вирус

Тема в разделе "OpenCart", создана пользователем cherkas, 6 ноя 2019.

  1. cherkas

    cherkas

    Регистрация:
    25 фев 2013
    Сообщения:
    437
    Симпатии:
    55

    есть такой фаил (под спойлером выше), хостинг определяет его как вирус, попробовал удалить его, он очень скоро появился снова

    помогите разобраться что с этим делать

    модуля водяного знака не стоит
     
  2. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.535
    Симпатии:
    1.464
    вас взломали. Или именно вас или весь хостинг.
    нужно менять пароли ВСЕ. в том числе SSH, БД.

    искать в кроне что может ставить скрипт назад, либо это делается автоматически удалённо.
    Проще наверно переехать на другой сервак
     
  3. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.179
    Симпатии:
    1.290
    Это может быть и не на кроне, а тупо при каждом (или рандомном, или к определённому контроллеру) запросе проверка наличия файла и закачка в случае отсутствия.
     
  4. cherkas

    cherkas

    Регистрация:
    25 фев 2013
    Сообщения:
    437
    Симпатии:
    55
    а как прочитать, что зашифровано в строках?

    там и не ионкуб и не базе64
     
  5. chukcha

    chukcha

    Регистрация:
    9 окт 2014
    Сообщения:
    416
    Симпатии:
    110
    так там в коде все написано
     
  6. cherkas

    cherkas

    Регистрация:
    25 фев 2013
    Сообщения:
    437
    Симпатии:
    55
    так то да, интересует что в переменной $imagewatermark в двух местах
     
  7. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.179
    Симпатии:
    1.290
    Код для расшифровки её содержимого там есть. Об этом и говорил Чукча.
     
  8. Baco

    Baco Антихронофаг Команда форума

    Регистрация:
    9 окт 2012
    Сообщения:
    731
    Симпатии:
    371
    Знакомый код, предположительно использован модуль "под кубом" или какой то дырявый, который используют именно с целью заливки шелла, своего времени. я так и не нашел, откуда ветер дует, но когда перенесли отдельно на акк сайт, проблема пропала, как пишут камрады выше, смотрите, если есть аккаунты с другими сайтами (вордпресс, джумла, друпал...), не вскрыли ли их и потом не перенеслась ли зараза уже на магазин, ну и последняя рекомендация, которую так же имело место эксплуатировать: надёжный ли пароль для входа в админку ?!
     
  9. FoxCloud

    FoxCloud

    Регистрация:
    12 май 2017
    Сообщения:
    1
    Симпатии:
    0
    Здравствйте.
    Для того, чтобы закрыть уязвимость на сайте, рекомендуем:
    Просто
    - Зайдите в админку сайта и удалите всех подозрительных пользователей с админ правами.
    - Смените пароли к админке сайта, а также ко всем валидным админ пользователям.
    - Смените пароль к базе данных.
    - Обновите CMS/PHP
    - Удалите потенциально не нужные плагины на сайте.

    Сложнее
    - Проверьте сайт на вредоносные вставки. К пример утилитой aibolit.
    Ссылка: https://revisium.com/aibo/index.php?q=808139860158045916270228972733398
    Команда проверки на сервере будет выглядеть примерно так
    php /opt/aibolit/ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov,_deny,suspected --mode=2 --path=/путь/к/сайту/ --report=/путь/к/сайту/vir.html

    - Очистите вредоносные вставки в коде сайта и запустите antishell, чтобы зафиксировать изменения на сайте, если они произойдут.
    Зная время и файлы которые изменены на сайте, вы сможете по access логу выявить запрос/злодея и дальше уже закрыть уязвимость.

    [Как запустить антишелл]
    Скачайте архив antishell.zipпо ссылке https://object-store-nl2.foxcloud.n...89b08406ca34c962df7e5fb82/forum/antishell.zip (вставьте ссылку в адресную строку и нажмите enter. Файл скачается автоматически)
    Распакуйте архив в директорию antishell в корне сайта
    Сконфигурируйте параметр в файле antishell.php. Необходимы параметры для замены легко найти они обозначены иксами XXXXXXXXXX.
    Проверьте, что antishell доступен по ссылке http://xn----7sbbdccv8a8dm2d.ru/antishell/antishell.php
    Сделайте крон, чтобы скрипт проверял каждые 5ть минут не изменились ли на сайте файлы.
    Для этого нужно занести задание в крон:
    */5 **** php /полный/путь/к/antishell/ваш_сайт/antishell/antishell.php

    Измените какой-то файл на сайте - вам должно отправится письмо на почту, указанную вами в файле antishell.php.
    Теперь когда у вас на сайте появятся