Может кто помочь побороть вирус?

[PavlikMorozov]

Проблема вот в чем когда регистрируется Клиент вроде все нормально на первый взгляд. Но потом невозможно войти под своими рег. данными. Захожу в карточку клиента Там вообще бардак полный. Имена другие появляются. Емаил тоже другой. Вообщем все криво становиться. Есть вопрос я хочу восстановить из ранее сделанной версии Бэкап. А саму БД загрузить действующую( т.к. проводились работы по наполнению сайта и люди регистрировались). Вирус проникнит????

[PavlikMorozov]

И как мне с ним бороться может кто подскажет? И в дальнейшем защитить сайт?

[Tom]

Вопрос который ставит в тупик видимо не только автора топика.

А можно по русски то же самое? 

Откуда такая уверенность в наличии вируса? И откуда он должен проникнуть?

[Blondi]

18 часов назад, PavlikMorozov сказал:

Но потом невозможно войти под своими рег. данными.

Для начала проверьте сразу после регистрации что и как ложится в БД.

 

18 часов назад, PavlikMorozov сказал:

Вообщем все криво становиться.

Не может оно само все меняться самостоятельно. Посмотрите на эти имена, может кто то в паралель регистрировался, если имена и почта реальная...

Возможен вариант массовой регистрации роботами, или если в базе полный бред или куски кода, то возможно кто то сканил сайт и там пробивает SQL инъекция.

Вирусом тут и не пахнет, пока что...

[PavlikMorozov]

3 часа назад, Tom сказал:

Вопрос который ставит в тупик видимо не только автора топика.

А можно по русски то же самое? 

Откуда такая уверенность в наличии вируса? И откуда он должен проникнуть?

http://prntscr.com/fe71ag

[PavlikMorozov]

13 минут назад, SouthBlondi сказал:

Для начала проверьте сразу после регистрации что и как ложится в БД.

 

Не может оно само все меняться самостоятельно. Посмотрите на эти имена, может кто то в паралель регистрировался, если имена и почта реальная...

Возможен вариант массовой регистрации роботами, или если в базе полный бред или куски кода, то возможно кто то сканил сайт и там пробивает SQL инъекция.

Вирусом тут и не пахнет, пока что...

Перестали регистрироваться заказы. Делаешь заказ а он ни где не отображается. Не приходит и на почту. И в админке тишина.

[PavlikMorozov]

4 часа назад, Tom сказал:

Вопрос который ставит в тупик видимо не только автора топика.

А можно по русски то же самое? 

Откуда такая уверенность в наличии вируса? И откуда он должен проникнуть?

В двух Карточках товара Вместо наименования Была такая строка 

<Cell ss:StyleID="s103"><ss:Data ss:Type="String" xmlns="http://www.w3.org/TR/REC-html40">Ручка для подсачека MASTER 400 <Font html:Color="#FF0000"> </Font>

 

Чтобы это значило?

[Blondi]

О, вот на скрине уже что то поинтереснее... Но опять таки, маловато...
Но сразу много вопросов - http://moments.ru/ это ваш сайт?
moneymaker - шаблон честно купленный? не с вареза?

 

3 часа назад, PavlikMorozov сказал:

В двух Карточках товара Вместо наименования Была такая строка

похоже как то обрамление тегами слетело в шаблоне... Посмотрите что в базе лежит, если в базе название ок, то побились файлы шаблона.
В любом случае уже  сканить надо на шеллы, и смотреть что там напихано.

[PavlikMorozov]

В базе таже хрень

[PavlikMorozov]

15 часов назад, SouthBlondi сказал:

О, вот на скрине уже что то поинтереснее... Но опять таки, маловато...
Но сразу много вопросов - http://moments.ru/ это ваш сайт?
moneymaker - шаблон честно купленный? не с вареза?

 

похоже как то обрамление тегами слетело в шаблоне... Посмотрите что в базе лежит, если в базе название ок, то побились файлы шаблона.
В любом случае уже  сканить надо на шеллы, и смотреть что там напихано.

Сайт мой. Куплен честно. И все модули тоже куплены честно. На этом форуме.

[PavlikMorozov]

Не подскажете чем лучше просканировать и где взять?

[PavlikMorozov]

Просканировал Айболитом вот отчет. Посмотрите пжл. есть там чего страшного?

AI-BOLIT-REPORT.html

[Blondi]

в .htaccess можно заглянуть, посмотреть чего он ругается.

Просмотреть картинки, на которые ругается, но скорее всего ложные срабатывания, у него такое часто бывает.

Если в базу ложится название вот так вот криво, то тут что то с ядром самим, надо разбираться. Очень нетипичное поведение для вируса.

Те файлы что на скрине, что якобы зараженные, прогнать через virustotal и посмотреть глазками, что там, а так же даты - когда они последний раз менялись, может туда что то таки дописали.

Если модули все честно купленные, то сравнить дистрибутивы с тем что есть на хостинге, найти 10 отличий (ну или сколько повезет)

[sitecreator]

11 часов назад, SouthBlondi сказал:

Очень нетипичное поведение для вируса.

 

В 99.9% случаев вирус в БД не лезет.

Как правило, задача вражеского кода состоит в том чтобы воспользоваться вашим сервером/аккаунтом для рассылки спама.  Для этого модифицируется код, добавляются левые файлы, но в БД вражина не лезет, оставляя видимость нормальной работы сайта.

[kvr66]

откройте файл catalog/controller/payment/qiwi_rest.php

посмотрите нет ли там чего лишнего

обратите внимание на низ, там может быть ползунок, сдвинте его вправо до конца и посмотрите файл. бывает что так нечего не видно а код прописан через пробелы далеко вправо.

если увидите что подозрительное сделайте скрин, посмотрим.