A- A A+
Удаление ссылок с шаблонов Joomla

Хорошие новости для тех, кто умеет обращаться с супер-шаблонами, но не могут найти "чистых" экземпляров. После просмотра этого видео Вы сможете очищать любые шаблоны самостоятельно! Данный урок является продолжением материала "Как убрать закодированные ссылки-паразиты".

Текстовое описание урока

Скачиваем зараженные шаблоны с Joomla-Master.org

Это не реклама портала, а предостережение! Установив с этого сайта шаблоны, будьте готовы к тому, что каждая страница Вашего ресурса теперь будет ссылаться на несколько левых сайтов. Например, на какой-нибудь ресторан...

Для примера выберем, однозначно зараженные произведения от студий "RocketTheme" (RT Vermilion) и "VTEM" (VT SoftBox). Прекрасные шаблоны от лучших компаний, которые выпускают чистые продукты.

Распаковываем шаблоны и выбираем поочередно архивы...

Лечим шаблон от компании VTEM

Первым проверяем файл VT_SoftboxTemplate_v1.0.zip, который весит значительно меньше архивов "Быстрый старт" (QuickStart), и соответственно наиболее удобен для оперативного выявления гадостей.

Удаление вшитых ссылок

Открываем лучшего друга пользователя Windows - Total Commander и заходим прямо в архивированную папку (можете разархивировать) и исполняем сочетание клавиш ALT+F7, вызывая функцию "Поиск файлов".

В строке С текстом ставим чекбокс и вписываем base64.

Удаление вшитых ссылок

Система находит несколько файлов, так как base64  - не вредная команда, используемая при зашифровке Ваших логинов и паролей. Поэтому она встречается неоднократно. И в этом, основная сложность при чистке файлов.

Удаление вшитых ссылок

Обратите внимание на первый результат поиска - VT_SoftboxTemplate_v1.0\html\com_content\article\default.php. Обычно в такой файл (default.php) все вшитые ссылки и заливаются.

Дважды кликаем по указанной строке и открываем файл default.php любым редактором текста, лучший из которых "Notepad++".

Традиционное сочетание клавиш для поиска CTRL+F или любой другой вариант, предусмотренный выбранным Вами редактором. Ищем команду base64  теперь непосредственно в файле.

Сразу находим длинный непонятный код:

'PGRpdiBpZD0ienQtcGMiPjxhIGhyZ........2Rpdj4='

Удаление вшитых ссылок

Выделяем текст, заключенный в одинарные кавычки (только текст между кавычками), копируем и переходим на сайт Base64.ru. Здесь выбираем Base64 - Текст  и вставляем в верхнее окно абракадабру. В нижнем окне кодировщик сообщает, что в данном тексте закодированы сразу две ссылки на посторонние ресурсы.

Удаление вшитых ссылок

Возвращаемся в файл и удаляем команду "php" вместе с кодировкой.

Удаление вшитых ссылок

В этом же файле (default.php) есть аналогичный вшитый код, который также удаляем.

Удаление вшитых ссылок

Повторяем поиск по шаблону (ALT+7), выбрав теперь любой отрезок из найденного кода, например:

PGRpdiBpZD0ienQtcGMiPjxhIG

Удаление вшитых ссылок

В результате обнаруживаем еще один файл (item.php), который чистим вышеуказанным способом.

Скорая помощь шаблону от компании RocketTheme

Также выбираем обычный шаблон vermilion-1.0-template.zip и нажав ALT+F7, строку С текстом отмечаем галочкой и ищем base64. Нашлось 4 файла.

Удаление вшитых ссылок

По успешному опыту можно сразу предположить, что вшитые ссылки в файле index.php. Открываем и ищем base64. Здесь по виду совершенно другой код, который также копируем (весь текст между одинарными кавычками) и проверяем на сайте Base64.ru.

'PGRpdi'. 'BpZD0i'. 'cnRfY3F'...'wvZGl2Pg0K'

Нам сообщают, что в коде зашито две ссылки:

Удаление вшитых ссылок

Выделяем код и удаляем все тем же способом.

Обращаем внимание, что в шаблонах от Рокетов вставка ссылок обычно производится один раз, в шаблонах от студии VTEM - два раза.

Теперь можно зайти в архивы "Быстрого старта" и также по удалять все лишнее. То есть в пределах одного пакета шаблона, все ссылки будут одинаковые.

Еще раз ищем по шаблону (ALT+7) с обрезком найденного кода и находим еще один файл (default.php).

Удаление вшитых ссылок

Хитрый вариант кодировки в шаблоне RocketTheme

В последнем файле вместо длинного кода видим переменную ($rt_qh)  в строке с "base64". Копируем ее (rt_qh) и ищем в файле.

Удаление вшитых ссылок

Находим код, который в данном случае вставился через переменную ($rt_qh).

Удаление вшитых ссылок

Мина замедленного действия

В последнем коде обратите внимание на строку php if ($this- >item- > hits>'23'). Если перевести на русский язык эту команду, то она означает, что скрытые ссылки появятся только после того, как материал будет просмотрен 23 раза.

