#1 2012-01-23 20:00

nworm
Пользователь

Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Сайт был взломан недавно и до этого могли быть проблемы.
Усложнили пароль, в общем, не очень давно.
Сейчас обнаружил там блок скрытых ссылок прямо под меню. Не могу понять из какого файла он пришёл.

</table><div id='center'></div><script>document.getElementById('center').style.visibility = 'hidden';</script><div style=display:none></div><div style=display:none><!--a809c-->наши <a href="http://www.sexrelax.ru">проститутки</a>  обожают анальный секс , www.metalloprof.ru <a href="http://www.metalloprof.ru/catalog/">купить металлочерепицу по цене от 225 руб</a> /м2 ,  <a href="http://www.doconline.ru/">купить диплом</a> ,  <a href="http://www.diplm.com/">Купить диплом.</a>
</div><div style=display:none><!--9c7ec26b--><!--9c7ec26b--></div></td>

В папке templates_c автоматически повреждаются и наполняются этой гадостью файлы
%%2C^2C4^2C4FB197%%heads.tpl.html.php
%%2C^2C4^2C4CBF197%%search_forms.tpl.html.php

Ну, а потом, эта ссылочная штука идёт в index.php

Никто не знает, как лечить?

Отредактировано nworm (2012-01-23 20:01)

Неактивен

 

#2 2012-01-23 20:24

nworm
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

О, нашёл ещё кое-что
В файле includes/search_adv.php
идут строки
...
var $lc_server = 'db.linkfeed.ru';
...
$catt ="<div id='center'>".($n)."</div><script>document.getElementById('center').style.visibility = 'hidden';</script>"
...
видимо это что-то не то.

Вопрос: где можно добыть чистый файл includes/search_adv.php?

Неактивен

 

#3 2012-01-23 20:45

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Перезалейте маг с бекапа или в асю стучите, почистим вам. Вообще былобы не плохо посмотреть, кудой и как залезли.

Отредактировано mask (2012-01-23 20:49)

Неактивен

 

#4 2012-01-24 17:35

nworm
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Разобрался, был взлом. Пришлось чистить php-файлы. Там в хвосте нескольких файлов сидел php-код, который генерировал ссылки (для нескольких ссылочных бирж, по классу для каждой биржи) и занимался автоторговлей на ссылочных биржах. Ссылки были скрытые (hidden), чтоб хозяин сайта не видел их. Пришлось поменять пароли.

Отредактировано nworm (2012-01-24 17:36)

Неактивен

 

#5 2012-01-24 19:08

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

nworm написал:

Разобрался, был взлом. Пришлось чистить php-файлы. Там в хвосте нескольких файлов сидел php-код, который генерировал ссылки (для нескольких ссылочных бирж, по классу для каждой биржи) и занимался автоторговлей на ссылочных биржах. Ссылки были скрытые (hidden), чтоб хозяин сайта не видел их. Пришлось поменять пароли.

В любом случае обновитесь из бекапа или обновите скрипт и проверьте на наличие "лишних" файлов на хостинге.
Если сломали, то вполне могли залить шелы и смена одного только пароля тогда вам уже не поможет.
И свой локальный компьютер проверьте на предмет вирусов на всякий случай. И заблокируйте доступ к хостингу по FTP.

Отредактировано www.po.kiev.ua (2012-01-24 19:12)

Неактивен

 

#6 2012-01-27 17:12

nworm
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Опять пришёл вирус (с шелом).
register.php в корневой папке
Антивирус хостера раз в неделю проверяет на вирусы. Удаляет этот файл с вирусом. А последствия работы вируса не удалет.
Но потом откуда-то опять берётся файл.
Никто не сталкивался?

Отредактировано nworm (2012-01-27 17:13)

Неактивен

 

#7 2012-01-27 17:19

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

nworm написал:

register.php в корневой папке

Я даже знаю каким запросом это делается)

Неактивен

 

#8 2012-01-27 17:22

nworm
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Известная уязвимость в shop-script? Может поделитесь как лечить, а?

Отредактировано nworm (2012-01-27 17:22)

Неактивен

 

#9 2012-01-27 17:28

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

nworm написал:

Известная уязвимость в shop-script?

Есть маленько там таких) У меня друг мои скрипты проверяет на дыры, бывает рассказывает где что есть)

Как говорится нет ничего 100% защищенного, можно только усложнить задачу взлома)

Вы мне в асю напишите, проверим точно тот запрос или нет, если тот, тогда с уверенностью можно сказать, как закрыть эту дыру, а если не тот, то остальные перебирать не будем, ато на лопатки ваш маг ляжет)))

Отредактировано mask (2012-01-27 17:32)

Неактивен

 

#10 2012-01-27 17:40

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

mask написал:

nworm написал:

Известная уязвимость в shop-script?

Есть маленько там таких) У меня друг мои скрипты проверяет на дыры, бывает рассказывает где что есть)

SQL-inj  ?

Неактивен

 

#11 2012-01-27 17:44

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

www.po.kiev.ua написал:

SQL-inj  ?

Нет. Только что с этим человеком проверили, реально этим способом ломают.

