Перейти к содержанию
stenly3000

[Решено {взломали почту mail.ru}] Почта магазина прислала вирус

Рекомендуемые сообщения

Сегодня со своего ИМ получаю письмо с пристегнутым фалом zip и вот таким текстом: 

Благодарим за ответ!
Отправляем на вашу электронную почту выписку по Вашей переплате.
Всю необходимую информацию Вы сможете найти в присланном Вам файле.

 

Я конечно сразу понял что вирус, антивирусник это четко подтвердил. Провели сайт разными он-лайн проверялками, Дк. Веб, Тотал и т.д. ни чего не нашел, в поисковых тоже не свечусь по "вредоносному коду". Вроде всё нормально но как то напрягает, пока на хостере есть резервные копии может откатить до появления этой проблемы? Кто нибудь сталкивался с рассылкой вирусом по почте ваших ИМ? 

ocStore Version 1.5.1.3  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня со своего ИМ получаю письмо с пристегнутым фалом zip и вот таким текстом: 

Благодарим за ответ!

Отправляем на вашу электронную почту выписку по Вашей переплате.

Всю необходимую информацию Вы сможете найти в присланном Вам файле.

 

Я конечно сразу понял что вирус, антивирусник это четко подтвердил. Провели сайт разными он-лайн проверялками, Дк. Веб, Тотал и т.д. ни чего не нашел, в поисковых тоже не свечусь по "вредоносному коду". Вроде всё нормально но как то напрягает, пока на хостере есть резервные копии может откатить до появления этой проблемы? Кто нибудь сталкивался с рассылкой вирусом по почте ваших ИМ? 

ocStore Version 1.5.1.3  

 

Может у хостера спросите? Может у него проблемы? Письмо то отправляется через его SMPT сервер, может на этом этапе и "заражается" письмо 

Это как версия, просто при  проверки надо откинуть все варианты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня со своего ИМ...

подробнее.

и все тело письма с заголовками покажи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Адрес отправителя можно легко подделать. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

подробнее.

и все тело письма с заголовками покажи

что вы имеет ввиду под телом, выложить архив с трояном?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И еще к вопросу о хостере и заражении на этапе пересылки, у хостера нет наших шаблонов письма, с таким текстом : "

Ваш аккаунт должен быть подтвержден до первого входа. После подтверждения Вы сможете входить в магазин, используя E-Mail и пароль, по ссылке:


После регистрации на сайте Вы сможете воспользоваться дополнительными возможностями: просмотр истории заказов, печать счета, изменение информации Вашей учетной записи и др.

Спасибо,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

судя по тому что наш шаблон ответа был в письме, вполне возможно что появился какой то троян, который заточен под opencart

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

судя по тому что наш шаблон ответа был в письме, вполне возможно что появился какой то троян, который заточен под opencart

 

Total commander -> ALT+F7 - галочку напротив "с текстом" и какой нибудь сигнатуры письма-"вируса"! для поиска

Total ищет и по FTP

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

антивирус его опознал вот так: Trojan:Win32/Peals.B!plock

 

В версиях меньше 1.5.4 есть уязвимости, которыми не стоило пренебрегать.

 

Откройте папку system/logs, если там есть php или phtml файлы, то значит проникли через админку, меняйте пароль администратора, и ставьте antihack.xml от Baco, затем проводите чистку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Total commander -> ALT+F7 - галочку напротив "с текстом" и какой нибудь сигнатуры письма-"вируса"! для поиска

Total ищет и по FTP

Могу выслать исходный текст письма, но букаФФ будет много)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

антивирус его опознал вот так: Trojan:Win32/Peals.B!plock

 

Хм, у Вас свой сервер на винде?

 

UPD: Туплю.  Вирус под винду, понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

там лежит только index.html файл пустой (открывал в редакторе) размер у него 0 дата изменения у него двухгодовалая, и еще txt с ошибками, больше ни чего нет  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

там лежит только index.html файл пустой (открывал в редакторе) размер у него 0 дата изменения у него двухгодовалая, и еще txt с ошибками, больше ни чего нет  

 

Уже хорошо, если в папке downloads есть что-нибудь лишнее, то удаляйте. При условии использования старого софта на сервере, присутствия необходимых настроек PHP туда можно залить и вызвать шелл. Удаляйте оттуда все и из файла catalog/controller/product/product.php уберите функцию upload (или закомментируйте ее). Именно благодаря ей туда попадают файлы. Кстати, antihack.xml от Васо рекомендую поставить в любом случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уже хорошо, если в папке downloads есть что-нибудь лишнее, то удаляйте. При условии использования старого софта на сервере, присутствия необходимых настроек PHP туда можно залить и вызвать шелл. Удаляйте оттуда все и из файла catalog/controller/product/product.php уберите функцию upload (или закомментируйте ее). Именно благодаря ей туда попадают файлы. Кстати, antihack.xml от Васо рекомендую поставить в любом случае.

Кажется я нашел:

 файл error.txt какой то странный вес 30 Мб (!) открыть не могу ни чем, ошибки редакторы выдают. Попытался открыть в админке журнал ошибок, все надписи админки сразу стали кракозябрами, все остальные функции работают кракозябров не появляется.  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

что вы имеет ввиду под телом, выложить архив с трояном?

нафига нам троян? ))

не знаю, чем пользуешься, в gmail у каждого письма есть доп.меню со списком доп.действий.

там можно выбрать "показать оригинал" и покажется оригинальное тело письма

>> файл error.txt какой то странный вес 30 Мб (!)

мелочи.

просто вовремя ошибки устранять надо.

