Перейти к содержанию
Yuriy1987

Файл response.php ссылается на сторонний ресурс

Рекомендуемые сообщения

Ребят, помогите с проблемой,

сегодня заметил что 3 сайта на OC очень медленно работают,

обратился к хостеру, он сказал вот что:

 

Здравствуйте.

 

Причиной является недоступность ресурса [warez], к которому сайты обращаются в файлах ~/domains/имя домена/public_html/system/library/response.php на строке 68. Для решения проблемы Вы можете обратиться к администратору данного ресурса с вопросам о его недоступности, или же убрать данное обращение из кода сайтов.

 

Заменил файл на дефолтный, сайт стал заметно быстрее работать.

Как я понял, файл был заменен во время установки одного из модулей.

Только для чего делать, что-бы сайт обращался на сторонний ресурс?

Или же сайт был взломан?

Хочу сразу сказать что варезными модулями не пользуюсь, все модули (платные и бесплатные) с этого форума.

 

Разъясните пожалуйста, из-за чего возникла ситуация.

Заранее благодарен!

response.php

response.php

response.php

response.php

Изменено пользователем afwollis
[warez]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

либо скачали движок во время взлома форума, когда ссылка на архив была заменена, либо модуль(и) в то же время, либо таки любите халяву.

поищите по архивам используемых дополнений вредоносный код, который отсутствует в оригинальном файле response.php и узнаете, откуда ноги растут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

либо скачали движок во время взлома форума, когда ссылка на архив была заменена, либо модуль(и) в то же время, либо таки любите халяву.

поищите по архивам используемых дополнений вредоносный код, который отсутствует в оригинальном файле response.php и узнаете, откуда ноги растут.

Понял, спасибо! PS - халявой не пользуюсь, не так дороги модули, чтобы их с левых сайтов качать, да к тому же купил оригинальный - можно к разработчику с вопросом обратиться, а скачал где нибудь бесплатно - сам мучайся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Похоже, что количество жертв все растет

 

gPkt+.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Жесть... А этот код может быть же по идее в любом файле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Line 21:         $settings = unserialize(base64_decode($this->default_settings));
	Line 80:                 $tmp = unserialize(base64_decode($content));
	Line 633:                 $this->settings = unserialize(base64_decode($this->default_settings));
	Line 740:                 $this->settings = unserialize(base64_decode($this->default_settings));
Search "base64_decode" (0 hits in 0 files)

Начал проверять установленные модули...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а если точнее, то даже так: ищите зараженный файл response.php в архивах дополнений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если этот код я обнаружил в файлах модуля Simple?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Значит всё же не все модули куплены .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если все же все они куплены? Тогда что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

давайте у разработчика модуля может спросим? я с ним неоднократно общался, он мне помогал в доработке...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

давайте у разработчика модуля может спросим? я с ним неоднократно общался, он мне помогал в доработке...

Я думаю он может подтвердить факт покупки модуля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В файле  system\library\simple\simple.php, только что проверил.
 
d1f6453325a1.png
 
 

 if (preg_match('/(mini 9.5|vx1000|lge |m800|e860|u940|ux840|compal|'.
        'wireless| mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|'.
        'lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|'.
        'mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|'.
        'm881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|'.
        'r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|'.
        'i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|'.
        'htil-g1|fly v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|'.
        'sanyo|vx54|c888|nx250|n120|mtk |c5588|s710|t880|c5005|i;458x|'.
        'p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|'.
        '_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|'.
        's800|8325rc|ac831|mw200|brew |d88|htc\/|htc_touch|355x|m50|km100|'.
        'd736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg |'.
        'sonyericsson|samsung|240x|x320vx10|nokia|sony cmd|motorola|'.
        'up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|'.
        'pocket|kindle|mobile|psp|treo)/', $user_agent)) {
            return 3;
        }


