando base64 y tuve 2 instancias en la mía, 1 antes del artículo y una al final. El código usado es:
<?php if (!$params->get(''show_intro'')) :
echo $this->item->event->afterDisplayTitle;
endif; ?><?php
$mgp=''PGRpdiBpZD0iamItYmYiPjxhIGhyZWY9Imh0dHA6Ly9tYWdpY2FsLXBsYWNlLnJ1LyIgdGFyZ2V0PSJfYmxhbmsiIHRpdGxlPSLQvtGC0LfRi9Cy0Ysg0YLRg9GA0LjRgdGC0L7QsiI+0L7RgtC30YvQstGLINGC0YPRgNC40YHRgtC+0LI8L2E+PGJyPjxhIGhyZWY9Imh0dHA6Ly9qb29tbGEtbWFzdGVyLm9yZy8iIHRhcmdldD0iX2JsYW5rIiB0aXRsZT0i0YDQsNGB0YjQuNGA0LXQvdC40Y8gSm9vbWxhIDMuNSI+0YDQsNGB0YjQuNGA0LXQvdC40Y8gSm9vbWxhIDMuNTwvYT48L2Rpdj4='';
echo base64_decode($mgp);?>
Simplemente eliminé el código de la segunda
<?php ~ through to ?>
en ambos enlaces.