Происходит редирект на сайты с рекламой

[RomanZUB]

При первом заходе на любую страницу сайта происходит несколько редиректов по сайтам и в конечном итоге на последнем сайте показывается реклама типа Фаворит и т.п.

 

Сканировал Айболитом - ничего он не нашел. Ранее когда были проблемы с вирусами Айболит всегда находил зараженные файлы.

Куда копать?

Змінено 7 лютого 2020 користувачем RomanZUB

[Flint2000]

Ваш сайт гуглить или догадаться?

[bodyak0]

36 хвилин назад, RomanZUB сказав:

При первом заходе на любую страницу сайта происходит несколько редиректов по сайтам и в конечном итоге на последнем сайте показывается реклама типа Фаворит и т.п.

 

Сканировал Айболитом - ничего он не нашел. Ранее когда были проблемы с вирусами Айболит всегда находил зараженные файлы.

Куда копать?

Дам совет уже сталкивался клиентов взламывали, открой индексный файл и удали если имеется кусок кода лишний

[RomanZUB]

35 minutes ago, bodyak0 said:

Дам совет уже сталкивался клиентов взламывали, открой индексный файл и удали если имеется кусок кода лишний

 

В index.php ничего лишнего нет. Сверил его с файлом из старого архива - все один в один.

Откатывал два раза бэкап - и через некоторое время зараза опять появляется.

[RomanZUB]

Вообщем я начал смотреть везде и наткнулся на JS код там где его быть не должно. В админке во вкладке Сервер есть поле "Код Google Analytics" - туда и запихнули этот JS код, который перекидывал на рекламу.  Убрал его уже норм работает магазин.

 

Подскажите, как туда могли засунуть его извне  ?  Пароль к админке кроме меня никто не знает.... По логике вещей через FTP если бы залезли - то разместили бы прямо в коде.

 

Может через PMA залили код ?

Змінено 7 лютого 2020 користувачем RomanZUB

[AUSS]

1 час назад, RomanZUB сказал:

 

В index.php ничего лишнего нет. Сверил его с файлом из старого архива - все один в один.

Откатывал два раза бэкап - и через некоторое время зараза опять появляется.

5 тыс в личку помогу

Если хотите дешевле то модули покупать нужно а не качать

[AUSS]

Только что, RomanZUB сказал:

Вообщем я начал смотреть везде и наткнулся на JS код там где его быть не должно. Убрал его уже норм работает магазин.

 

В админке во вкладке Сервер есть поле "Код Google Analytics" - туда и запихнули этот JS код, который перекидывал на рекламу.

 

Подскажите, как туда могли засунуть его извне  ?  Пароль к админке кроме меня никто не знает.... По логике вещей через FTP если бы залезли - то разместили бы прямо в коде.

 

Может через PMA залили код ?

взломать магазин не опенкарт становится все легче

очень много модулей в которых есть уязвимости - не исключение модули именитых авторов как МаркиМакс и др

так что это может быть и не ваша вина - и шелл уже может там жить

[RomanZUB]

2 minutes ago, AUSS said:

взломать магазин не опенкарт становится все легче

очень много модулей в которых есть уязвимости - не исключение модули именитых авторов как МаркиМакс и др

так что это может быть и не ваша вина - и шелл уже может там жить

 

Т.е. через шелл мне могут снова и снова закидывать этот вредоносный код ?

[AUSS]

52 минуты назад, RomanZUB сказал:

 

Т.е. через шелл мне могут снова и снова закидывать этот вредоносный код ?

да легко

[RomanZUB]

11 minutes ago, AUSS said:

да легко

 

А есть какие либо очевидные признаки по которым можно отследить в коде Shell   ? Я могу слить файлы сайта по FTP и пройтись поиском через npp

[AUSS]

Открываете лог сервера и ищите стремные запросы которые отличаются от всех и вероятно этот ip будет часто

 

/index.php?route=product%2Fproduct&product_id=2542%27%20AND%20%28SELECT%208266%20FROM%28SELECT%20COUNT%28%2A%29%2CCONCAT%280x7162767671%2C%28SELECT%20MID%28%28IFNULL%28CAST%28lastname%20AS%20NCHAR%29%2C0x20%29%29%2C1%2C54%29%20FROM%20sanilux.oc_order%20ORDER%20BY%20order_id%20LIMIT%20309%2C1%29%2C0x7176786271%2CFLOOR%28RAND%280%29%2A2%29%29x%20FROM%20INFORMATION_SCHEMA.PLUGINS%20GROUP%20BY%20x%29a%29--%20yM

что то такое

[RomanZUB]

On 2/7/2020 at 3:51 PM, AUSS said:

Открываете лог сервера и ищите стремные запросы которые отличаются от всех и вероятно этот ip будет часто

 

/index.php?route=product%2Fproduct&product_id=2542%27%20AND%20%28SELECT%208266%20FROM%28SELECT%20COUNT%28%2A%29%2CCONCAT%280x7162767671%2C%28SELECT%20MID%28%28IFNULL%28CAST%28lastname%20AS%20NCHAR%29%2C0x20%29%29%2C1%2C54%29%20FROM%20sanilux.oc_order%20ORDER%20BY%20order_id%20LIMIT%20309%2C1%29%2C0x7176786271%2CFLOOR%28RAND%280%29%2A2%29%29x%20FROM%20INFORMATION_SCHEMA.PLUGINS%20GROUP%20BY%20x%29a%29--%20yM

что то такое

 

Я решил вопрос проще - удалил в PMA ячейку для этого поля google_analytics  и этот вредоносный код уже не может записаться. Так что вопрос решен