Как удалить скрытые (левые) исходящие (внешние) ссылки в Joomla

Неожиданно обнаружилось, что в коде сайта на всех страницах и в контенте и в других компонентах появился невидимый блок с 5-6 прямыми ссылками на чужие сайты. Причем обнаружилось это случайно - только по анализу внешних ссылок на страницах сайта.

Как обычно выглядят скрытые ссылки:

1. Они расположены в самом низу контентного блока
2. Они расположены перед закрывающим тегом </body>

Ссылки чаще вчего находятся в блоке div с каким-либо стилем. Сами ссылки обычно зашифрованы в base64 или вообще подгружаются фреймами - то есть на сайте только код запроса, а сами ссылки берутся с первоисточника динамически. Декодировать текст http://www.base64.ru/

Почему мы не видим ссылки?

Ссылки обычно имеют абосолютное позиционирование position: absolute; со смещением или скрыты display:none;.  Таким образом администратор сайта и посетители ссылку не видят, а поисковики ее индексируют.

Откуда они берутся?

Часто зараза заносится с установкой плагинов, модулей, компонент и шаблонов с "левых" сайтов.

Способы очистки сайта от вредоносного кода:

1. Перезалить файлы Joomla с чистого дистибутива (старые файлы стоит предварительно удалить, т.к. часто в папках скрываются "левые" php файлы)

2. Наиболее часто ссылки встраивают на страницы блога категории и в непосредственно материал, т. е. модифицируют файлы шаблона:
templates\название_шаблона\html\com_content\article\default.php
templates\ название_шаблона \html\com_content\category\blog.php
Также вредоносный код может быть установлен в файлах:
/libraries/joomla/document/html/html.php

3. Скопировать весь сайт на комп и поискать по всем файлам сайта. Для этого подходит программа Notepad++ и в ней "поиск по файлам" или через Total Commander. В поиск можно внести следующие фразы:
- $RandomNumber = array (...
- id или стиль блока div со скрытым кодом.
- base64_decode

Как обезопасить свой сайт:

1 смените пароль к FTP серверу;
2 обновите версию Joomla и все расширения, которые стоят у вас;
3 все расширения, которые вы не используете - удалите;
4 обязательно делайте резервные копии сайта. Часто при копировании антивирус ругается на странные php файлы - их надо своевременно удалять с фтп сервера сайта.