Не понятный вирус появился на opencart

[BeliyPrizrak 1]

Буквально 2 дня назад открываю я свои сайты и что я вижу Касперский даёт хипишу на два моих сайта на opencart, на хосте по мимо их лежат ещё сайты, но вирус на них не распостронился, только на opencart.
http://syveniroff.com/
http://dyxoff.com/
вот мои чудо сайты

----

вот что мочит антивирус

Не нравиться ему вот такая вот штука

http://spraos.pw/crossdomain.xml - на неё клацать не стоит.

перерыл все файлы сайт какие могли быть изменены ничего не нашёл все JS перерыл, и ничего!
Выручайте пиплы....

[baxabit 73]

Файлы ж нестандартные? Значит что-то меняли или устанавливали?

Сток_статус кэшируется. Очистите весь кэш.

[baxabit 73]

Было бы удобнее )))
А в двух словах, что данный код "делает" ?

[BeliyPrizrak 1]

Было бы удобнее )))

А в двух словах, что данный код "делает" ?

судя по коду до хренище все в плоть того что тырит базу данных

[baxabit 73]

Если б Вы ещё узнали как ОНО попало..)))

[BeliyPrizrak 1]

Если б Вы ещё узнали как ОНО попало..)))

Пересмотрел логи FTP так и не выкупил, по логам ваще показывалось что с моего айпи попало на сайт 6 числа, но мне больше всего кажеться что он уже был там изначально, а активировался только позавчера, нашёл в нэте подобную траблу без решения, и тип описывал этот вирус, и написал что он не сразу начинает работать!!! ну я почистил всё, а там посмотрим если появиться опять будем ковырять все файлы сайта!!!

Всё же лучше подготавливать людей к подобному! я вот весь день убил пока разобрался и нашёл их!!

[delovoy 52]

Жесть какая, что то вирусы на вирусах у всех  :ugeek:

 

А антивирем декстопным проверяли или сетевым?

[afwollis 1 091]

если вы разработчик, то видимо юзаете варез.

если заказчик - видимо кинули разработчика.

 

есть и другие варианты, но эти - наиболее вероятные.

 

upd:

судя по "размещенным" дополнениям - однозначно варез.

[Zhenjko 0]

Тоже на одном сайте объявился вирус, стартовая страница на вордпрессе, опенкарт как  site/shop был. Каспер начал ругаться, нашел несколько файлов в вордпрессе, сейчас переименовал каталог магазина-перестал ругаться.
Не могу понять, магазин с вордпрессом никак не связан а залез на стартовую страницу.

[BeliyPrizrak 1]

если вы разработчик, то видимо юзаете варез.

если заказчик - видимо кинули разработчика.

 

есть и другие варианты, но эти - наиболее вероятные.

 

upd:

судя по "размещенным" дополнениям - однозначно варез.

я бы не сказал что я разраб, но эти сайты клипал методом тыка, а по поводу вируса, у нас в офисе сеть большая и мы тут увольняли одного, мог закосячить, но вероятность того что он закосячил очень мала. а так в нэте заметил что подобный вирус появлялся и на WP.

[BeliyPrizrak 1]

Жесть какая, что то вирусы на вирусах у всех  :ugeek:

 

А антивирем декстопным проверяли или сетевым?

Прикол в том, что даже хост со своим сетевым антивирусом ничего не сказал, ну есть быть точнее

 

- На Вашем сайте не обнаружены вирусы

[alex777msc 1]

А я недавно столкнулся с таким гадом, который прописывается в .htaccess

Вирусный скрипт тупо не даёт посетителю попасть на ваш сайт, а всё время редиректит его на другие сайты, типа для обновления плеера или установить какой-нибудь модуль или прогу. Но отличительная его особенность в том, что это происходит только на телефонах или планшетниках!!! Со стационарного компа и ноута открывается без нареканий.  А дальше те кто заходил на мой заражённый сайт, мучались с такой же проблемой.

Вот собственно скрин, где сидит эта зараза.

[TermoBYTE 0]

http://spraos.pw/crossdomain.xml - на неё клацать не стоит.

это не вирус, а файл безопасности для флеш плеера тоесть флеш ролика работающего на вашем сайте.

подробнее изучайте в гугле/яндексе)))

https://www.google.ru/search?client=opera&q=crossdomain.xml&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest

http://yandex.ru/yandsearch?clid=9582&text=crossdomain.xml&lr=77

 

так же хотелось бы посмотреть содержимое этого файла!

[alexvlii 5]

поймал на сайты похожую беду что и alex777msc

сначала от хостера пришло письмо что сайты с моим IP спамят и заблокировали на них отправку почты 

 

с мобильными аппаратами проблема не войти на сайт 

 

в .htaccess обнаружил нечто подобное чир и alex777msc почистил , но вероятно ещё гдето что то сидит 

[alexvlii 5]

В продолжение 

запустили скрипт Ай болит , который нашел на сайтах кучу подозрительных Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:

все остальные антивирусы сообщали что вирусов нет , все хорошо