[Решено {модули с вареза}] Переводит на левую страницу

[toleu]

Добрый вечер!

 

Только что заметил, что если сидеть около 30 сек на главной странице админки, то переводит на эту страницу:

http://www.vsemayki.ru/?ref=240038

 

Пароли на FTP сгенерированные стоят. Как такое могло случится, не понимаю.

 

Помогите кто чем может

Змінено 29 травня 2014 користувачем afwollis

[toleu]

Заметил такую особенность.

Переводит с админки на левую страницу, когда я на сайте лазаю.

К примеру, если открою товар какой нибудь, то во вкладке, где админка, открывается левая страница.

[Kompozitor]

блин, та же фигня.....

 

Только если я при редактировании статей вставляю картинку и нажимаю на "загрузить с сервера", открывается тоже этот

http://www.vsemayki.ru

  .......

[Kompozitor]

Сейчас на другой сайт уже перекидывает.... На

http://credit365.com.ua/

Через ссылку

http://rdr.salesdoubler.com.ua/in/offer/163?aid=6937

 

ППц, что за фигня....

 

Народ, помогите плиз!!))

Змінено 29 травня 2014 користувачем afwollis

[Dimitr55]

Здравствуйте форумчане.

Столкнулся с такой же проблемой и тот же сайт всемайки.

Пол дня рылся в каталогах и файлах магазина.

Конкретно ничего не нашел.

Единственное что удалось узнать, что это установился какой то скрипт, который открывает сайт всемайки сразу же на той странице, с которой переходят на сайт. 

Этот скрипт есть в коде элемента, но в коде страницы его почему то нет.

Может у кого то есть идеи как отследить эту дрянь?

Вот скриншот:

[Kompozitor]

Я уже даже бэкап сайта и базы сделал на два дня назад... Тогда проблем не было еще точно....

 

Проблема осталась... Ппц.

[Dimitr55]

Я уже даже бэкап сайта и базы сделал на два дня назад... Тогда проблем не было еще точно....

 

Проблема осталась... Ппц.

напиши сайт свой

[Kompozitor]

напиши сайт свой

tea24.com.ua

[Kompozitor]

Кароч, на хостинге мне написали:

 

или после восстановления был заражен повторно.
Для поиска вирусов на сайте скачайте сайт на локальный компьютер и выполните поиск по содержимому файлов, через например Тotal Commander.
Мало вероятно, что кот внедрен в открытом виде, следует также искать зашифрованное содержимое по фразе 'base64' (обратите внимание, что зашифрованными могут быть не только скрипты вируса, но и файлы модулей сайта, например с целью защиты авторских прав их разработчиками, поэтому следует сверять оригинальный код модуля и код на сайте). Как правило вирусы размещаются в начале или в конце файла.
также для предотвращения повторения проблемы воспользуйтесь следующими рекомендациями https://www.ukraine.com.ua/faq/#bezopasnost-hostinga|borba-s-virusami-na-sajte

 

Я:

Я примерно неделю назад устанавливал модуль Блога, ну понятно, что скачанный не официально.
Только что прошелся поиском по файлам его, и нашел там код по фразе 'base64'.

Файл прикрепляю.

Там base64 встречается несколько раз по файлу...
Правда в коде я мало понимаю. Может Вы посмотрите, большая вероятность что причина в этом модуле.

 

Вот кароче файл я прикрепляю.

 

blog_manager.xml

[Kompozitor]

Ура!!!)) Нашел решение кароче.

 

Скачал все файлы на комп, все проверил, и по фразе base64 нашел вредоносный код в файле

 

www/system/library/response.php

 

Там в самом низу файла куда непонятного кода.

 

Код пытался удалить просто, сайт не работает.

 

Заменил файл на дефолтный с опенкарта - ошибка пропала!!!

 

Вспомнил, откудова код этот взялся......

 

Качал модули с варезного сайта

 

И там при установке какого-то модуля был момент, о замене файла response.php  . Ну я такой, ниче не подозревая заменил.

 

И походу, там все модули такие порченные. Потому что качал оттудова несколько штук, и каждый раз про замену файла спрашивало.

 

Вот.

Змінено 26 травня 2014 користувачем AlexFisher
cenzoRED

[Dimitr55]

Ура!!!)) Нашел решение кароче.

 

Скачал все файлы на комп, все проверил, и по фразе base64 нашел вредоносный код в файле

 

www/system/library/response.php

 

Там в самом низу файла куда непонятного кода.

 

Код пытался удалить просто, сайт не работает.

 

Заменил файл на дефолтный с опенкарта - ошибка пропала!!!

 

Вспомнил, откудова код этот взялся......

 

Качал модули с варезного сайта

 

И там при установке какого-то модуля был момент, о замене файла response.php  . Ну я такой, ниче не подозревая заменил.

 

И походу, там все модули такие порченные. Потому что качал оттудова несколько штук, и каждый раз про замену файла спрашивало.

 

Вот.

 

Мне так же помогло.

Спасибо)

[andreyvebuiskii]

Добрый вечер!

 

Только что заметил, что если сидеть около 30 сек на главной странице админки, то переводит на эту страницу:

http://www.vsemayki.ru/?ref=240038

 

Сайт www.opticaeko.kz

 

Пароли на FTP сгенерированные стоят. Как такое могло случится, не понимаю.

 

Помогите кто чем может

 

Проскань этим virusdie.ru

Змінено 29 травня 2014 користувачем afwollis

[toleu]

Ура!!!)) Нашел решение кароче.

 

Скачал все файлы на комп, все проверил, и по фразе base64 нашел вредоносный код в файле

 

www/system/library/response.php

 

Там в самом низу файла куда непонятного кода.

 

Код пытался удалить просто, сайт не работает.

 

Заменил файл на дефолтный с опенкарта - ошибка пропала!!!

 

Вспомнил, откудова код этот взялся......

 

Качал модули с варезного сайта

 

И там при установке какого-то модуля был момент, о замене файла response.php  . Ну я такой, ниче не подозревая заменил.

 

И походу, там все модули такие порченные. Потому что качал оттудова несколько штук, и каждый раз про замену файла спрашивало.

 

Вот.

Написал тех. поддержки vsemaiki.ru и скинул реферальную ссылку.

В ответ спросили мой адрес сайта. Ответил.

Ответа пока нет, то сайт перестал перекидывать на левую страницу))

 

На всякий случай поменял пароль FTP.

[markimax]

Не надо качать модули на варезных сайтах. Там очень часто популярные модули "заражают" такого рода гадостями