[Помогите] Срочно нужна помощь

Тема в разделе "OpenCart", создана пользователем ioh2007, 15 ноя 2015.

  1. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    Ребята, помогите, кто сталкивался? Хостеры закрыли сайт из-за массовой спам рассылки. Как мне искать этот вирус? И как понять причину взлома? Очень жду помощи
     
  2. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    Ищите поиском по файлам eval, assert, base64, array_map, extract, curl, file_get_contents и смотрите, нет ли там подозрительного кода.
    В принципе, в первых двух вариантах это точно он, в случае с остальными нужно смотреть на сам код.
     
    ioh2007 нравится это.
  3. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    Например base64 нашелся в 27 файлах. Это значит, что там присутствует вирус?
     
  4. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    Нет, это значит, что он там может быть. А дальше нужно открывать файлы и смотреть на код.
     
  5. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    Вот кусок кода. Дело в том, что я не понимаю, вирус это или нет
     
  6. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    Ну, именно этот кусок кода - да. Только он закоментирован.

    Вообще, если в base64_decode завёрнуто какой-то набор символов, а не переменную - это точно вирус. В остальных случаях надо смотреть на остальной код.
     
  7. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    т.е. тот кусок, что я скинула, это вирус? А почему интересно он активизировался вчера в 22.30, хотя файл последний раз менялся 2.11.13?
     
  8. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    В вебе понятие "вируса" - это условность. Обычно, это бекдоры, которые позволяют их автору получить доступ к сайту. Соответственно, вредоносное их действие проявляется тогда, когда автор бекдора что-либо делает через него на сайте.

    Но этот кусок кода не тот "вирус", который вы сейчас ищите (если файл действительно не менялся 2 года), ибо он во-первых, закомментирован, а во-вторых, просто отправляет какой-то текст в ответ на запрос.
     
  9. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    Так а как же мне тогда быть? Сейчас идет поиск по "eval". Количество файлов меня совсем не радует. Тем более что я не всегда понимаю, что значит кусок кода. А этот Eval в основном в скриптах находится по поиску
     
  10. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    В смысле, в js скриптах? Там это может быть и не вредоносный код, а просто некачественный или обфусцированный.
    Учитывая, как проявился этот вирус, искать надо по php файлам. Правда, есть вероятность, что на странице входа в админку есть js скрипт, который отправляет кому-то логин и пароль от админке.
     
  11. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    Хостеры мне написали так:
    Мы заметили, что ваш сайт участвует в рассылке email сообщений (СПАМ сообщений). В связи с этим, ваш хостингаккаунт ********] был временно заблокирован.

    Просим вас принять меры по устранению вредоносных скриптов вашего сайта с целью недопущения подобных рассылок.
    В приложении вы найдете информацию с нашего сервера о рассылке спама вашим сайтом. На время оптимизации скриптов/устранения вредоносных файлов, мы можем временно перенести ваш сайт на сервер отладки приложений (данный сервер предназначен для оптимизации скриптов клиентами). По вашему запросу, сайт будет возращен обратно на прежний сервер после оптимизации.

    Но я ничего не поняла в этом прикрепленном файле
     
  12. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    Выложите его сюда.
     
  13. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    Вот так можно?
     
  14. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    Можно. Только ничего полезного там нет: первая половина файла это логи запросов к БД, при беглом просмотре которых ничего подозрительного не заметно, а вторая часть файла это совершенно не информативный лог веб сервера.
     
  15. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    Это все, что мне хостеры скинули.
    Скажите, а поставить бекап нельзя? У меня есть от 12.11. Тогда еще ни о каких вирусах хостеры не говорили. Можно так?
     
  16. MGT1

    MGT1

    Регистрация:
    5 янв 2013
    Сообщения:
    900
    Симпатии:
    218
    Я тебе дам только дельный совет-найти код без доступа нереально. 2. Искать твой "вирус" на сайте дело трудоемкое и если не можешь сам определить файл (путем что когда устанавливал и после чего появилось), лучше не трать неделю/две на его поиски, а попроси за небольшое вознаграждение прогнать его у специалистов, их тут достаточно и при чем грамотных. Но, как говорится - решать тебе.
     
    ioh2007 нравится это.
  17. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    11 - это месяц или год? Если у вас бекап, сделанный 3 дня назад, сильно сомневаюсь, что от него будет польза. Нужен как минимум бекап до последних установок модулей (если предположить, что вирус был в одном из последних установленных модулей).

    А хостер говорит не о вирусе, а о рассылке спама. То есть, вирус и пол года мог до этого момента у вас пролежать без дела пока не понадобился автору.
     
  18. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    Вот есть отчет от aibolit
    Извините, что не сразу ответила. Не было возможности.
    Бекап как раз трехдневной давности до установки модуля
    Вчера ночью, около 4 утра точнее, хостеры прислали письмо с извинениями, отключили аккаунт из-за большой нагрузки на сервер с моей стороны. Никакой рассылки спама от меня не шло. Вот так. Теперь надо разбираться, что вызвало эту нагрузку и была ли она вообще.

    Программа айболит мне нашла подозрительные файлы, включая мобильный редирект. Вот это может со временем мне навредить?
     
    Последнее редактирование: 16 ноя 2015
  19. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    А редирект куда? То есть, у вас должен он быть?
    Мобильный редирект - очень популярная вирусная вставка: если посетитель заходит с телефона, его отправляет куда нужно автору вируса, а владелец сайта заходя с компьютера даже не подозревает, что есть проблема.

    А вы перед этим что-нибудь с сайтом делали? Импорт/экспорт товаров, добавление сайта в Я.Маркет или какой-то другой агрегатор, установка какого-нибудь фильтра?
     
  20. ioh2007

    ioh2007

    Регистрация:
    7 окт 2013
    Сообщения:
    59
    Симпатии:
    3
    На редирект указывается в htaccess. Хотя я его не меняла с апреля того года
    На сайте ничего не делалось, в логах ошибок есть указание на синтаксическую ошибку в файле модуля и после этого запись о том, что упала БД.