Помогите найте Shell`ку

Alexeina66

Мой дом здесь!
Регистрация
26 Авг 2013
Сообщения
403
Реакции
430
Доброго времени суток.

Есть магазин на opencart 2 плюс буржуйский шаблон.
При проверке virustotal показывает наличие шелл-кода, но в каком файле естественно нет. Методом исключения привело к файлу по пути - controller\journal2\settings.php и где-то в controller\journal2\module\

Айболит видит угрозу только лишь в файле - \controller\payment\amazon_login_pay.php

Удалил файл и снова отправил на проверку папку, но все равно еще показывает наличие шелла.

Буду благодарен в помощи нахождения и удаления вредоносного кода, если конечно он там на самом деле есть.

 
Последнее редактирование:

CHADREX

Психопат
Регистрация
12 Янв 2014
Сообщения
615
Реакции
241
Офтоп. VT порой искаженно указывает на наличие шелла. Поэтому пару советов, для проверки используйте аналогичные материалы с других источников (подойдут даже старые версии), если совпадает то значит все нормально, если нет - есть смысл сравнить файлы.

На шаблоны обычно ставят закодированные строки или какой-то исполняемый файл в виде картинки. Но может быть такое что легко принять за нужные строчки.

Ну а также лог вт скиньте. Я бы проверил, но с телефона сейчас.
 

Den1xxx

Постоялец
Регистрация
15 Янв 2014
Сообщения
289
Реакции
167
Айболит видит угрозу только лишь в файле - \controller\payment\amazon_login_pay.php

Удалил файл и снова отправил на проверку папку, но все равно еще показывает наличие шелла.
Айболит скорее показывает потенциальную проблему, чем настоящую угрозу.
А повторное указание на уже несуществующую проблему указывает на то, что либо файл-таки забыли удалить, либо данные о прверке взяты из кеша.
Оффтоп. Наличие шелла может определить подозрительная активность в логах.
Это может быть гет запросы типа «Select * from», имена файлов в запросе, которые скрыты для пользователя и другие странности. Вот к примеру тема на нашем форуме https://nulled.ws/threads/155734/
А у вирустотала ложных срабатываний предостаточно, может и нету там ничего.
 
Последнее редактирование:

latteo

Эффективное использование PHP, MySQL
Регистрация
27 Фев 2008
Сообщения
1.603
Реакции
1.565
При проверке virustotal показывает наличие шелл-кода, но в каком файле естественно нет.

Айболит видит угрозу только лишь в файле - \controller\payment\amazon_login_pay.php

Буду благодарен в помощи нахождения и удаления вредоносного кода, если конечно он там на самом деле есть.

Десктоп антивирусы довольно слабо детектят веб-шелы, часто срабатывают ложно. Лучше всего ищут ClamAV, CureIt, KAV, ESET. Прогонял этой четвёркой и потом еще дочищал частично вручную частично по базам ай-болита.

Найди чистую версию опенкарт, совпадающую с той что стоит на хостинге и сравни через тотал командер или другой удобный тебе инструмент все системные папки - всё что лишнее или отличается проверять вручную (просматривая все строки файла).

На заражённом сайте сейчас в тренде оставлять 20-30 "подарочков" из 2-5 разных подгрупп, вот даже кто-то статейку написал - Для просмотра ссылки Войди или Зарегистрируйся
Одна из подгрупп палится по постоянному пингу из вне - видно в логах сервера.
 

atchpek

Создатель
Регистрация
4 Июн 2013
Сообщения
1
Реакции
0
На reg.ru есть проверка антивирусом и лечение, берешь там самый дешевый хостинг, копируешь туда файлы, проверяешь и лечишь - всё, бинго
сайт без вирусов
копируешь обратно к себе на хостинг
 
Сверху