[Решено {взломали почту mail.ru}] Почта магазина прислала вирус

[stenly3000]

Сегодня со своего ИМ получаю письмо с пристегнутым фалом zip и вот таким текстом: 

Благодарим за ответ!
Отправляем на вашу электронную почту выписку по Вашей переплате.
Всю необходимую информацию Вы сможете найти в присланном Вам файле.

 

Я конечно сразу понял что вирус, антивирусник это четко подтвердил. Провели сайт разными он-лайн проверялками, Дк. Веб, Тотал и т.д. ни чего не нашел, в поисковых тоже не свечусь по "вредоносному коду". Вроде всё нормально но как то напрягает, пока на хостере есть резервные копии может откатить до появления этой проблемы? Кто нибудь сталкивался с рассылкой вирусом по почте ваших ИМ? 

ocStore Version 1.5.1.3  

[markimax]

Сегодня со своего ИМ получаю письмо с пристегнутым фалом zip и вот таким текстом: 

Благодарим за ответ!

Отправляем на вашу электронную почту выписку по Вашей переплате.

Всю необходимую информацию Вы сможете найти в присланном Вам файле.

 

Я конечно сразу понял что вирус, антивирусник это четко подтвердил. Провели сайт разными он-лайн проверялками, Дк. Веб, Тотал и т.д. ни чего не нашел, в поисковых тоже не свечусь по "вредоносному коду". Вроде всё нормально но как то напрягает, пока на хостере есть резервные копии может откатить до появления этой проблемы? Кто нибудь сталкивался с рассылкой вирусом по почте ваших ИМ? 

ocStore Version 1.5.1.3  

 

Может у хостера спросите? Может у него проблемы? Письмо то отправляется через его SMPT сервер, может на этом этапе и "заражается" письмо 

Это как версия, просто при  проверки надо откинуть все варианты

[afwollis]

Сегодня со своего ИМ...

подробнее.

и все тело письма с заголовками покажи

[halfhope]

Адрес отправителя можно легко подделать. 

[stenly3000]

подробнее.

и все тело письма с заголовками покажи

что вы имеет ввиду под телом, выложить архив с трояном?

[stenly3000]

И еще к вопросу о хостере и заражении на этапе пересылки, у хостера нет наших шаблонов письма, с таким текстом : "

Ваш аккаунт должен быть подтвержден до первого входа. После подтверждения Вы сможете входить в магазин, используя E-Mail и пароль, по ссылке:


После регистрации на сайте Вы сможете воспользоваться дополнительными возможностями: просмотр истории заказов, печать счета, изменение информации Вашей учетной записи и др.

Спасибо,

[stenly3000]

судя по тому что наш шаблон ответа был в письме, вполне возможно что появился какой то троян, который заточен под opencart

[markimax]

судя по тому что наш шаблон ответа был в письме, вполне возможно что появился какой то троян, который заточен под opencart

 

Total commander -> ALT+F7 - галочку напротив "с текстом" и какой нибудь сигнатуры письма-"вируса"! для поиска

Total ищет и по FTP

[stenly3000]

антивирус его опознал вот так: Trojan:Win32/Peals.B!plock

[halfhope]

антивирус его опознал вот так: Trojan:Win32/Peals.B!plock

 

В версиях меньше 1.5.4 есть уязвимости, которыми не стоило пренебрегать.

 

Откройте папку system/logs, если там есть php или phtml файлы, то значит проникли через админку, меняйте пароль администратора, и ставьте antihack.xml от Baco, затем проводите чистку.

[stenly3000]

Total commander -> ALT+F7 - галочку напротив "с текстом" и какой нибудь сигнатуры письма-"вируса"! для поиска

Total ищет и по FTP

Могу выслать исходный текст письма, но букаФФ будет много)

[halfhope]

антивирус его опознал вот так: Trojan:Win32/Peals.B!plock

 

Хм, у Вас свой сервер на винде?

 

UPD: Туплю.  Вирус под винду, понял.

[stenly3000]

там лежит только index.html файл пустой (открывал в редакторе) размер у него 0 дата изменения у него двухгодовалая, и еще txt с ошибками, больше ни чего нет  

[halfhope]

там лежит только index.html файл пустой (открывал в редакторе) размер у него 0 дата изменения у него двухгодовалая, и еще txt с ошибками, больше ни чего нет  

 

Уже хорошо, если в папке downloads есть что-нибудь лишнее, то удаляйте. При условии использования старого софта на сервере, присутствия необходимых настроек PHP туда можно залить и вызвать шелл. Удаляйте оттуда все и из файла catalog/controller/product/product.php уберите функцию upload (или закомментируйте ее). Именно благодаря ей туда попадают файлы. Кстати, antihack.xml от Васо рекомендую поставить в любом случае.

[stenly3000]

Уже хорошо, если в папке downloads есть что-нибудь лишнее, то удаляйте. При условии использования старого софта на сервере, присутствия необходимых настроек PHP туда можно залить и вызвать шелл. Удаляйте оттуда все и из файла catalog/controller/product/product.php уберите функцию upload (или закомментируйте ее). Именно благодаря ей туда попадают файлы. Кстати, antihack.xml от Васо рекомендую поставить в любом случае.

Кажется я нашел:

 файл error.txt какой то странный вес 30 Мб (!) открыть не могу ни чем, ошибки редакторы выдают. Попытался открыть в админке журнал ошибок, все надписи админки сразу стали кракозябрами, все остальные функции работают кракозябров не появляется.  

[afwollis]

что вы имеет ввиду под телом, выложить архив с трояном?

нафига нам троян? ))

не знаю, чем пользуешься, в gmail у каждого письма есть доп.меню со списком доп.действий.