        if (in_array(substr($user_agent,0,4),
        Array("1207", "3gso", "4thp", "501i", "502i", "503i", "504i", "505i", "506i",
              "6310", "6590", "770s", "802s", "a wa", "abac", "acer", "acoo", "acs-",
              "aiko", "airn", "alav", "alca", "alco", "amoi", "anex", "anny", "anyw",
              "aptu", "arch", "argo", "aste", "asus", "attw", "au-m", "audi", "aur ",
              "aus ", "avan", "beck", "bell", "benq", "bilb", "bird", "blac", "blaz",
              "brew", "brvw", "bumb", "bw-n", "bw-u", "c55/", "capi", "ccwa", "cdm-",
              "cell", "chtm", "cldc", "cmd-", "cond", "craw", "dait", "dall", "dang",
              "dbte", "dc-s", "devi", "dica", "dmob", "doco", "dopo", "ds-d", "ds12",
              "el49", "elai", "eml2", "emul", "eric", "erk0", "esl8", "ez40", "ez60",
              "ez70", "ezos", "ezwa", "ezze", "fake", "fetc", "fly-", "fly_", "g-mo",
              "g1 u", "g560", "gene", "gf-5", "go.w", "good", "grad", "grun", "haie",
              "hcit", "hd-m", "hd-p", "hd-t", "hei-", "hiba", "hipt", "hita", "hp i",
              "hpip", "hs-c", "htc ", "htc-", "htc_", "htca", "htcg", "htcp", "htcs",
              "htct", "http", "huaw", "hutc", "i-20", "i-go", "i-ma", "i230", "iac",
              "iac-", "iac/", "ibro", "idea", "ig01", "ikom", "im1k", "inno", "ipaq",
              "iris", "jata", "java", "jbro", "jemu", "jigs", "kddi", "keji", "kgt",
              "kgt/", "klon", "kpt ", "kwc-", "kyoc", "kyok", "leno", "lexi", "lg g",
              "lg-a", "lg-b", "lg-c", "lg-d", "lg-f", "lg-g", "lg-k", "lg-l", "lg-m",
              "lg-o", "lg-p", "lg-s", "lg-t", "lg-u", "lg-w", "lg/k", "lg/l", "lg/u",
              "lg50", "lg54", "lge-", "lge/", "libw", "lynx", "m-cr", "m1-w", "m3ga",
              "m50/", "mate", "maui", "maxo", "mc01", "mc21", "mcca", "medi", "merc",
              "meri", "midp", "mio8", "mioa", "mits", "mmef", "mo01", "mo02", "mobi",
              "mode", "modo", "mot ", "mot-", "moto", "motv", "mozz", "mt50", "mtp1",
              "mtv ", "mwbp", "mywa", "n100", "n101", "n102", "n202", "n203", "n300",
              "n302", "n500", "n502", "n505", "n700", "n701", "n710", "nec-", "nem-",
              "neon", "netf", "newg", "newt", "nok6", "noki", "nzph", "o2 x", "o2-x",
              "o2im", "opti", "opwv", "oran", "owg1", "p800", "palm", "pana", "pand",
              "pant", "pdxg", "pg-1", "pg-2", "pg-3", "pg-6", "pg-8", "pg-c", "pg13",
              "phil", "pire", "play", "pluc", "pn-2", "pock", "port", "pose", "prox",
              "psio", "pt-g", "qa-a", "qc-2", "qc-3", "qc-5", "qc-7", "qc07", "qc12",
              "qc21", "qc32", "qc60", "qci-", "qtek", "qwap", "r380", "r600", "raks",
              "rim9", "rove", "rozo", "s55/", "sage", "sama", "samm", "sams", "sany",
              "sava", "sc01", "sch-", "scoo", "scp-", "sdk/", "se47", "sec-", "sec0",
              "sec1", "semc", "send", "seri", "sgh-", "shar", "sie-", "siem", "sk-0",
              "sl45", "slid", "smal", "smar", "smb3", "smit", "smt5", "soft", "sony",
              "sp01", "sph-", "spv ", "spv-", "sy01", "symb", "t-mo", "t218", "t250",
              "t600", "t610", "t618", "tagt", "talk", "tcl-", "tdg-", "teli", "telm",
              "tim-", "topl", "tosh", "treo", "ts70", "tsm-", "tsm3", "tsm5", "tx-9",
              "up.b", "upg1", "upsi", "utst", "v400", "v750", "veri", "virg", "vite",
              "vk-v", "vk40", "vk50", "vk52", "vk53", "vm40", "voda", "vulc", "vx52",
              "vx53", "vx60", "vx61", "vx70", "vx80", "vx81", "vx83", "vx85", "vx98",
              "w3c ", "w3c-", "wap-", "wapa", "wapi", "wapj", "wapm", "wapp", "wapr",
              "waps", "wapt", "wapu", "wapv", "wapy", "webc", "whit", "wig ", "winc",
              "winw", "wmlb", "wonu", "x700", "xda-", "xda2", "xdag", "yas-", "your",
              "zeto", "zte-"))) {
            return 4;
        }

Хотя может я туплю и у меня паранойя))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Модуль Simple тоже был заражен, так что не обязательно было его скачивать на варезниках, чтобы подхватить вредоносный код

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это я скачал только что с форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А я ответил на реплику выше)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Получается сейчас на форуме модуль с вирусами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

нет. это всего навсего функция is_mobile, которую добавил автор, видимо для нужд модуля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

напрасно панику развел я) просто получается что на 2х сайтах на которых стоит модуль был зараженный файл response.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так в итоге, откуда мог попасть вирус, как думаете? Просто файлы движка у меня сохранены в архиве, из него сегодня заменял зараженный файл, так что версия со скаченным "зараженным" движком отпадает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так в итоге, откуда мог попасть вирус, как думаете? Просто файлы движка у меня сохранены в архиве, из него сегодня заменял зараженный файл, так что версия со скаченным "зараженным" движком отпадает...

Я же написал, в файлы модуля Simple (не сейчас, а когда заражению подвергся оригинальный дистрибутив на этом форуме, т.е. в начале апреля) был добавлен вредоносный response.php, возможно вы скачали какую-то из версий модуля как раз в то время, после чего обновляли ее, перезаписывая новые версии, в которых файла response.php не было, поэтому сам модуль обновлялся, а этот плохой файлик  все это время не перезаписывался.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Понял, скорее всего так и произошло, спасибо всем за ответы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я же написал, в файлы модуля Simple (не сейчас, а когда заражению подвергся оригинальный дистрибутив на этом форуме, т.е. в начале апреля) был добавлен вредоносный response.php, возможно вы скачали какую-то из версий модуля как раз в то время, после чего обновляли ее, перезаписывая новые версии, в которых файла response.php не было, поэтому сам модуль обновлялся, а этот плохой файлик  все это время не перезаписывался.

В дополнение ко всему сказанному.

Этот код (что выше) проверяет юзер агент на мобильные устройства.

По заражению моего модуля и сборки опенкарта есть даже отдельная тема на форуме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.