Jump to content
Sign in to follow this  
BeliyPrizrak

Не понятный вирус появился на opencart

Recommended Posts

Буквально 2 дня назад открываю я свои сайты и что я вижу Касперский даёт хипишу на два моих сайта на opencart, на хосте по мимо их лежат ещё сайты, но вирус на них не распостронился, только на opencart.
http://syveniroff.com/
http://dyxoff.com/
вот мои чудо сайты

----

вот что мочит антивирус
8z6iqxrG802MWqOWwPXxGw.jpg


Не нравиться ему вот такая вот штука

http://spraos.pw/crossdomain.xml - на неё клацать не стоит.


перерыл все файлы сайт какие могли быть изменены ничего не нашёл все JS перерыл, и ничего!
Выручайте пиплы....

Share this post


Link to post
Share on other sites

Файлы ж нестандартные? Значит что-то меняли или устанавливали?

Сток_статус кэшируется. Очистите весь кэш.

Share this post


Link to post
Share on other sites


Было бы удобнее )))
А в двух словах, что данный код "делает" ?

Share this post


Link to post
Share on other sites

Было бы удобнее )))

А в двух словах, что данный код "делает" ?

судя по коду до хренище все в плоть того что тырит базу данных

Share this post


Link to post
Share on other sites

Если б Вы ещё узнали как ОНО попало..)))

Share this post


Link to post
Share on other sites

Если б Вы ещё узнали как ОНО попало..)))

Пересмотрел логи FTP так и не выкупил, по логам ваще показывалось что с моего айпи попало на сайт 6 числа, но мне больше всего кажеться что он уже был там изначально, а активировался только позавчера, нашёл в нэте подобную траблу без решения, и тип описывал этот вирус, и написал что он не сразу начинает работать!!! ну я почистил всё, а там посмотрим если появиться опять будем ковырять все файлы сайта!!!

Всё же лучше подготавливать людей к подобному! я вот весь день убил пока разобрался и нашёл их!!

Share this post


Link to post
Share on other sites

Жесть какая, что то вирусы на вирусах у всех  :ugeek:

 

А антивирем декстопным проверяли или сетевым?

Share this post


Link to post
Share on other sites

если вы разработчик, то видимо юзаете варез.

если заказчик - видимо кинули разработчика.

 

есть и другие варианты, но эти - наиболее вероятные.

 

upd:

судя по "размещенным" дополнениям - однозначно варез.

Share this post


Link to post
Share on other sites

Тоже на одном сайте объявился вирус, стартовая страница на вордпрессе, опенкарт как  site/shop был. Каспер начал ругаться, нашел несколько файлов в вордпрессе, сейчас переименовал каталог магазина-перестал ругаться.
Не могу понять, магазин с вордпрессом никак не связан а залез на стартовую страницу.

Share this post


Link to post
Share on other sites

если вы разработчик, то видимо юзаете варез.

если заказчик - видимо кинули разработчика.

 

есть и другие варианты, но эти - наиболее вероятные.

 

upd:

судя по "размещенным" дополнениям - однозначно варез.

я бы не сказал что я разраб, но эти сайты клипал методом тыка, а по поводу вируса, у нас в офисе сеть большая и мы тут увольняли одного, мог закосячить, но вероятность того что он закосячил очень мала. а так в нэте заметил что подобный вирус появлялся и на WP.

Share this post


Link to post
Share on other sites

Жесть какая, что то вирусы на вирусах у всех  :ugeek:

 

А антивирем декстопным проверяли или сетевым?

Прикол в том, что даже хост со своим сетевым антивирусом ничего не сказал, ну есть быть точнее

 

- На Вашем сайте не обнаружены вирусы

Share this post


Link to post
Share on other sites

А я недавно столкнулся с таким гадом, который прописывается в .htaccess

Вирусный скрипт тупо не даёт посетителю попасть на ваш сайт, а всё время редиректит его на другие сайты, типа для обновления плеера или установить какой-нибудь модуль или прогу. Но отличительная его особенность в том, что это происходит только на телефонах или планшетниках!!! Со стационарного компа и ноута открывается без нареканий.  А дальше те кто заходил на мой заражённый сайт, мучались с такой же проблемой.