там можно выбрать "показать оригинал" и покажется оригинальное тело письма

>> файл error.txt какой то странный вес 30 Мб (!)

мелочи.

просто вовремя ошибки устранять надо.

давеча созерцал логи размерами 1.8гб и 1060+мб

[halfhope]

Кажется я нашел:

 файл error.txt какой то странный вес 30 Мб (!) открыть не могу ни чем, ошибки редакторы выдают. Попытался открыть в админке журнал ошибок, все надписи админки сразу стали кракозябрами, все остальные функции работают кракозябров не появляется.  

 

Ничего странного в этом нет. Вы лучше чем гадать на гуще выложите письмо с заголовками.

[stenly3000]

в downloads все файлы старые, мои, даты изменений у них тоже двух летние. 

[stenly3000]

вы имели ввиду это выложить: 

 

Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from mxp0.hoster.ru (mxp0.hoster.ru [31.28.25.84])
by ms0.hoster.ru (Postfix) with ESMTP id 9D43C160B30
for <[email protected]>; Wed, 25 Mar 2015 17:39:02 +0300 (MSK)
Received: from f359.i.mail.ru (f359.i.mail.ru [217.69.141.1])
by mx0.hoster.ru (Postfix) with ESMTP id 8767FC2BA6D
for <[email protected]>; Wed, 25 Mar 2015 17:39:02 +0300 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=bk.ru; s=mail;
h=References:In-Reply-To:Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:To:From; bh=urYOcbMfO4vdXMo1q43PLpS6dyZTDOF+Kzv/muIA8EA=;
b=kESYch2dD4zdOGbJ5gYSrxZgnsFjaU5L8tfEdVBxq2eyDE8OhORQqdqMyJsU3DZfucw4YYfdCSttCjmRAXKC6CbSrVoDWmzFdgudxw1U4BjvrNXc5942T6nbZsuesX9M9XB2gCLaO34GcU/rMOOh9QJrWMgZAZyYKgShZPFYdik=;
Received: from [91.236.120.134] (ident=mail)
by f359.i.mail.ru with local (envelope-from <[email protected]>)
id 1YamSP-0006np-B1
for [email protected]; Wed, 25 Mar 2015 17:38:58 +0300
Received: from [91.236.120.134] by e.mail.ru with HTTP;
Wed, 25 Mar 2015 17:38:57 +0300
From: =?UTF-8?B?MQ==?= <[email protected]>
To: [email protected]
Subject: =?UTF-8?B?UmU6IFNtYXJ0IFJheSAgLSDQkdC70LDQs9C+0LTQsNGA0LjQvCDQt9CwINGA?=
=?UTF-8?B?0LXQs9C40YHRgtGA0LDRhtC40Y4=?=
MIME-Version: 1.0
X-Mailer: Mail.Ru Mailer 1.0
X-Originating-IP: [91.236.120.134]
Date: Wed, 25 Mar 2015 17:38:57 +0300
Reply-To: =?UTF-8?B?MQ==?= <[email protected]>
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
Content-Type: multipart/mixed;
boundary="----jngmfktw-SkdxL6C6DH55LMH7:1427294337"
X-Mras: Ok
X-Spam: undefined
In-Reply-To: <[email protected]>
References: <[email protected]>
X-Spamd-Result: default: False [-2.17 / 15.00]
R_SPF_ALLOW(-1.10)
R_BAYES_HAM_RU(-2.97)
R_DKIM_ALLOW(-1.10)
FROM_EXCESS_BASE64(1.50)
REPLYTO_EXCESS_BASE64(1.50)
X-Spamd-Server: localhost
X-Spamd-Scan-Time: 0.05
X-Spamd-Queue-ID: 8767FC2BA6D

------jngmfktw-SkdxL6C6DH55LMH7:1427294337
Content-Type: multipart/alternative;
boundary="--ALT--jngmfktw1427294337"

[stenly3000]

вот это что за адрес не понятно [email protected]

[afwollis]

это внутренний id письма в mail.ru, а не адрес

[stenly3000]

всем спасибо кто помогал, ларчик открылся просто мне ломонули почту ИМ, сам ящик на  mail.ru  Майл его забанил, сейчас только восстановил. В исходящих куча писем с вирусом блин, ша буду извиняться перед всем кому улетело(

[afwollis]

Received: from [91.236.120.134] by e.mail.ru with HTTP;

таки да - отправлено с web-морды

[nightguest]

Мне от одной клиентки за последние 2 дня 6 писем упало с примерно таким-же содержанием и  doc файлом во вложении. Её ящик тоже на mail.ru Прогнал файл через virustotal, результаты 

 

 

DrWeb              W97M.DownLoader
ESET-NOD32   VBA/TrojanDownloader.Agent.NA
Kaspersky        Trojan-Dropper.MSWord.Agent.iu
Norman            MacroDrp.DOC
Sophos            Troj/DocDl-KI
TrendMicro       HEUR_OLEXP.A 

[halfhope]

Мне от одной клиентки за последние 2 дня 6 писем упало с примерно таким-же содержанием и  doc файлом во вложении. Её ящик тоже на mail.ru Прогнал файл через virustotal, результаты 

 

 

DrWeb              W97M.DownLoader

ESET-NOD32   VBA/TrojanDownloader.Agent.NA

Kaspersky        Trojan-Dropper.MSWord.Agent.iu

Norman            MacroDrp.DOC

Sophos            Troj/DocDl-KI

TrendMicro       HEUR_OLEXP.A 

 

Обычный спам. Либо файлы шлют с зараженного компьютера. Это вирусы для работы в среде windows.