Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Вирусы или ошибка?


marlen

Recommended Posts

Приветствую. Второй день разбираюсь и ничего не пойму.

 

Есть магазин. Рабочий. С некоторыми явлениями мистики.....

 

Решили перенести на новый шаблон - с чистой базы, и все модули по новой установить, потом все товары перенести через импорт- экспорт.

 

Магазину неделя - и вот http://joxi.ru/MAjbzo9uvNRyBA

 

Было 2 - скачала сайт на комп, проверила айболитом и нашлось 22 подозрительных файлика. 

 

Проверила вручную - всё чисто, только вот на такой файлик adminer-4.2.4.php вирус тотал сильно заругался.

 

Файлик появился из ниоткуда позавчера...Удалила его. Теперь показывает 1,как на скрине.

 

Магазин сейчас стоит на тех.домене - стоит штук 10 модулей+шаблон. Все модули куплены и лицензии привязаны именно к этому домену.

 

Где искать концы?

 

На вирусы ругает вирустотал и Доктор веб, остальные пишут всё нормально.....

 

Или у меня паранойя?

Надіслати
Поділитися на інших сайтах


исходя из практики, то вирусы сейчас довольно красиво маскируют, так что по сигнатурам, проверкам по регэкспам типа "eval, base_64, create function..." ничего не дают, надо смотреть непосредственно в код, первое что смотрите - не подменили ли error.log на error.phр... ну и больше скринов с кодом, нынче телепатия в дефиците...

Надіслати
Поділитися на інших сайтах

исходя из практики, то вирусы сейчас довольно красиво маскируют, так что по сигнатурам, проверкам по регэкспам типа "eval, base_64, create function..." ничего не дают, надо смотреть непосредственно в код, первое что смотрите - не подменили ли error.log на error.phр... ну и больше скринов с кодом, нынче телепатия в дефиците...

нашла целых 3 error.php

Надіслати
Поділитися на інших сайтах


Теперь проделайти 3 маленьких шага:

1. Удалите все error.php из каталога логов

2. Поменяйте обратно в админке в настройке сервера, файл логов с error.php на error.log

3. Смените вход в админку (тоесть поменяйте admin|admin)

и будет вам счастье...

Надіслати
Поділитися на інших сайтах

Если я правильно поняла - вы говорите про error.log  который тут  system/logs ?  там лежит один my_mego_log.log

 

А error.php  лежат в 

admin\language\english\tool

admin\controller\tool

admin\language\russian\tool

 

или уже ум за разум заходит?

Змінено користувачем marlen
Надіслати
Поділитися на інших сайтах


ну и больше скринов с кодом, нынче телепатия в дефиците...

нету скринов только вот это http://joxi.ru/bmo0Yz9fMGMQ52

 

и опять 2

 

как вот найти файлы где эта зараза сидит :cry:  :cry:  :cry:

не зная что ищишь

Надіслати
Поділитися на інших сайтах


error.php  лежат в 

admin\language\english\tool

admin\controller\tool

admin\language\russian\tool

нее, эти трогать не надо, речь об system/logs, если там нет никаких php файлов, то я вас поздравляю.

на том же хостинге что и этот сайт, есть джумла, вордпресс, друпал и т.д. ? в 70% взлома именно через сторонние CMS проходят.

Надіслати
Поділитися на інших сайтах

Проверила вручную - всё чисто, только вот на такой файлик adminer-4.2.4.php вирус тотал сильно заругался.

 

Это инструмент для работы с базой данных.

 

https://www.adminer.org/

Надіслати
Поділитися на інших сайтах

ругается потому что он частично закодирован но если вы его качнет с офсайта, то гарантировано получите работающий незараженный код

 

И не наругался, а сказлп. О я вас узнал Adminer Database Manager (PUA)

Надіслати
Поділитися на інших сайтах

И не наругался, а сказлп. О я вас узнал Adminer Database Manager (PUA)

А я его и не прятала, чтоб не узнавать) Раз красненьким раскрасил - значит наругался.

 

А еще где что можно посмотреть? всё уже пересмотрела - ну нет ничего,а он всё ругается.

 

а доктор так вообще http://joxi.ru/12MZeYNs4yMyNA  :cry:  :cry:  :cry:  :cry:

Надіслати
Поділитися на інших сайтах


нее, эти трогать не надо, речь об system/logs, если там нет никаких php файлов, то я вас поздравляю.

на том же хостинге что и этот сайт, есть джумла, вордпресс, друпал и т.д. ? в 70% взлома именно через сторонние CMS проходят.

извиняюсь - проглядела.

 

нет никаких соседей - у нас сервер и там рабочий магазин и этот и всё

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.