marlen

Вирусы или ошибка?

Рекомендуемые сообщения

marlen    1

Приветствую. Второй день разбираюсь и ничего не пойму.

 

Есть магазин. Рабочий. С некоторыми явлениями мистики.....

 

Решили перенести на новый шаблон - с чистой базы, и все модули по новой установить, потом все товары перенести через импорт- экспорт.

 

Магазину неделя - и вот http://joxi.ru/MAjbzo9uvNRyBA

 

Было 2 - скачала сайт на комп, проверила айболитом и нашлось 22 подозрительных файлика. 

 

Проверила вручную - всё чисто, только вот на такой файлик adminer-4.2.4.php вирус тотал сильно заругался.

 

Файлик появился из ниоткуда позавчера...Удалила его. Теперь показывает 1,как на скрине.

 

Магазин сейчас стоит на тех.домене - стоит штук 10 модулей+шаблон. Все модули куплены и лицензии привязаны именно к этому домену.

 

Где искать концы?

 

На вирусы ругает вирустотал и Доктор веб, остальные пишут всё нормально.....

 

Или у меня паранойя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Baco    395

исходя из практики, то вирусы сейчас довольно красиво маскируют, так что по сигнатурам, проверкам по регэкспам типа "eval, base_64, create function..." ничего не дают, надо смотреть непосредственно в код, первое что смотрите - не подменили ли error.log на error.phр... ну и больше скринов с кодом, нынче телепатия в дефиците...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
marlen    1

исходя из практики, то вирусы сейчас довольно красиво маскируют, так что по сигнатурам, проверкам по регэкспам типа "eval, base_64, create function..." ничего не дают, надо смотреть непосредственно в код, первое что смотрите - не подменили ли error.log на error.phр... ну и больше скринов с кодом, нынче телепатия в дефиците...

нашла целых 3 error.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Baco    395

Теперь проделайти 3 маленьких шага:

1. Удалите все error.php из каталога логов

2. Поменяйте обратно в админке в настройке сервера, файл логов с error.php на error.log

3. Смените вход в админку (тоесть поменяйте admin|admin)

и будет вам счастье...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
marlen    1

Если я правильно поняла - вы говорите про error.log  который тут  system/logs ?  там лежит один my_mego_log.log

 

А error.php  лежат в 

admin\language\english\tool

admin\controller\tool

admin\language\russian\tool

 

или уже ум за разум заходит?

Изменено пользователем marlen

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
marlen    1
ну и больше скринов с кодом, нынче телепатия в дефиците...

нету скринов только вот это http://joxi.ru/bmo0Yz9fMGMQ52

 

и опять 2

 

как вот найти файлы где эта зараза сидит :cry:  :cry:  :cry:

не зная что ищишь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Baco    395

error.php  лежат в 

admin\language\english\tool

admin\controller\tool

admin\language\russian\tool

нее, эти трогать не надо, речь об system/logs, если там нет никаких php файлов, то я вас поздравляю.

на том же хостинге что и этот сайт, есть джумла, вордпресс, друпал и т.д. ? в 70% взлома именно через сторонние CMS проходят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tom    2 083
Проверила вручную - всё чисто, только вот на такой файлик adminer-4.2.4.php вирус тотал сильно заругался.

 

Это инструмент для работы с базой данных.

 

https://www.adminer.org/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
marlen    1

 

 

Это инструмент для работы с базой данных

я знаю.

 

вот на него вирустотал наругался 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chukcha    1 017

ругается потому что он частично закодирован но если вы его качнет с офсайта, то гарантировано получите работающий незараженный код

 

И не наругался, а сказлп. О я вас узнал Adminer Database Manager (PUA)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
marlen    1
И не наругался, а сказлп. О я вас узнал Adminer Database Manager (PUA)

А я его и не прятала, чтоб не узнавать) Раз красненьким раскрасил - значит наругался.

 

А еще где что можно посмотреть? всё уже пересмотрела - ну нет ничего,а он всё ругается.

 

а доктор так вообще http://joxi.ru/12MZeYNs4yMyNA  :cry:  :cry:  :cry:  :cry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
marlen    1

нее, эти трогать не надо, речь об system/logs, если там нет никаких php файлов, то я вас поздравляю.

на том же хостинге что и этот сайт, есть джумла, вордпресс, друпал и т.д. ? в 70% взлома именно через сторонние CMS проходят.

извиняюсь - проглядела.

 

нет никаких соседей - у нас сервер и там рабочий магазин и этот и всё

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу