#26 2012-01-30 17:09

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Vladislav написал:

можно сообщать о находках в службу техподдержки.

Отписался, вместе с примерами запросов.

Неактивен

 

#27 2012-01-31 20:18

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

И что? Есть какая-то реакция?

Неактивен

 

#28 2012-01-31 20:22

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

www.po.kiev.ua написал:

И что? Есть какая-то реакция?

Хз. Я скриптами не пользуюсь, мне точно ничего не напишут ) Так что юзверям виднее.

Неактивен

 

#29 2012-01-31 21:01

Vladislav
Webasyst

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Ну неадекватное поведение магазина на GET запрос вида

Код:

index.php?some_param=die('hacked');

на чистой установке не проявляется - должен быть уже код, который это подхватит и сделает, что ему сказали, т.е. может существовать некий бэкдор в полстрочки, оставленный кем-то в произвольном месте, который при желании можно свалить на "уязвимость исходных скриптов".
Так что по прежнему мы не увидели действительного пути проникновения и заражения установок.

Отредактировано Vladislav (2012-01-31 21:04)

Неактивен

 

#30 2012-03-07 11:33

joomler
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

У меня такая же проблема.
nworm скажите, в каких файлах прописан зловредный код?

Неактивен

 

#31 2012-03-07 23:03

joomler
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Нашел в папке include файл contact_info.php снес его и ссылки пропали

Неактивен

 

#32 2012-03-28 21:37

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

nworm написал:

Опять пришёл вирус (с шелом).
Антивирус хостера раз в неделю проверяет на вирусы. Удаляет этот файл с вирусом. А последствия работы вируса не удалет.
Но потом откуда-то опять берётся файл.
Никто не сталкивался?

Вы перед этим модули не покупали не устанавливали случайно?  http://forum.webasyst.ru/viewtopic.php?id=14791

Неактивен

 

#33 2012-03-28 22:31

nworm
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

www.po.kiev.ua написал:

nworm написал:

Опять пришёл вирус (с шелом).
Антивирус хостера раз в неделю проверяет на вирусы. Удаляет этот файл с вирусом. А последствия работы вируса не удалет.
Но потом откуда-то опять берётся файл.
Никто не сталкивался?

Вы перед этим модули не покупали не устанавливали случайно?  http://forum.webasyst.ru/viewtopic.php?id=14791

Нет. Всё не обновлялось уже достаточно давно.
По крайней мере, я ничего не обновлял.

Неактивен

 

#34 2012-04-03 13:33

dex
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Коллеги!

у меня возникла таже проблема - в шапке главной странице появились "левые ссылки". Работаю с OpenCart.

В какой-то момент (буквально пару дней назад) в корне сайта
Появилась папка с названием
98f026452cb3aad10aae4e9c95e268e0bd9bc79c

В ней 2 файла
linkfeed.php
db.linkfeed.ru

и паразитный код как описано у других ...

вообщем путем изучения логов и при активной помощи хостинга сделан следующий вывод: Это простите меня хрень, специально встраивается в сайт, через определенный промежуток времени.

"Приходит" этот паразитный код из модуля VQmod.

То есть разработчики этого модуля имеют какое-то отношение к бирже ссылок linkfeed (прямое или косвенное). Либо это биржа зарабатывает, либо кто-то из вебмастеров получают таким образом площадки для несанкционированного размещения ссылок.

Лечиться эта "хрень" либо путем регулярного удаления паразитного кода из файла header.tpl on line 103

Вот этого куска кода.

Код:

<script type="text/javascript">
    $(document).ready(function() {
       $('body').hover(function() {
    setTimeout(function() {
    $('.linkfeed').hide();
    }, 5000);
    });
    });
    </script>
    <div class="linkfeed" style="position: absolute; top: 35px;left 10px;">
    <?php
       define('LINKFEED_USER', '98f026452cb3aad10aae4e9c95e268e0bd9bc79c');
       require_once($_SERVER['DOCUMENT_ROOT'].'/'.LINKFEED_USER.'/linkfeed.php');
       $linkfeed = new LinkfeedClient();
       echo $linkfeed->return_links();
    ?>
    </div>

Либо отказом от модуля VQmod, с установкой раширений для Open Cart "ручками".

Неактивен

 

#35 2012-04-03 14:01

nworm
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

У меня было много бирж ссылок не только linkfeed.

