Blondi

А как Вы потом докажете что не насовали бэкдоров? ;)

А можно весь файл в студию?... Скорее всего что да, бэкдор, позволяющий выполнять скрипт на сайте. Грозит - можно загрузить на него все что угодно, от фантазии автора зависит. Защититься - давать доступ только добросовестным работникам, после выполнения сразу отбирать. Если есть возможность, смотреть что он сделал. Это конечно сложно, если нет соответствующих познаний.

Пишите в личку. Помогу.

Пишите в личку, помогу.

Очень просто, фрилансер, который работал, воспользовался тем что пароли не были сменены вовремя. По дате изменения файла - совпадает с логами захода на хостинг. Так же совпадает с регистрацией нового кошелька. Товарищ умом не блещет - работал и шкодил с одного и того же IP адреса.

Смотреть, в каком классе и в каком блоке выводится это сообщение, с под какой переменной, и смотреть в этот файл, искать незнакомые или закодированные base64 строки, или обфусцированный код. Поиском "в лоб" я так понимаю не получилось? Можно еще в дампе базы поискать.

Я нашла это с третьего раза! И то потому как искала специально. Я блондинка, честно, и я бы не стара перечитывать то что написано серым, когда есть что то, написанное жирным - номер кошелька! Это предупреждение должно быть большими красными буквами на пол экрана! Ваша аудитория - мамочки, которые одной рукой успокаивают малыша, а второй заказывают ему одежку в интернете, и хотят только двух вещей - что бы малыш успокоился и что бы поскорее привезли обновочек. Они ничего не хотят читать, они хотят тишины и обновочек! Отключите магазин. В админке опенкарта - Система - Настройки - Изменить - Сервер - Режим обслуживания! Demonstration - если никакие галочки не стоят, то можно и не трогать, хотя лучше грохнуть. Но он был, это стандартная группа.

уточните, в саму админ-панель хостинга, или по FTP? И какой длинны и сложности был старый пароль? какой новый? Нужно минимум 12-15 символов, с большими, маленькими буквами и цифрами, желательно и спецсимволы, но не все их поддерживают. Только что оформляла заказ - кошелек увидела, приписки не увидела... значит и пользователи не увидят... Отключите пока не вылечите...

Атака на сам сайт или на хостинг? какие именно логи смотрели? Есть ли на самом хостинге другие сайты, по соседству, если да, то какие и на каких движках? их тоже надо будет проверить на инфекции...

Эта... Вы бы хоть пока магазин на обслуживание закрыли... а то так кто то да оплатит, а Вас обвинят в мошенничестве потом. И попробуй докажи что не верблюд... Потестировала, все еще работает, сидит где-то эта зараза...

Текстовый поиск может ничего не дать, потому как скорее всего данный текст закодирован, или вообще выгружается с другого ресурса. надо смотреть код более детально, искать переменные которые выгружаются в выдачу. Если не получится, пишите, помогу, самой уже интересно стало... Но идея хороша :) Элегантно...

Откровенно говоря жаль, что тема заглохла, и что топикстартер так и не написал никакого заявления... Было бы интересно получить официальную реакцию органов на инцидент, был бы понятен механизм и полномочия и прочее, потому как все что тут было расписано по поводу вредоносного кода и вируса, ответственности сторон и тому подобное - предположения и домыслы, не более....

Убогий симпл? Вы, наверное, им не пользовались ))

Что значит "пусть будет так как есть"? Если сайты не вылечить, то любое продвижение - пустая трата времени и денег.

да, все что лишнее, не ваше и не знакомое - удалять. Но сделать бэкап перед этим на всякий случай! ;)

в базе или прямо в коде ищите строку scachat-prokl - к ней приставляется всякая муть, и получается строка типа http://101wow.ru/scachat-prokl-"всякая муть" Возможно в каких то каталогах появились левые файлы в большом количестве и с непонятными именами. Ищите их, и файлы которые менялись недавно, по дате. В идеале сравнить файлы с бэкапом или эталонной копией, которая 100% не заражена. Так же проверьте .htaccsess - туда тоже могли редиректы прописать, хотя не сильно похоже... В остальном смотреть надо, как напихали и чего - вариантов масса. В обязательном порядке сменить все пароли на сайте - админка, фтп, база, хостинг. Если есть на том же хостинге сайты на джумле - перенести подальше :) Проверьте еще и Каспером, он у меня на Ваш сайт хорошо ругается :) Если не поможет, пишите в личку, помогу.

