Вирусы или ошибка?

[marlen]

Приветствую. Второй день разбираюсь и ничего не пойму.

 

Есть магазин. Рабочий. С некоторыми явлениями мистики.....

 

Решили перенести на новый шаблон - с чистой базы, и все модули по новой установить, потом все товары перенести через импорт- экспорт.

 

Магазину неделя - и вот http://joxi.ru/MAjbzo9uvNRyBA

 

Было 2 - скачала сайт на комп, проверила айболитом и нашлось 22 подозрительных файлика. 

 

Проверила вручную - всё чисто, только вот на такой файлик adminer-4.2.4.php вирус тотал сильно заругался.

 

Файлик появился из ниоткуда позавчера...Удалила его. Теперь показывает 1,как на скрине.

 

Магазин сейчас стоит на тех.домене - стоит штук 10 модулей+шаблон. Все модули куплены и лицензии привязаны именно к этому домену.

 

Где искать концы?

 

На вирусы ругает вирустотал и Доктор веб, остальные пишут всё нормально.....

 

Или у меня паранойя?

[Baco]

исходя из практики, то вирусы сейчас довольно красиво маскируют, так что по сигнатурам, проверкам по регэкспам типа "eval, base_64, create function..." ничего не дают, надо смотреть непосредственно в код, первое что смотрите - не подменили ли error.log на error.phр... ну и больше скринов с кодом, нынче телепатия в дефиците...

[marlen]

исходя из практики, то вирусы сейчас довольно красиво маскируют, так что по сигнатурам, проверкам по регэкспам типа "eval, base_64, create function..." ничего не дают, надо смотреть непосредственно в код, первое что смотрите - не подменили ли error.log на error.phр... ну и больше скринов с кодом, нынче телепатия в дефиците...

нашла целых 3 error.php

[Baco]

Теперь проделайти 3 маленьких шага:

1. Удалите все error.php из каталога логов

2. Поменяйте обратно в админке в настройке сервера, файл логов с error.php на error.log

3. Смените вход в админку (тоесть поменяйте admin|admin)

и будет вам счастье...

[marlen]

Если я правильно поняла - вы говорите про error.log  который тут  system/logs ?  там лежит один my_mego_log.log

 

А error.php  лежат в 

admin\language\english\tool

admin\controller\tool

admin\language\russian\tool

 

или уже ум за разум заходит?

Змінено 31 травня 2016 користувачем marlen

[marlen]

ну и больше скринов с кодом, нынче телепатия в дефиците...

нету скринов только вот это http://joxi.ru/bmo0Yz9fMGMQ52

 

и опять 2

 

как вот найти файлы где эта зараза сидит :cry:  :cry:  :cry:

не зная что ищишь

[Baco]

error.php  лежат в 

admin\language\english\tool

admin\controller\tool

admin\language\russian\tool

нее, эти трогать не надо, речь об system/logs, если там нет никаких php файлов, то я вас поздравляю.

на том же хостинге что и этот сайт, есть джумла, вордпресс, друпал и т.д. ? в 70% взлома именно через сторонние CMS проходят.

[Tom]

Проверила вручную - всё чисто, только вот на такой файлик adminer-4.2.4.php вирус тотал сильно заругался.

 

Это инструмент для работы с базой данных.

 

https://www.adminer.org/

[marlen]

 

 

Это инструмент для работы с базой данных

я знаю.

 

вот на него вирустотал наругался 

[chukcha]

ругается потому что он частично закодирован но если вы его качнет с офсайта, то гарантировано получите работающий незараженный код

 

И не наругался, а сказлп. О я вас узнал Adminer Database Manager (PUA)

[marlen]

И не наругался, а сказлп. О я вас узнал Adminer Database Manager (PUA)

А я его и не прятала, чтоб не узнавать) Раз красненьким раскрасил - значит наругался.

 

А еще где что можно посмотреть? всё уже пересмотрела - ну нет ничего,а он всё ругается.

 

а доктор так вообще http://joxi.ru/12MZeYNs4yMyNA  :cry:  :cry:  :cry:  :cry:

[marlen]

нее, эти трогать не надо, речь об system/logs, если там нет никаких php файлов, то я вас поздравляю.

на том же хостинге что и этот сайт, есть джумла, вордпресс, друпал и т.д. ? в 70% взлома именно через сторонние CMS проходят.

извиняюсь - проглядела.

 

нет никаких соседей - у нас сервер и там рабочий магазин и этот и всё