Вот собственно скрин, где сидит эта зараза.3919266.jpg

  • +1 1

Share this post


Link to post
Share on other sites

http://spraos.pw/crossdomain.xml - на неё клацать не стоит.

это не вирус, а файл безопасности для флеш плеера тоесть флеш ролика работающего на вашем сайте.

подробнее изучайте в гугле/яндексе)))

https://www.google.ru/search?client=opera&q=crossdomain.xml&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest

http://yandex.ru/yandsearch?clid=9582&text=crossdomain.xml&lr=77

 

так же хотелось бы посмотреть содержимое этого файла!

Share this post


Link to post
Share on other sites

поймал на сайты похожую беду что и alex777msc

сначала от хостера пришло письмо что сайты с моим IP спамят и заблокировали на них отправку почты 

 

с мобильными аппаратами проблема не войти на сайт 

 

в .htaccess обнаружил нечто подобное чир и alex777msc почистил , но вероятно ещё гдето что то сидит 

  • +1 1

Share this post


Link to post
Share on other sites

В продолжение 

запустили скрипт Ай болит , который нашел на сайтах кучу подозрительных Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:

все остальные антивирусы сообщали что вирусов нет , все хорошо 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By empty
      Добрый день.
       
      Перенес сайт на хостинг клиента, хостинг Hetcer, сайт https://confento.com, шаблон стандартный, и через некоторое время он оказался зараженным.
      Через ai-bolit прогнал, удалил все зараженные файлы, скрипты, заново рекурсивно в ISP панели выставил 755 на папки и 644 на файлы.
      Починил.
      Проходит дня 3-4 - ситуация повторилась вновь.
      .htaccess права с 644 сменил на 444, куча индексных файлов, index.html.bak.bak, в index.php ссылка на хедер вордпресса (оО), в айболите 8 заражений, куча каких то левых .php файлов.
      Все удалил, полазил по папкам, нашел кучу файлов левых, тоже удалил, снова права поправил.
      Но чувствую что в какой то момент снова может оказаться такая беда.
      Вот установленные дополнения - http://joxi.ru/4AkQEbOIydqozm - может кто в курсе, что с какого-то из них лезет вирусня.
       
      Подскажите пожалуйста, каким образом можно выявить, где уязвимость? Как узнать откуда лезет весь этот мусор?
      Так же - как можно защитить сайт от вирусных атак?
       
      Спасибо!
    • By Kapitoxaxa
      Ребята подскажите пожалуйста как это победить. Присутствует такая табличка только когда захожу на сайт через оперу.

    • By wolfxxx
      Ребята привет, подскажите плииз,
      В общем на хостинге стояла 3 сайта, на 2-их был установлен шаблон с вирусом.
      в итоге их стер.
      Начал проверять 3-ий и выскочила вот такая фигня, кто разбирается подскажите плиииз есть вирус или нет.
       
      Путь Изменение содержимого Размер blABLA/public_html/catalog/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:23 1.77 Kb /blABLA/public_html/admin/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:19 1.73 Kb blABLA.ru/public_html/catalog/controller/extension/payment/qiwi_rest.php [x] 1…);curl_setopt($ch,CURLOPT_USERPWD,$this->config->get('qiwi_rest_id').":".$this->config->get('qiwi_rest_password'));curl_ setopt($ch,CURLOPT_POSTFIELDS,http_build_query($data));curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);curl_setopt($ch,CUR  

    • By alldell
      Добрый вечер! Кто сталкивался помогите) Взломали сайты, пока заметил на двух оба на opencart, всего Пять на хостинге. Три на opencart два на wordpress. Недавно установил новый сайт
      на OcStore скачивал с форума, шаблон с оф сайта разработчика TechStore. Суть проблемы, когда заходишь на сайт с телефона вылезает на новостной баннер и ведёт по ссылке на Риа новости) И эта зараза переодически пропадает и появляется снова. Кто знает как это лечить? Может кто с этим сталкивался )
    • By kolek5520
      Добрый день всем.
      Гонял сайт через  сервис http://www.webpagetest.org
       
      и заметил, среди запросов, странные ведущие на ALIEXPRESS  И com-sale.ru
      https://yadi.sk/i/Nhiz-49D3QpYV5
       
  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.