давеча созерцал логи размерами 1.8гб и 1060+мб

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кажется я нашел:

 файл error.txt какой то странный вес 30 Мб (!) открыть не могу ни чем, ошибки редакторы выдают. Попытался открыть в админке журнал ошибок, все надписи админки сразу стали кракозябрами, все остальные функции работают кракозябров не появляется.  

 

Ничего странного в этом нет. Вы лучше чем гадать на гуще выложите письмо с заголовками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в downloads все файлы старые, мои, даты изменений у них тоже двух летние. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вы имели ввиду это выложить: 

 

Return-Path: <mister2005@bk.ru>
Delivered-To: smart-r@sale-all.ru
Received: from mxp0.hoster.ru (mxp0.hoster.ru [31.28.25.84])
by ms0.hoster.ru (Postfix) with ESMTP id 9D43C160B30
for <smart-r@sale-all.ru>; Wed, 25 Mar 2015 17:39:02 +0300 (MSK)
Received: from f359.i.mail.ru (f359.i.mail.ru [217.69.141.1])
by mx0.hoster.ru (Postfix) with ESMTP id 8767FC2BA6D
for <smart-r@sale-all.ru>; Wed, 25 Mar 2015 17:39:02 +0300 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=bk.ru; s=mail;
h=References:In-Reply-To:Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:To:From; bh=urYOcbMfO4vdXMo1q43PLpS6dyZTDOF+Kzv/muIA8EA=;
b=kESYch2dD4zdOGbJ5gYSrxZgnsFjaU5L8tfEdVBxq2eyDE8OhORQqdqMyJsU3DZfucw4YYfdCSttCjmRAXKC6CbSrVoDWmzFdgudxw1U4BjvrNXc5942T6nbZsuesX9M9XB2gCLaO34GcU/rMOOh9QJrWMgZAZyYKgShZPFYdik=;
Received: from [91.236.120.134] (ident=mail)
by f359.i.mail.ru with local (envelope-from <mister2005@bk.ru>)
id 1YamSP-0006np-B1
for smart-r@sale-all.ru; Wed, 25 Mar 2015 17:38:58 +0300
Received: from [91.236.120.134] by e.mail.ru with HTTP;
Wed, 25 Mar 2015 17:38:57 +0300
From: =?UTF-8?B?MQ==?= <mister2005@bk.ru>
To: smart-r@sale-all.ru
Subject: =?UTF-8?B?UmU6IFNtYXJ0IFJheSAgLSDQkdC70LDQs9C+0LTQsNGA0LjQvCDQt9CwINGA?=
=?UTF-8?B?0LXQs9C40YHRgtGA0LDRhtC40Y4=?=
MIME-Version: 1.0
X-Mailer: Mail.Ru Mailer 1.0
X-Originating-IP: [91.236.120.134]
Date: Wed, 25 Mar 2015 17:38:57 +0300
Reply-To: =?UTF-8?B?MQ==?= <mister2005@bk.ru>
X-Priority: 3 (Normal)
Message-ID: <1427294337.124593464@f359.i.mail.ru>
Content-Type: multipart/mixed;
boundary="----jngmfktw-SkdxL6C6DH55LMH7:1427294337"
X-Mras: Ok
X-Spam: undefined
In-Reply-To: <E1TZEoY-0008hA-Ub@fhe15.hoster.ru>
References: <E1TZEoY-0008hA-Ub@fhe15.hoster.ru>
X-Spamd-Result: default: False [-2.17 / 15.00]
R_SPF_ALLOW(-1.10)
R_BAYES_HAM_RU(-2.97)
R_DKIM_ALLOW(-1.10)
FROM_EXCESS_BASE64(1.50)
REPLYTO_EXCESS_BASE64(1.50)
X-Spamd-Server: localhost
X-Spamd-Scan-Time: 0.05
X-Spamd-Queue-ID: 8767FC2BA6D

------jngmfktw-SkdxL6C6DH55LMH7:1427294337
Content-Type: multipart/alternative;
boundary="--ALT--jngmfktw1427294337"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вот это что за адрес не понятно 1427294337.124593464@f359.i.mail.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это внутренний id письма в mail.ru, а не адрес

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

всем спасибо кто помогал, ларчик открылся просто мне ломонули почту ИМ, сам ящик на  mail.ru  Майл его забанил, сейчас только восстановил. В исходящих куча писем с вирусом блин, ша буду извиняться перед всем кому улетело(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Received: from [91.236.120.134] by e.mail.ru with HTTP;

таки да - отправлено с web-морды

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне от одной клиентки за последние 2 дня 6 писем упало с примерно таким-же содержанием и  doc файлом во вложении. Её ящик тоже на mail.ru Прогнал файл через virustotal, результаты 

 

 

DrWeb              W97M.DownLoader
ESET-NOD32   VBA/TrojanDownloader.Agent.NA
Kaspersky        Trojan-Dropper.MSWord.Agent.iu
Norman            MacroDrp.DOC
Sophos            Troj/DocDl-KI
TrendMicro       HEUR_OLEXP.A 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне от одной клиентки за последние 2 дня 6 писем упало с примерно таким-же содержанием и  doc файлом во вложении. Её ящик тоже на mail.ru Прогнал файл через virustotal, результаты 

 

 

DrWeb              W97M.DownLoader

ESET-NOD32   VBA/TrojanDownloader.Agent.NA

Kaspersky        Trojan-Dropper.MSWord.Agent.iu

Norman            MacroDrp.DOC

Sophos            Troj/DocDl-KI

TrendMicro       HEUR_OLEXP.A 

 

Обычный спам. Либо файлы шлют с зараженного компьютера. Это вирусы для работы в среде windows.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.