Файлы с подозрительным содержимым, и ошибки

[shelkovoy]

Добрый день. Повалился спам с сайта, его закрыл провайдер.

Сделали проверку Manul ом, он нашел несколько поврежденных файлов такого типа: 

 

Что с ними делать? 

 

Имя файла ./catalog/controller/checkout/lic/index.php  Размер: 28242

 

Имя файла ./vqmod/install/inc.php Размер: 21121

 

 

И в админке ошибки: 

 

Warning: fopen(/home/u17508/grouptorg.com/www/system/logs/test): failed to open stream: Permission denied in /home/u17508/grouptorg.com/www/admin/controller/common/home.php on line 116

Warning: fopen(/home/u17508/grouptorg.com/www/system/logs/error.php): failed to open stream: Permission denied in /home/u17508/grouptorg.com/www/system/library/log.php on line 12

Warning: fwrite() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/system/library/log.php on line 14

Warning: fclose() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/system/library/log.php on line 16
Warning: fwrite() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/admin/controller/common/home.php on line 118
Warning: fopen(/home/u17508/grouptorg.com/www/system/logs/error.php): failed to open stream: Permission denied in /home/u17508/grouptorg.com/www/system/library/log.php on line 12

Warning: fwrite() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/system/library/log.php on line 14

Warning: fclose() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/system/library/log.php on line 16
Warning: fclose() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/admin/controller/common/home.php on line 120
Warning: fopen(/home/u17508/grouptorg.com/www/system/logs/error.php): failed to open stream: Permission denied in /home/u17508/grouptorg.com/www/system/library/log.php on line 12

Warning: fwrite() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/system/library/log.php on line 14

Warning: fclose() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/system/library/log.php on line 16
Warning: sprintf(): Too few arguments in /home/u17508/grouptorg.com/www/admin/controller/common/home.php on line 123
Warning: fopen(/home/u17508/grouptorg.com/www/system/logs/error.php): failed to open stream: Permission denied in /home/u17508/grouptorg.com/www/system/library/log.php on line 12

Warning: fwrite() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/system/library/log.php on line 14

Warning: fclose() expects parameter 1 to be resource, boolean given in /home/u17508/grouptorg.com/www/system/library/log.php on line 16

 

 

 

 

[freelancer]

а у вас случайно нет модулей товарища @addist?

[AlexDW]

а у вас случайно нет модулей товарища addist?

неправильная постановка вопроса

скорей так - варезом не баловались?

 

на предмет "что делать" - удалять вредоносный код, искать место взлома и устранять бреши

смотрите аналогичные темы, вопрос не нов

[halfhope]

Произвожу очистку от вирусов, срок - менее суток, гарантия 6 месяцев. Пользователям этого форума скидка.

 

Подробности здесь.

[User007]

а у вас случайно нет модулей товарища @addist?

А что с модулями от addist?

[halfhope]

А что с модулями от addist?

 

Ходят слухи, что через его модули взламывают сайты, но это безосновательные утверждения. Хотя насчет стиля программирования должен согласиться. 

[laim731]

Произвожу очистку от вирусов, срок - менее суток, гарантия 6 месяцев. Пользователям этого форума скидка.

 

Подробности здесь.

За сутки проблематично выявить уязвимости. Максимум что вы сделаете за сутки это микро аудит, на полноценную проверку уйдет больше времени как не крути и как бы вы не знали сканеры и не владели той же кали.

 

Ходят слухи, что через его модули взламывают сайты, но это безосновательные утверждения. Хотя насчет стиля программирования должен согласиться. 

Через любой модуль можно получить доступ или информацию которая поможет получить доступ к сайту. Более того дыры могут быть на самом серваке. Ошибки  допускают все все программисты или просто забывают что то убрать.

 

 

Добрый день. Повалился спам с сайта, его закрыл провайдер.

Сделали проверку Manul ом, он нашел несколько поврежденных файлов такого типа: 

 

Что с ними делать? 

