В описаниях товаров появились ссылки

[Esox]

В описаниях товаров появились ссылки на забугорные сайты:

<p><a href="http://www.cheapjerseysstoreusa.com/">cheap jerseys</a> <a href="http://www.cheapmichaelkorsstoreus.com/">cheap michael kors</a> <a href="http://www.wholesalemlbjerseys.cc/">wholesale jerseys</a> <a href="http://www.wholesalenbajerseysstore.com/">cheap jerseys</a> <a href="http://www.cheapernfljerseyschina.com/">cheap nfl jerseys</a></p>

Причем не во всех товарах.

Более никаких других изменения пока не вижу.

Сменил пароли, вычищаю описания.

 

Сталкивался ли кто-нибудь с подобным взломом?

[n3bo]

Варез?

[Esox]

Нет.

Я всегда покупаю модули.

Делал это последний раз в январе. 

[Raensul]

а какой движок?

как заметили?

[Esox]

OpenCart 2.x.x.x.

Зашел в карточку товара и увидел красиво оформленные ссылки в начале описания почти всех товаров.

Эти урлы имеются в последней выгрузке БД  sql

Змінено 11 жовтня 2016 користувачем Esox

[mpn2005]

Кроме опенкарта есть что-то рядом (сайты на вордпресс или джумла и т.д.)?

 

Или обратитесь к @halfhope, он на этом специализируется.

Змінено 11 жовтня 2016 користувачем mpn2005

[Tom]

Проверьте на нескольких компах.Зачастую это проблема заражения одной машины.

[mpn2005]

Том, там по описании и в БД это всё присутствует.

При выгрузке в sql.

 

Но комп тоже стоит проверить на вирусы. Т.к. могли доступы потырыть с компа.

Про это точно не стоит забывать.

[Esox]

В бэкапе из админки в формируемом файле sql присутствуют эти ссылки.

Сервер выделенный.

Присутствует еще один магазин на OC и с 2 недели назад заливал в отдельное вебпространство под другим доменом сайт на HTML и JS одностраничник

Возможно от туда что-то прилетело.

 

Проверил HTML код того сайта одностраничника - все чисто. По JS не могу проверить. Но айболит сказал:

Вредоносные скрипты не найдены.

 

На магазине где появились ссылки, айболит нашел в файлах /admin/controller/payment и далее все файлы с yandexur вредоносный код.

 

Я сравнил эти файлы с бекапом полугодичной и более давности, там этот вредоносный код тоже присутствует.

Прогнал этот старый бэкап айболитом и  все также в отчете как и с сегодняшней копией:

Вредоносный код в:

/admin/controller/payment/yandexur_ ****  и 10 файлов с таким же началом.

 

Могу полагать, что изначально в этом методе оплаты был вредонос, который ждал своего часа.

Причем оплату никакую через сайт не принимаю.

[Blondi]

На yandexur часто "антивирусы ругаются". Если модуль официально покупался, то проблем с ним быть не должно. 

Можете стукнуть в личку, гляну, что там у вас 

[Esox]

Был еще в корне файл info.php в котором было:

 

<?php phpinfo();?

 

и предупреждение на дорвей с рекламой

 

и вот это:

 

/admin/view/javascript/jquery/flot/examples/axes-time-zones/tz/yearistype.sh

 

как сигнатуры исполняемых файлов unix

 

Все эти файлы все присутствовали на хостинге.

Буду комп проверять.

[bravo14]

В 12.10.2016 в 00:31, Esox сказал:

/admin/view/javascript/jquery/flot/examples/axes-time-zones/tz/yearistype.sh

 

как сигнатуры исполняемых файлов unix

 

Все эти файлы все присутствовали на хостинге.

Буду комп проверять.

Такой же обнаружил на обоих сайтах. Чем вопрос решился?

[Esox]

Добрый день.

Все вычистил. Более проблем не было.

 

[maxvik]

в смысле, просто удалил yearistype.sh?