То есть, Вы установили шаблон, проверили отсутствие внешних ссылок и успокоились. А через некоторое время, эти ссылки начинают работать.

Удаляем код и строку с переменной.

Удаление вшитых ссылок

Также удаляем еще одну похожую переменную:

Удаление вшитых ссылок

Теперь Вы можете использовать абсолютно любой шаблон и самостоятельно удалять из него вшитые ссылки.

 

Комментарии  

#17 0 Александр Правитель 15.05.2016 20:05
Спасибо большое! Спас меня прямо! :-) :-) :-)
Цитировать
#16 0 Максимус 30.03.2016 11:03
Цитирую Максимус:
К сожалению, даже чистые бесплатные шаблоны с официального сайта RocketTheme битком забиты base64 и длинным зашифрованным текстом, который онлайн-дешифраторы не декодируют. "Рокетам" он, видимо, нужен по каким-то соображениям, а вот простому пользователю отличить "полезные" base64 от "вредных" становится почти невозможно...

Update: Операторы base64 должны быть только в Рокетлаунчерах (они из самой Joomla): как правило, это кодированные картинки - что можно проверить по типу данных, указанному рядом (или с помощью онлайн декодора, который понимает картинки, вроде: base64online.or g) - или шрифты (так же проверяются по типу данных, т.к. мне их декодировать не удалось).
Все остальное - потенциальный "левак" :lol:
Цитировать
#15 0 Дмитрий_C 30.03.2016 09:41
Спасибо, Друг! :-)
Цитировать
#14 0 Максимус 17.07.2015 14:32
К сожалению, даже чистые бесплатные шаблоны с официального сайта RocketTheme битком забиты base64 и длинным зашифрованным текстом, который онлайн-дешифрат оры не декодируют. "Рокетам" он, видимо, нужен по каким-то соображениям, а вот простому пользователю отличить "полезные" base64 от "вредных" становится почти невозможно...
Цитировать
#13 0 MarbI4 13.07.2015 15:16
Ребята предлагают сканер по удалению вирусов -http://www.sit e-security.ru/n ash-pervyj-skan er.html
Цитировать
#12 0 Луговской Александр 05.06.2015 10:58
Цитирую ivanologiya:
...уже код прописывается не только в шаблоне но и в расширениях, трудно обнаружить, по крайней мере в шаблонах быстрого старта от рокетов.

Удалите подозрительные расширения от Рокетов и скачайте их с официального сайта, они бесплатные.
Цитировать
#11 0 ivanologiya 04.06.2015 18:47
Полезная статья , но уже код прописывается не только в шаблоне но и в расширениях, трудно обнаружить, по крайней мере в шаблонах быстрого старта от рокетов.
Цитировать
#10 0 Луговской Александр 24.05.2015 13:28
Цитирую Nadin0909:
:...랚'ꗦ! ڞ 檧 вопрос процентов . 堨 РНР䷥媑⫞РНР PHP 夨 ꗚ РНР 嫥 ꇮ сохранить, ހ. Х 瑻 Пек K от J в
это нужно или нет? смело можно удалять?

Для начала закомментируйте и проверьте, если сайт в порядке, оставьте как есть или удаляйте.
Цитировать
#9 0 Nadin0909 22.05.2015 20:45
:lol: а может быть так мне base64 выдает на китайском, перевела эту муть в гугл переводчике он выдает значение -------> носки 랚'ꗦ! ڞ 檧 вопрос процентов . 堨 РНР䷥媑⫞РНР PHP 夨 ꗚ РНР 嫥 ꇮ сохранить, ހ. Х 瑻 Пек K от J в

это нужно или нет? смело можно удалять?
Цитировать
#8 0 milya 26.04.2015 22:56
Цитирую M0HAX:
Цитирую M0HAX:
а может случиться чудо и скачать чистый шаблон??? Серьезно - по крайне мере используя данную методу,, я ничего не нашел - ни одного base64

Описался - не ни одного base64, а ни одного вредоносного кода (вроде как) - base64 присутсвует, но структура окружения абсолютно отличная от указанных в видео.

Такая же матня, не нашел ни одного кода, но меня натолкнула одна мысль "мина замедленного действия" у меня например ссылки появляются при просмотрах статьи 25 раз, т.к. стоит джомла 3,4 обнуления хитов нет, обратился к базе и выполнил такую команду UPDATE jos_content SET hits = 0; и пропали, ну по крайней мере пока не наберет 25 хитов, но это же не выход, может есть альтернатива поиску bae64, ($rt_qh), а например php if ($this- >item- > hits>'23') хотя при его поиске тоже ничего не нашел
Цитировать

Добавить комментарий

Защитный код Обновить

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter

МОЙ TELEGRAM-КАНАЛ

ПОДПИСАТЬСЯ!


Перенос на хостинг

Перенос на хостинг

Бесплатный видео-курс по переносу готового сайта на одну из лучших хостинг-площадок РУнета.

Смотреть (бесплатно)

Бессмертный сайт

Бессмертный сайт

2 урока, 16 минут, и Ваш сайт - БЕССМЕРТНЫЙ!

Узнать подробности!