Неактивен

 

#36 2012-04-03 14:11

www.po.kiev.ua
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

dex написал:

у меня возникла таже проблема - в шапке главной странице появились "левые ссылки". Работаю с OpenCart.

Спасибо конечно, но к этой теме прямого отношения не имеет, т.к. тут про WASS, а Вы про OpenCart.
Другой движок, другие модули, другие разработчики...

Неактивен

 

#37 2013-03-17 01:26

spbegoza
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

у меня тоже такая фигня была в скрытом коде (как в первом сообщении). нашла 2 в файла
/public_html/includes/contact_info.php и comparison_products.php
в них были  ссылки такого плана "$h = $ml->>>>Get_Links()", я эти файлы чистовыми переписала, больше ссылки не появлялись. почитав тему залезла опять в корневой каталог и удалила 2 левых файла. надо еще как-то проверить сайт или достаточно?

Неактивен

 

#38 2013-05-12 16:46

spbegoza
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Помогите, пожалуйста, опять мне взломали сайт sad
то что раньше было, я уже почистила, но теперь появился новый файл в includes, links.db, я его удаляю, а он опять появляется...

Неактивен

 

#39 2013-05-13 12:56

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

spbegoza написал:

Помогите, пожалуйста, опять мне взломали сайт sad
то что раньше было, я уже почистила, но теперь появился новый файл в includes, links.db, я его удаляю, а он опять появляется...

Стукните в асю, посмотрю.

Отредактировано mask (2013-11-09 22:44)

Неактивен

 

#40 2014-02-11 14:12

FreeMan
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

У меня тоже появились проститутки в коде страниц, на глаз не видны, тока если исходный код страниц смотреть.
После этого ещё и сайт стал туго работать - магазинные страницы (все) стали открыватьс по 4-5 секунд. Все другие страницы, включая форум - быстро.
Пришлось стереть нах всё и вся на хостинге. Потом залить из бекапа всё, годовалой давности, с ручной доработкой того, что надо.
Что сделать, чтобы этого больше не было? Я понимаю, что основная инфа в базе, и файлы можно удалять и перезаливать хоть 100 раз, изменений не так уж много, но хотелось бы устранить уязвимости.
Ограничил по IP доступ ftp, доступ в админку хостера, доступ в админку магазина (через ftp.allow и .htaccess). Что ещё кто предложит? Если баг в самих скриптах, то моя защита не сработает... Проститутки, конечно, древняя и неистребимая профессия ))) Но не на моём же сайте)))

Неактивен

 

#41 2014-02-12 16:21

Vladvv
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

ломают через корзину. у меня сломали 9 февраля (((

Неактивен

 

#42 2014-02-12 17:05

mask
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

FreeMan написал:

Проститутки, конечно, древняя и неистребимая профессия ))) Но не на моём же сайте)))

big_smile

То что "неистребимая" - это точно.
Нужно наверно заканчивать сайты людям чистить.
Ато, видать, с одного гоню, они на другой бегут smile smile smile

Неактивен

 

#43 2014-02-12 21:38

FreeMan
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

ломают через корзину. у меня сломали 9 февраля (((

Что сделать для защиты?

Неактивен

 

#44 2014-02-12 23:54

Vladvv
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

FreeMan написал:

ломают через корзину. у меня сломали 9 февраля (((

Что сделать для защиты?

я не знаю.
сам здесь для этого, смотрю знатоков, желающих почесать язык тут много, вот и написал сюда и  в поддержку, вдруг ответят.

Неактивен

 

#45 2014-02-13 09:06

FreeMan
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

желающих почесать язык тут много

Вот это точно.

Неактивен

 

#46 2014-12-25 15:45

webmaster67
Пользователь

Re: Чужие скрытые ссылки в shop-script (?вирус или взлом?)

Может пригодится кому,пару дней искал,в итоге нашел у себя скрипт который выводил ссылки скрытые после maincontent , лежал скрипт в файле published/SC/html/scripts/modules/test/class.test.php  выводилось через кодирование eval(base64_decode и т.п. поэтому автопоиск по стилям не находил резльтатов.Так же файлы крон я думаю лучше переименовать чтобы никто заново не влил ничего. Надеюсь будет полезен кому совет мойsmile

Неактивен

 

Board footer

Powered by PunBB