Неактивен

 

#12 2012-01-27 17:53

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

mask написал:

www.po.kiev.ua написал:

SQL-inj  ?

реально этим способом ломают.

ЭТИМ - в смысле каким этим?

Неактивен

 

#13 2012-01-27 17:55

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

www.po.kiev.ua написал:

ЭТИМ - в смысле каким этим?

Давай я еще в паблик тебе способы повылаживаю))) Я использую их только для проверки на уязвимость своих скриптов, щас выложу и весь инет будет ломать скрипты) Нафиг им такая радость)

Отредактировано mask (2012-01-27 17:57)

Неактивен

 

#14 2012-01-27 18:19

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Ты не понял, я спросил ЭТИМ в смысле SQL-inj или какой-то другой? Ты же не писал что имешь в виду под ЭТИМ.
Я не прошу инструкцию.

Неактивен

 

#15 2012-01-27 18:21

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

www.po.kiev.ua написал:

Ты не понял, я спросил ЭТИМ в смысле SQL-inj или какой-то другой? Ты же не писал что имешь в виду под ЭТИМ.
Я не прошу инструкцию.

Ааа, нет, там просто запрос на создание файла, БД там не трогают.

Неактивен

 

#16 2012-01-27 18:22

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

mask написал:

www.po.kiev.ua написал:

Ты не понял, я спросил ЭТИМ в смысле SQL-inj или какой-то другой? Ты же не писал что имешь в виду под ЭТИМ.
Я не прошу инструкцию.

Ааа, нет, там просто запрос на создание файла, БД там не трогают.

Shop-Script PREMIUM?

Неактивен

 

#17 2012-01-27 18:35

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

www.po.kiev.ua написал:

mask написал:

www.po.kiev.ua написал:

Ты не понял, я спросил ЭТИМ в смысле SQL-inj или какой-то другой? Ты же не писал что имешь в виду под ЭТИМ.
Я не прошу инструкцию.

Ааа, нет, там просто запрос на создание файла, БД там не трогают.

Shop-Script PREMIUM?

Без разницы.

Неактивен

 

#18 2012-01-27 18:40

nworm
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Эта дыру, видимо, прикрыли. По крайней мере mask всё проверил и файл не создался. Спасибо участнику mask.

Отредактировано nworm (2012-01-27 18:41)

Неактивен

 

#19 2012-01-27 18:53

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

mask написал:

Без разницы.

Не понял, так это уязвимость хостинга, SSP или WASS?

Неактивен

 

#20 2012-01-27 18:55

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

www.po.kiev.ua написал:

mask написал:

Без разницы.

Не понял, так это уязвимость хостинга, SSP или WASS?

Самих скриптов. Хостинг тут не причем.

Неактивен

 

#21 2012-01-27 21:28

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Сейчас походил по ветке Premium, посмотрел сайты, в некоторых таже беда со взломом. Нужно как-то IP определить, мне кажется какая-то гнида с форума сабачит всем таким способом сайты. Может как-то админов попросить, чтоб предупредили владельцев скриптов?

Отредактировано mask (2012-01-27 21:33)

Неактивен

 

#22 2012-01-27 23:50

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

mask, почему ты решил, что он(а) с форума?
Почему должен быть с форума?
Может просто эксплоит есть?

И о чем попросить, каких админов?  smile
Скажи о чем и я буду предупреждать своих клиентов.

Отредактировано www.po.kiev.ua (2012-01-27 23:51)

Неактивен

 

#23 2012-01-28 22:10

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

www.po.kiev.ua написал:

mask, почему ты решил, что он(а) с форума?

Предположил

www.po.kiev.ua написал:

И о чем попросить, каких админов?  smile

Разрабов. Что б письма чтоль разослали, пусть люди проверят корни.

Неактивен

 

#24 2012-01-29 04:07

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

mask написал:

Разрабов. Что б письма чтоль разослали, пусть люди проверят корни.

Практически уверен, что разработчики не станут рассылать подобные письма, т.к. это будет компрометировать продукт.
А что искать в корне?
Я могу своим клиентам рассылку сделать. Их довольно много.

Неактивен

 

#25 2012-01-30 14:31

Vladislav
Webasyst

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Сообщение вида "что-то где-то может не работать, проверьте", выглядит немного странным. Надо достоверно знать способ проникновения и предлагать способ противостоять этому (исправления в коде и конкретные рекомендации).
Способ проникновения может быть основан на старых уязвимостях, которые по каким-то причинам на конкретной установке не были исправлены (не знал/лень/потерялось исправление в модификациях/решили не делать, чтобы сохранить "важные модификации"). На уязвимостях популярных сторонних доработках, которые были добавлены самостоятельно, либо силами сторонних программистов/студий. На нарушениях правил безопасности компьютеров, с которых осуществлялся доступ к сайту. На проблемах с безопасностью самого хостера. Или на заведомо специально оставленных бекдорах и "опциональными" доработками сторонних разработчиков, к которым обращались владельцы магазинов.
Так что больше конкретики не помешает, а чтобы не было преждевременных утечек информации, можно сообщать о находках в службу техподдержки.

Неактивен

 

Board footer

Powered by PunBB