Файл response.php ссылается на сторонний ресурс

Yuriy1987 · 10 грудня 2013

Ребят, помогите с проблемой,

сегодня заметил что 3 сайта на OC очень медленно работают,

обратился к хостеру, он сказал вот что:

Здравствуйте.

Причиной является недоступность ресурса [warez], к которому сайты обращаются в файлах ~/domains/имя домена/public_html/system/library/response.php на строке 68. Для решения проблемы Вы можете обратиться к администратору данного ресурса с вопросам о его недоступности, или же убрать данное обращение из кода сайтов.

Заменил файл на дефолтный, сайт стал заметно быстрее работать.

Как я понял, файл был заменен во время установки одного из модулей.

Только для чего делать, что-бы сайт обращался на сторонний ресурс?

Или же сайт был взломан?

Хочу сразу сказать что варезными модулями не пользуюсь, все модули (платные и бесплатные) с этого форума.

Разъясните пожалуйста, из-за чего возникла ситуация.

Заранее благодарен!

response.php

Змінено 10 грудня 2013 користувачем afwollis
[warez]

krumax · 10 грудня 2013

Почитайте это https://opencartforum.com/topic/22202-proverka-na-nalichie-vredonosnogo-koda-na-vashikh/

afwollis · 10 грудня 2013

либо скачали движок во время взлома форума, когда ссылка на архив была заменена, либо модуль(и) в то же время, либо таки любите халяву.

поищите по архивам используемых дополнений вредоносный код, который отсутствует в оригинальном файле response.php и узнаете, откуда ноги растут.

Yuriy1987 · 10 грудня 2013

либо скачали движок во время взлома форума, когда ссылка на архив была заменена, либо модуль(и) в то же время, либо таки любите халяву.

поищите по архивам используемых дополнений вредоносный код, который отсутствует в оригинальном файле response.php и узнаете, откуда ноги растут.

Понял, спасибо! PS - халявой не пользуюсь, не так дороги модули, чтобы их с левых сайтов качать, да к тому же купил оригинальный - можно к разработчику с вопросом обратиться, а скачал где нибудь бесплатно - сам мучайся...

RGB · 10 грудня 2013

Похоже, что количество жертв все растет

Yuriy1987 · 10 грудня 2013

Жесть... А этот код может быть же по идее в любом файле?

Yuriy1987 · 10 грудня 2013

Line 21:         $settings = unserialize(base64_decode($this->default_settings));
	Line 80:                 $tmp = unserialize(base64_decode($content));
	Line 633:                 $this->settings = unserialize(base64_decode($this->default_settings));
	Line 740:                 $this->settings = unserialize(base64_decode($this->default_settings));
Search "base64_decode" (0 hits in 0 files)

Начал проверять установленные модули...

afwollis · 10 грудня 2013

а если точнее, то даже так: ищите зараженный файл response.php в архивах дополнений.

Yuriy1987 · 10 грудня 2013

А если этот код я обнаружил в файлах модуля Simple?

Tom · 10 грудня 2013

Значит всё же не все модули куплены .

Yuriy1987 · 10 грудня 2013

А если все же все они куплены? Тогда что?

Yuriy1987 · 10 грудня 2013

давайте у разработчика модуля может спросим? я с ним неоднократно общался, он мне помогал в доработке...

Yuriy1987 · 10 грудня 2013

давайте у разработчика модуля может спросим? я с ним неоднократно общался, он мне помогал в доработке...

Я думаю он может подтвердить факт покупки модуля.

