BeliyPrizrak

Не понятный вирус появился на opencart

Рекомендуемые сообщения

Буквально 2 дня назад открываю я свои сайты и что я вижу Касперский даёт хипишу на два моих сайта на opencart, на хосте по мимо их лежат ещё сайты, но вирус на них не распостронился, только на opencart.
http://syveniroff.com/
http://dyxoff.com/
вот мои чудо сайты

----

вот что мочит антивирус
8z6iqxrG802MWqOWwPXxGw.jpg


Не нравиться ему вот такая вот штука

http://spraos.pw/crossdomain.xml - на неё клацать не стоит.


перерыл все файлы сайт какие могли быть изменены ничего не нашёл все JS перерыл, и ничего!
Выручайте пиплы....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
baxabit    73

Файлы ж нестандартные? Значит что-то меняли или устанавливали?

Сток_статус кэшируется. Очистите весь кэш.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
baxabit    73


Было бы удобнее )))
А в двух словах, что данный код "делает" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Было бы удобнее )))

А в двух словах, что данный код "делает" ?

судя по коду до хренище все в плоть того что тырит базу данных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
baxabit    73

Если б Вы ещё узнали как ОНО попало..)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если б Вы ещё узнали как ОНО попало..)))

Пересмотрел логи FTP так и не выкупил, по логам ваще показывалось что с моего айпи попало на сайт 6 числа, но мне больше всего кажеться что он уже был там изначально, а активировался только позавчера, нашёл в нэте подобную траблу без решения, и тип описывал этот вирус, и написал что он не сразу начинает работать!!! ну я почистил всё, а там посмотрим если появиться опять будем ковырять все файлы сайта!!!

Всё же лучше подготавливать людей к подобному! я вот весь день убил пока разобрался и нашёл их!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
delovoy    52

Жесть какая, что то вирусы на вирусах у всех  :ugeek:

 

А антивирем декстопным проверяли или сетевым?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
afwollis    1 097

если вы разработчик, то видимо юзаете варез.

если заказчик - видимо кинули разработчика.

 

есть и другие варианты, но эти - наиболее вероятные.

 

upd:

судя по "размещенным" дополнениям - однозначно варез.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zhenjko    0

Тоже на одном сайте объявился вирус, стартовая страница на вордпрессе, опенкарт как  site/shop был. Каспер начал ругаться, нашел несколько файлов в вордпрессе, сейчас переименовал каталог магазина-перестал ругаться.
Не могу понять, магазин с вордпрессом никак не связан а залез на стартовую страницу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

если вы разработчик, то видимо юзаете варез.

если заказчик - видимо кинули разработчика.

 

есть и другие варианты, но эти - наиболее вероятные.

 

upd:

судя по "размещенным" дополнениям - однозначно варез.

я бы не сказал что я разраб, но эти сайты клипал методом тыка, а по поводу вируса, у нас в офисе сеть большая и мы тут увольняли одного, мог закосячить, но вероятность того что он закосячил очень мала. а так в нэте заметил что подобный вирус появлялся и на WP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Жесть какая, что то вирусы на вирусах у всех  :ugeek:

 

А антивирем декстопным проверяли или сетевым?

Прикол в том, что даже хост со своим сетевым антивирусом ничего не сказал, ну есть быть точнее

 

- На Вашем сайте не обнаружены вирусы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alex777msc    1

А я недавно столкнулся с таким гадом, который прописывается в .htaccess

Вирусный скрипт тупо не даёт посетителю попасть на ваш сайт, а всё время редиректит его на другие сайты, типа для обновления плеера или установить какой-нибудь модуль или прогу. Но отличительная его особенность в том, что это происходит только на телефонах или планшетниках!!! Со стационарного компа и ноута открывается без нареканий.  А дальше те кто заходил на мой заражённый сайт, мучались с такой же проблемой.

