Взломали сайт

[TheRock]

Ребят выручайте, подскажите что делать? Уже 2 раза за пол часа взломали сайт на опенкарт 1.5.6.4. В этот момент находился на сайте, усиленно пользовался файловым менеджером Power Image Manager

[halfhope]

Логи посещений сервера смотрите (пришлите).

[TheRock]

Логи посещений сервера смотрите (пришлите).

Вот логи

[halfhope]

Вот логи

 

А что именно делают? Откуда русский 1.5.6.4 качали? 

[TheRock]

А что именно делают? Откуда русский 1.5.6.4 качали? 

Убивают шаблон, русский качал с сайта

[TheRock]

А что именно делают? Откуда русский 1.5.6.4 качали? 

Ссылка на opencart

[TheRock]

А что именно делают? Откуда русский 1.5.6.4 качали? 

Кстати, Ваша фотография на сайте :-)

[halfhope]

Кстати, Ваша фотография на сайте :-)

 

Да, это мой блог и перевод тоже мой. :oops:

В файле admin/controller/filemanager.php есть функция connector? Если есть, то пришлите код функции или лучше файл полностью. Если же такой функции нет, то вы ее не видите))

[halfhope]

Контрольные суммы файлов переводов на сервере перепроверил - с переводами все в порядке. 

[TheRock]

Контрольные суммы файлов переводов на сервере перепроверил - с переводами все в порядке. 

Может admin/controller/common/filemanager.php

[halfhope]

Может admin/controller/common/filemanager.php

 

Да, именно он. Извиняюсь.

[TheRock]

Да, именно он. Извиняюсь.

Бывает :-)

filemanager.php

[halfhope]

Бывает :-)

 

:| Файл ничем не отличается от оригинала. Возможно в vqmod/xml есть модули, которые добавляют функцию connector? Пришлите xml файлы или найдите сами файл, который изменяет admin/controller/common/filemanager.php/. Потому что в логах видно, что вход с другого ip идет именно через admin/index.php?route=common/filemanager/connector. Да, и странно, что этой функции в оригинальном файле нет.

[TheRock]

:| Файл ничем не отличается от оригинала. Возможно в vqmod/xml есть модули, которые добавляют функцию connector? Пришлите xml файлы или найдите сами файл, который изменяет admin/controller/common/filemanager.php/. Потому что в логах видно, что вход с другого ip идет именно через admin/index.php?route=common/filemanager/connector. Да, и странно, что этой функции в оригинальном файле нет.

Вот архив с папкой vqmod

[chukcha]

Но есть библиотека elfinder  в system/library

[halfhope]

Вот архив с папкой vqmod

 

Функция connector добавляется файлом vqmod_PowerImageManager.xml. Насколько я смог понять эта функция всего лишь запрашивает дерево файлов и папок. а IP адреса видимо перепутал. Сомневаюсь, что ElFinder в этом виноват. Но на всякий случай рекомендую временно отказаться от этого модуля. Просто переименуйте расширение xml файла на что-нибудь другое. Если взломы прекратятся, то дело именно в нем. Сейчас ничем помочь не могу, пора спать.

[TheRock]

Функция connector добавляется файлом vqmod_PowerImageManager.xml. Насколько я смог понять эта функция всего лишь запрашивает дерево файлов и папок. а IP адреса видимо перепутал. Сомневаюсь, что ElFinder в этом виноват. Но на всякий случай рекомендую временно отказаться от этого модуля. Просто переименуйте расширение xml файла на что-нибудь другое. Если взломы прекратятся, то дело именно в нем. Сейчас ничем помочь не могу, пора спать.

Спасибо большое, как с вами можно связаться (электронная почта, соц. сети)?

[halfhope]

Спасибо большое, как с вами можно связаться (электронная почта, соц. сети)?

 

[email protected] отвечать на вопросы смогу не часто, помогать - еще реже, т.к. заканчиваю практиковать на время учебы. Либо на этом форуме. Я здесь почти каждый день, кроме выходных.

[markimax]

Не пользуйтесь загрузкой файлов на сервер из фронта, в этом может быть виноват даже не модуль, а хостер

 

Почитайте здесь

[andreyvebuiskii]

Спасибо большое, как с вами можно связаться (электронная почта, соц. сети)?

Поищите сервисом http://virusdie.ru - он и удалить вам вирусы и их причины автоматически сможет.

Я уже писал обзор о нем тут.