Tom · 10 грудня 2013

В файле system\library\simple\simple.php, только что проверил.

 if (preg_match('/(mini 9.5|vx1000|lge |m800|e860|u940|ux840|compal|'.
        'wireless| mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|'.
        'lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|'.
        'mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|'.
        'm881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|'.
        'r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|'.
        'i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|'.
        'htil-g1|fly v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|'.
        'sanyo|vx54|c888|nx250|n120|mtk |c5588|s710|t880|c5005|i;458x|'.
        'p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|'.
        '_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|'.
        's800|8325rc|ac831|mw200|brew |d88|htc\/|htc_touch|355x|m50|km100|'.
        'd736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg |'.
        'sonyericsson|samsung|240x|x320vx10|nokia|sony cmd|motorola|'.
        'up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|'.
        'pocket|kindle|mobile|psp|treo)/', $user_agent)) {
            return 3;
        }


        if (in_array(substr($user_agent,0,4),
        Array("1207", "3gso", "4thp", "501i", "502i", "503i", "504i", "505i", "506i",
              "6310", "6590", "770s", "802s", "a wa", "abac", "acer", "acoo", "acs-",
              "aiko", "airn", "alav", "alca", "alco", "amoi", "anex", "anny", "anyw",
              "aptu", "arch", "argo", "aste", "asus", "attw", "au-m", "audi", "aur ",
              "aus ", "avan", "beck", "bell", "benq", "bilb", "bird", "blac", "blaz",
              "brew", "brvw", "bumb", "bw-n", "bw-u", "c55/", "capi", "ccwa", "cdm-",
              "cell", "chtm", "cldc", "cmd-", "cond", "craw", "dait", "dall", "dang",
              "dbte", "dc-s", "devi", "dica", "dmob", "doco", "dopo", "ds-d", "ds12",
              "el49", "elai", "eml2", "emul", "eric", "erk0", "esl8", "ez40", "ez60",
              "ez70", "ezos", "ezwa", "ezze", "fake", "fetc", "fly-", "fly_", "g-mo",
              "g1 u", "g560", "gene", "gf-5", "go.w", "good", "grad", "grun", "haie",
              "hcit", "hd-m", "hd-p", "hd-t", "hei-", "hiba", "hipt", "hita", "hp i",
              "hpip", "hs-c", "htc ", "htc-", "htc_", "htca", "htcg", "htcp", "htcs",
              "htct", "http", "huaw", "hutc", "i-20", "i-go", "i-ma", "i230", "iac",
              "iac-", "iac/", "ibro", "idea", "ig01", "ikom", "im1k", "inno", "ipaq",
              "iris", "jata", "java", "jbro", "jemu", "jigs", "kddi", "keji", "kgt",
              "kgt/", "klon", "kpt ", "kwc-", "kyoc", "kyok", "leno", "lexi", "lg g",
              "lg-a", "lg-b", "lg-c", "lg-d", "lg-f", "lg-g", "lg-k", "lg-l", "lg-m",
              "lg-o", "lg-p", "lg-s", "lg-t", "lg-u", "lg-w", "lg/k", "lg/l", "lg/u",
              "lg50", "lg54", "lge-", "lge/", "libw", "lynx", "m-cr", "m1-w", "m3ga",
              "m50/", "mate", "maui", "maxo", "mc01", "mc21", "mcca", "medi", "merc",
              "meri", "midp", "mio8", "mioa", "mits", "mmef", "mo01", "mo02", "mobi",
              "mode", "modo", "mot ", "mot-", "moto", "motv", "mozz", "mt50", "mtp1",
              "mtv ", "mwbp", "mywa", "n100", "n101", "n102", "n202", "n203", "n300",
              "n302", "n500", "n502", "n505", "n700", "n701", "n710", "nec-", "nem-",
              "neon", "netf", "newg", "newt", "nok6", "noki", "nzph", "o2 x", "o2-x",
              "o2im", "opti", "opwv", "oran", "owg1", "p800", "palm", "pana", "pand",
              "pant", "pdxg", "pg-1", "pg-2", "pg-3", "pg-6", "pg-8", "pg-c", "pg13",
              "phil", "pire", "play", "pluc", "pn-2", "pock", "port", "pose", "prox",
              "psio", "pt-g", "qa-a", "qc-2", "qc-3", "qc-5", "qc-7", "qc07", "qc12",
              "qc21", "qc32", "qc60", "qci-", "qtek", "qwap", "r380", "r600", "raks",
              "rim9", "rove", "rozo", "s55/", "sage", "sama", "samm", "sams", "sany",
              "sava", "sc01", "sch-", "scoo", "scp-", "sdk/", "se47", "sec-", "sec0",
              "sec1", "semc", "send", "seri", "sgh-", "shar", "sie-", "siem", "sk-0",
              "sl45", "slid", "smal", "smar", "smb3", "smit", "smt5", "soft", "sony",
              "sp01", "sph-", "spv ", "spv-", "sy01", "symb", "t-mo", "t218", "t250",
              "t600", "t610", "t618", "tagt", "talk", "tcl-", "tdg-", "teli", "telm",
              "tim-", "topl", "tosh", "treo", "ts70", "tsm-", "tsm3", "tsm5", "tx-9",
              "up.b", "upg1", "upsi", "utst", "v400", "v750", "veri", "virg", "vite",
              "vk-v", "vk40", "vk50", "vk52", "vk53", "vm40", "voda", "vulc", "vx52",
              "vx53", "vx60", "vx61", "vx70", "vx80", "vx81", "vx83", "vx85", "vx98",
              "w3c ", "w3c-", "wap-", "wapa", "wapi", "wapj", "wapm", "wapp", "wapr",
              "waps", "wapt", "wapu", "wapv", "wapy", "webc", "whit", "wig ", "winc",
              "winw", "wmlb", "wonu", "x700", "xda-", "xda2", "xdag", "yas-", "your",
              "zeto", "zte-"))) {
            return 4;
        }