Пишите в личку, помогу.

4. Установка модуля, пусть даже и честного, платного, который содержит уязвимость, или комбинация двух и более модулей, вызывающих уязвимость. 5. 0day уязвимости. Это касается не только опенкарта, но и любого другого движка. И да, в остальном это все индивидуальные подходы, которые не зависят от движка.

1. Генерируем хэш нового пароля на http://www.md5.cz/ 2. Вставляем в базу в нужное поле 3. Profit! 1. меняем в базе мыло админа на свое. 2. восстанавливаем пароль штатными средствами опенкарта на свое мыло 3. Profit! webds - Будьте проще, и к вам потянутся люди...

А что, "дыры" имеют только бесплатные, взломанные, и только из сомнительных источников модули? Не путайте пожалуйста "дыры", "шеллы" и "бэкдоры". Уязвимости, если быть точнее, присутствуют в любом коде, вплоть до официальной сборки движка, скаченной с официального сайта разработчика. А вот шелл или модуль с бэкдором можно получить "в комплекте" со взломанным модулем, и вот в них то злоумышленник и вкладывает определенный функционал, который ему нужен. Уязвимость же можно только эксплуатировать, заранее "запрограммировать" её нельзя. Я правильно поняла что база только в виде дампа в файле? Тогда перебирать пароль админа, и надеяться что он не очень длинный. Тогда можно попасть в админку, а с админки можно сделать с сайтом все что угодно. В базе хранится ВСЯ информация о сайте, кроме той что гвоздями прибита в файлах, сверстана или прописана скриптами. Если есть доступ на запись в базу, то при ЛЮБЫХ (ну ладно, в 80% случаев, если у Вас свое железо и правильные руки, и в 100% на шаред-хостингах) условиях с сайтом можно сделать все что угодно. Данные пользователей интернет магазина - да кому они нужны? Там что, есть данные о кредитных картах? Нет, если это секс-шоп какой то то да, есть эл-почта, можно по-шантажировать. Помните уязвимость у яндекса, когда он умудрился проиндексировать адреса доставок магазинов сексатрибутики и доставки цветов? А вот например в ЧПУ прописать свой редирект, или в карточку товара прописать свой шелл?... Скопировать сайт можно и парсером! Доступ в админку через базу можно получить минимум двумя способами. А есть доступ в админку - сайт весь Ваш!

Вы бы хоть читали, что заказчик ответил Выше. Повторяю, уже не актуально!

?ddos_guard_attempt=1 Если к сайту не прикручена какая то защита от DDOS, то ищите этот параметр в коде, где то остались хвосты заражения.

Добрый хостер какой то, если так наплевательски относится как к клиентам, так и к своей репутации, ведь зараженные сайты в его ведомстве ему кармы не прибавят... Меняйте по возможности. И желательно со встроенным антивирусом каким нибудь в админ-панели. И поищите дыры на сайте, устранив следствие, Вы не устранили причину. Очень быстро эта зараза может появиться вновь. P.S. И да, эталонные копии и бэкапы рулят ;)

за этим IP был замечен сайт fps-hackers.com когда-то, судя по всему Вам его поломали и позакидывали всякого нехорошего. Если на хостинге параллельно есть другие сайты, то и их могли... Кстати, сайт, или другие сайты не на джумле ли случайно? Могу помочь, пишите в личку.

Спросите у поддержки того хостинга на который переезжаете. Если скажете что хотите попробовать поменять хостинг потому что старый не устраивает, мол конкурентный переход, то админы могут и сами за бесплатно перетащить. Если настройки более-менее одинаковые, то прокатит, если полезут косяки то смотреть надо...