Jump to content
Sign in to follow this  
oxojeck

Вирус на сайте

Recommended Posts

Всем привет. Недавно зашел на свой сайт (не посчитайте за рекламу), а там "eval(base64_decode". Проверил весь сайт с помощью manul, Он нашел кучу файлов с желтой пометкой (то есть содержащие опасный код). В анализаторе можно этот код удалить, но я не разбираюсь в нем, то есть не могу отличить опасный код от кода опенкарта (ведь яндекс тоже может ошибиться, тем более с желтой пометкой). Что мне нужно делать, чтобы очистить сайт от стороннего кода? Я пробовал удалить один из сторонних кодов в файлах "vqmod/vqcache", удалив все файлы, но они заново создаются с вредоносным кодом. Как вообщем можно аккуратно почистить все? У кого-нибудь были случаи? Заранее спасибо!

Share this post


Link to post
Share on other sites

Почистил пока ручками, вроде ошибок нет, но совета буду ждать.

Кстати данный base64 код у меня засел во всех файлах с названием install, footer, header, во многих папках два последние есть, так что имейте ввиду =)

Share this post


Link to post
Share on other sites

Почистить можно, я этим как раз занимаюсь. Быстро, дорого, с гарантией (6 мес). Очистить просто так не получится, если не знаете языка, архитектуры OpenCart и нет опыта программирования. vqmod/vqcache это директория кэша vqmod, файлы там создаются не из-за вируса, это так работает vqmod. 

Edited by halfhope

Share this post


Link to post
Share on other sites

Код в студию.

Share this post


Link to post
Share on other sites

Спасибо, но вот забыл его сюда скопировать :( Сам почистил файлы, в которых обнаружил, вроде сейчас нет проблем, если будет что-то серьезное и будет бюджет :-), то обращусь тогда.

Share this post


Link to post
Share on other sites

https://revisium.com/ai/ - отличный сканер вирусов - заливаете php файл и сканируете (универсальную версию для хостинга)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By empty
      Добрый день.
       
      Перенес сайт на хостинг клиента, хостинг Hetcer, сайт https://confento.com, шаблон стандартный, и через некоторое время он оказался зараженным.
      Через ai-bolit прогнал, удалил все зараженные файлы, скрипты, заново рекурсивно в ISP панели выставил 755 на папки и 644 на файлы.
      Починил.
      Проходит дня 3-4 - ситуация повторилась вновь.
      .htaccess права с 644 сменил на 444, куча индексных файлов, index.html.bak.bak, в index.php ссылка на хедер вордпресса (оО), в айболите 8 заражений, куча каких то левых .php файлов.
      Все удалил, полазил по папкам, нашел кучу файлов левых, тоже удалил, снова права поправил.
      Но чувствую что в какой то момент снова может оказаться такая беда.
      Вот установленные дополнения - http://joxi.ru/4AkQEbOIydqozm - может кто в курсе, что с какого-то из них лезет вирусня.
       
      Подскажите пожалуйста, каким образом можно выявить, где уязвимость? Как узнать откуда лезет весь этот мусор?
      Так же - как можно защитить сайт от вирусных атак?
       
      Спасибо!
    • By Kapitoxaxa
      Ребята подскажите пожалуйста как это победить. Присутствует такая табличка только когда захожу на сайт через оперу.

    • By wolfxxx
      Ребята привет, подскажите плииз,
      В общем на хостинге стояла 3 сайта, на 2-их был установлен шаблон с вирусом.
      в итоге их стер.
      Начал проверять 3-ий и выскочила вот такая фигня, кто разбирается подскажите плиииз есть вирус или нет.
       
      Путь Изменение содержимого Размер blABLA/public_html/catalog/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:23 1.77 Kb /blABLA/public_html/admin/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:19 1.73 Kb blABLA.ru/public_html/catalog/controller/extension/payment/qiwi_rest.php [x] 1…);curl_setopt($ch,CURLOPT_USERPWD,$this->config->get('qiwi_rest_id').":".$this->config->get('qiwi_rest_password'));curl_ setopt($ch,CURLOPT_POSTFIELDS,http_build_query($data));curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);curl_setopt($ch,CUR  

    • By alldell
      Добрый вечер! Кто сталкивался помогите) Взломали сайты, пока заметил на двух оба на opencart, всего Пять на хостинге. Три на opencart два на wordpress. Недавно установил новый сайт
      на OcStore скачивал с форума, шаблон с оф сайта разработчика TechStore. Суть проблемы, когда заходишь на сайт с телефона вылезает на новостной баннер и ведёт по ссылке на Риа новости) И эта зараза переодически пропадает и появляется снова. Кто знает как это лечить? Может кто с этим сталкивался )
    • By kolek5520
      Добрый день всем.
      Гонял сайт через  сервис http://www.webpagetest.org
       
      и заметил, среди запросов, странные ведущие на ALIEXPRESS  И com-sale.ru
      https://yadi.sk/i/Nhiz-49D3QpYV5
       
  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.