Хотя может я туплю и у меня паранойя))))

RGB · 10 грудня 2013

Модуль Simple тоже был заражен, так что не обязательно было его скачивать на варезниках, чтобы подхватить вредоносный код

Tom · 10 грудня 2013

Это я скачал только что с форума.

RGB · 10 грудня 2013

А я ответил на реплику выше)

Yuriy1987 · 10 грудня 2013

Получается сейчас на форуме модуль с вирусами?

Tom · 10 грудня 2013

Возможно.

freelancer · 10 грудня 2013

нет. это всего навсего функция is_mobile, которую добавил автор, видимо для нужд модуля.

Yuriy1987 · 10 грудня 2013

напрасно панику развел я) просто получается что на 2х сайтах на которых стоит модуль был зараженный файл response.php

Yuriy1987 · 10 грудня 2013

Так в итоге, откуда мог попасть вирус, как думаете? Просто файлы движка у меня сохранены в архиве, из него сегодня заменял зараженный файл, так что версия со скаченным "зараженным" движком отпадает...

RGB · 10 грудня 2013

Так в итоге, откуда мог попасть вирус, как думаете? Просто файлы движка у меня сохранены в архиве, из него сегодня заменял зараженный файл, так что версия со скаченным "зараженным" движком отпадает...

Я же написал, в файлы модуля Simple (не сейчас, а когда заражению подвергся оригинальный дистрибутив на этом форуме, т.е. в начале апреля) был добавлен вредоносный response.php, возможно вы скачали какую-то из версий модуля как раз в то время, после чего обновляли ее, перезаписывая новые версии, в которых файла response.php не было, поэтому сам модуль обновлялся, а этот плохой файлик все это время не перезаписывался.

Yuriy1987 · 10 грудня 2013

Понял, скорее всего так и произошло, спасибо всем за ответы!

deeman · 10 грудня 2013

Я же написал, в файлы модуля Simple (не сейчас, а когда заражению подвергся оригинальный дистрибутив на этом форуме, т.е. в начале апреля) был добавлен вредоносный response.php, возможно вы скачали какую-то из версий модуля как раз в то время, после чего обновляли ее, перезаписывая новые версии, в которых файла response.php не было, поэтому сам модуль обновлялся, а этот плохой файлик все это время не перезаписывался.

В дополнение ко всему сказанному.

Этот код (что выше) проверяет юзер агент на мобильные устройства.

По заражению моего модуля и сборки опенкарта есть даже отдельная тема на форуме

Вхід

Файл response.php ссылается на сторонний ресурс

Recommended Posts

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Створити обліковий запис

Вхід

Зараз на сторінці 0 користувачів

Покупцям

Розробникам

Корисна інформація

Останні розширення

Important Information