Vladislav написал:

можно сообщать о находках в службу техподдержки.

Отписался, вместе с примерами запросов.

www.po.kiev.ua написал:

И что? Есть какая-то реакция?

Хз. Я скриптами не пользуюсь, мне точно ничего не напишут ) Так что юзверям виднее.

У меня такая же проблема.
nworm скажите, в каких файлах прописан зловредный код?

nworm написал:

Опять пришёл вирус (с шелом).
Антивирус хостера раз в неделю проверяет на вирусы. Удаляет этот файл с вирусом. А последствия работы вируса не удалет.
Но потом откуда-то опять берётся файл.
Никто не сталкивался?

Вы перед этим модули не покупали не устанавливали случайно?  http://forum.webasyst.ru/viewtopic.php?id=14791

Коллеги!

у меня возникла таже проблема - в шапке главной странице появились "левые ссылки". Работаю с OpenCart.

В какой-то момент (буквально пару дней назад) в корне сайта
Появилась папка с названием
98f026452cb3aad10aae4e9c95e268e0bd9bc79c

В ней 2 файла
linkfeed.php
db.linkfeed.ru

и паразитный код как описано у других ...

вообщем путем изучения логов и при активной помощи хостинга сделан следующий вывод: Это простите меня хрень, специально встраивается в сайт, через определенный промежуток времени.

"Приходит" этот паразитный код из модуля VQmod.

То есть разработчики этого модуля имеют какое-то отношение к бирже ссылок linkfeed (прямое или косвенное). Либо это биржа зарабатывает, либо кто-то из вебмастеров получают таким образом площадки для несанкционированного размещения ссылок.

Лечиться эта "хрень" либо путем регулярного удаления паразитного кода из файла header.tpl on line 103

Вот этого куска кода.

<script type="text/javascript">
    $(document).ready(function() {
       $('body').hover(function() {
    setTimeout(function() {
    $('.linkfeed').hide();
    }, 5000);
    });
    });
    </script>
    <div class="linkfeed" style="position: absolute; top: 35px;left 10px;">
    <?php
       define('LINKFEED_USER', '98f026452cb3aad10aae4e9c95e268e0bd9bc79c');
       require_once($_SERVER['DOCUMENT_ROOT'].'/'.LINKFEED_USER.'/linkfeed.php');
       $linkfeed = new LinkfeedClient();
       echo $linkfeed->return_links();
    ?>
    </div>

Либо отказом от модуля VQmod, с установкой раширений для Open Cart "ручками".

dex написал:

у меня возникла таже проблема - в шапке главной странице появились "левые ссылки". Работаю с OpenCart.

Спасибо конечно, но к этой теме прямого отношения не имеет, т.к. тут про WASS, а Вы про OpenCart.
Другой движок, другие модули, другие разработчики...

Помогите, пожалуйста, опять мне взломали сайт
то что раньше было, я уже почистила, но теперь появился новый файл в includes, links.db, я его удаляю, а он опять появляется...

У меня тоже появились проститутки в коде страниц, на глаз не видны, тока если исходный код страниц смотреть.
После этого ещё и сайт стал туго работать - магазинные страницы (все) стали открыватьс по 4-5 секунд. Все другие страницы, включая форум - быстро.
Пришлось стереть нах всё и вся на хостинге. Потом залить из бекапа всё, годовалой давности, с ручной доработкой того, что надо.
Что сделать, чтобы этого больше не было? Я понимаю, что основная инфа в базе, и файлы можно удалять и перезаливать хоть 100 раз, изменений не так уж много, но хотелось бы устранить уязвимости.
Ограничил по IP доступ ftp, доступ в админку хостера, доступ в админку магазина (через ftp.allow и .htaccess). Что ещё кто предложит? Если баг в самих скриптах, то моя защита не сработает... Проститутки, конечно, древняя и неистребимая профессия ))) Но не на моём же сайте)))

FreeMan написал:

Проститутки, конечно, древняя и неистребимая профессия ))) Но не на моём же сайте)))

То что "неистребимая" - это точно.
Нужно наверно заканчивать сайты людям чистить.
Ато, видать, с одного гоню, они на другой бегут

FreeMan написал:

ломают через корзину. у меня сломали 9 февраля (((

Что сделать для защиты?

я не знаю.
сам здесь для этого, смотрю знатоков, желающих почесать язык тут много, вот и написал сюда и  в поддержку, вдруг ответят.

Может пригодится кому,пару дней искал,в итоге нашел у себя скрипт который выводил ссылки скрытые после maincontent , лежал скрипт в файле published/SC/html/scripts/modules/test/class.test.php  выводилось через кодирование eval(base64_decode и т.п. поэтому автопоиск по стилям не находил резльтатов.Так же файлы крон я думаю лучше переименовать чтобы никто заново не влил ничего. Надеюсь будет полезен кому совет мой