 

Имя файла ./catalog/controller/checkout/lic/index.php  Размер: 28242

 

Имя файла ./vqmod/install/inc.php Размер: 21121

 

 

Самое первое что нужно сделать это проверить скриптом на наличие вирусов и проверить свой комп на пример avz. Если же лень это делать то слейте архив с сайтом на пк и проверьте на вирустотл. Поменяйте все пароли, замените на более сложные. Если у вас vds то настройте fail2ban, поставьте ограничение на вход по ip.

[halfhope]

За сутки проблематично выявить уязвимости. Максимум что вы сделаете за сутки это микро аудит, на полноценную проверку уйдет больше времени как не крути и как бы вы не знали сканеры и не владели той же кали.

 

По моей статистике, в подавляющем большинстве случаев, они типичные, редко попадается что-то интересное. Еще бывали случаи утечки данных не в коде, а в самой организации и случаи заражения компьютеров организации трояном ZeuS. В 70% случаев суток вполне хватает, иногда затягивается на 3-4 дня. При поиске поможет только быть постоянно в теме, опыт, набор правильных инструментов и желание искать. 

 

Через любой модуль можно получить доступ или информацию которая поможет получить доступ к сайту. Более того дыры могут быть на самом серваке. Ошибки  допускают все все программисты или просто забывают что то убрать.

 

Соглашусь.

 

Самое первое что нужно сделать это проверить скриптом на наличие вирусов и проверить свой комп на пример avz. Если же лень это делать то слейте архив с сайтом на пк и проверьте на вирустотл. Поменяйте все пароли, замените на более сложные. Если у вас vds то настройте fail2ban, поставьте ограничение на вход по ip.

К каждому случаю свой подход.

[chukcha]

полностью согласен..

 

микроаудит может ничего не дать, а вернее -  только приглушить проблему

именно долгосрочное наблюдение за пациентом с логированием, анализом логов.

[halfhope]

полностью согласен..

 

микроаудит может ничего не дать, а вернее -  только приглушить проблему

именно долгосрочное наблюдение за пациентом с логированием, анализом логов.

 

Я обычно ставлю на сайт свои скрипты и наблюдаю за изменениями и логами еще в течении недели или больше. В малом количестве случаев попадается что-то интересное и анализ логов себя все-таки оправдывает. 

[vanramon]

Добрый день!

Хотел создать отдельную тему, но увидев эту, понял, что я судя по всему, по адресу..

Приобрел модуль OC Seo Plus от автора addist и на следующий день после установки модуля, а может быть и на этот же просто я не обратил внимания, любые изменения в админке стали отображаться с задержкой в несколько минут.. К примеру я меняю количество отображаемых товаров на витрине, вместо 30 пишу 20, сохраняю, затем захожу в настройки снова чтобы проверить, а там по прежнему 30. Такая же ситуация с любыми другими изменениями, будь то редактирование товара или удаление заказа. На сайте информация соответственно тоже начинает отображаться с задержкой. Однако если выйти и зайти в админку, то изменения становятся видны сразу. 

К слову сказать, на следующий день после установки модуля, к бд и сайту было выполнено 200тыс запросов, чего даже близко не было ни разу за всё существование сайта. Хостинг сказал, что с их стороны всё в порядке и проблема, возможно, в моих установленных недавно модификациях на сайте. Предложили откатиться на предыдущий бэкап.

Отключение/Удаление модуля не привело ни к каким изменениям. В связи с чем не могу окончательно понять, виноват ли на 100% он в данной ситуации.

Если кто-то сталкивался с чем-то аналогичным или может помочь с решением данной проблемы, откликнитесь пожалуйста. В долгу не останусь.

P.S. AI-Bolit'ом проверял сайт. Вроде ничего особенного не нашёл..

[AlexDW]

так и спросите у автора модуля

хотя задержки с изменениями в витрине больше похожи на кеширование данных

[Blade]

Приобрел модуль OC Seo Plus от автора addist и на следующий день после установки модуля

беги от него подальше и быстрее !!!

или поищи (правда я там основное удалил) темы про Addist

[halfhope]

беги от него подальше и быстрее !!!

или поищи (правда я там основное удалил) темы про Addist

 

Факты есть?