Вот собственно скрин, где сидит эта зараза.3919266.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TermoBYTE    0

http://spraos.pw/crossdomain.xml - на неё клацать не стоит.

это не вирус, а файл безопасности для флеш плеера тоесть флеш ролика работающего на вашем сайте.

подробнее изучайте в гугле/яндексе)))

https://www.google.ru/search?client=opera&q=crossdomain.xml&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest

http://yandex.ru/yandsearch?clid=9582&text=crossdomain.xml&lr=77

 

так же хотелось бы посмотреть содержимое этого файла!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexvlii    5

поймал на сайты похожую беду что и alex777msc

сначала от хостера пришло письмо что сайты с моим IP спамят и заблокировали на них отправку почты 

 

с мобильными аппаратами проблема не войти на сайт 

 

в .htaccess обнаружил нечто подобное чир и alex777msc почистил , но вероятно ещё гдето что то сидит 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexvlii    5

В продолжение 

запустили скрипт Ай болит , который нашел на сайтах кучу подозрительных Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:

все остальные антивирусы сообщали что вирусов нет , все хорошо 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Похожий контент

    • От kaaspb
      Добрый день
      сейчас начитался форума и понял,что столкнулся с проблемой. с которой многие сталкивались: ничего не понимая в вопросах сайтостроительства заказал сайт фрилансеру, он написал сколько это будет стоить,я оплатил, он все вроде бы сделал, а сейчас с ним нет связи. И теперь не понимаю,что покупалось для нашего сайта, что он использовал.... нет ли дыр или троянов каких на сайте
       
      есть ли специалисты по безопасности проверить сайт, естественно заранее договорившись об оплате
      спасибо
    • От storagevash
      Ещё прежде не сталкивался с вопросами безопасности ранее. У меня одна база данных на два  сайта, оба на ocstore 1.5.5.1.2.  Один посложнее  весь в модулях, другой облегчённый. То на одном, то на другом  начинаются вредоносные ставки во все страницы

      <meta http-equiv="refresh" content="0;url=http://ww2.googlejavascript.com/?folio=7POJ4E717" />
       
       сканирую бесплатными сервисами, но не могу  найти, что именно вписывает вредоносные коды. Как найти виновника?! Эту дырку в сайте. Что порекомендуете?
       
      сейчас  www.2450210.ru - полностью атакован. А главный на той же базе www.efler.ru - работает. И сканеры не видят там  проблем.  Причём на 2450210  я  уже  перезалил с исходника  окстор  все  javescript , отключил все модули. куда  мог  попасть вредоносный код?
    • От Absalem
      Всем привет!
      Пациент - *******
      На главной странице с правой стороны маленькие баннеры, при клике по любому из них в новой вкладке открывается целевая страница, а в предыдущей вкладке вместо моего исходного сайта происходит непонятный редирект, который ведёт то на лингвалео, то на озон, то ещё куда (срабатывает по одному разу на устройство/браузер).
      Не могу найти код-вредитель, даже проверила айболитом - ничего не находит :(
      Помогите, пожалуйста!
    • От Absalem
      Добрый день! Для чего нужен этот файл - crossdomain.xml? В корне последнего окстора лежал.
      Содержимое внутри:
      <?xml version="1.0"?> <!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd"> <cross-domain-policy> <allow-access-from domain="*"/> </cross-domain-policy>  
    • От sashenka
      Добрый день, потихоньку изучаю опенкарт 1.5.6 на своей сайте. Столкнулась со странной картиной пару дней назад.В  админ. панели  раздел "Клиенты онлайн" отображаются Ip посетителей и адреса страниц сайта где они находятся. Всегда там были страницы моего сайта, а теперь мелькают урлы сторонних не связанных с моим по тематике разнообразных сайтов.

      Обратилась к хостингу на предмет попыток взлома и наличия вредоносного на сайте. Хостинг сказал все чисто. 

      Что это такое как с этим бороться? Буду рада любым ответам и помощи. Спасибо.

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу