Помогите найте Shell`ку

[Alexeina66]

Доброго времени суток.

Есть магазин на opencart 2 плюс буржуйский шаблон.
При проверке virustotal показывает наличие шелл-кода, но в каком файле естественно нет. Методом исключения привело к файлу по пути - controller\journal2\settings.php и где-то в controller\journal2\module\

Айболит видит угрозу только лишь в файле - \controller\payment\amazon_login_pay.php

Удалил файл и снова отправил на проверку папку, но все равно еще показывает наличие шелла.

Буду благодарен в помощи нахождения и удаления вредоносного кода, если конечно он там на самом деле есть.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[CHADREX]

Офтоп. VT порой искаженно указывает на наличие шелла. Поэтому пару советов, для проверки используйте аналогичные материалы с других источников (подойдут даже старые версии), если совпадает то значит все нормально, если нет - есть смысл сравнить файлы.

На шаблоны обычно ставят закодированные строки или какой-то исполняемый файл в виде картинки. Но может быть такое что легко принять за нужные строчки.

Ну а также лог вт скиньте. Я бы проверил, но с телефона сейчас.

 

[Den1xxx]

Айболит видит угрозу только лишь в файле - \controller\payment\amazon_login_pay.php

Удалил файл и снова отправил на проверку папку, но все равно еще показывает наличие шелла.

Айболит скорее показывает потенциальную проблему, чем настоящую угрозу.
А повторное указание на уже несуществующую проблему указывает на то, что либо файл-таки забыли удалить, либо данные о прверке взяты из кеша.
Оффтоп. Наличие шелла может определить подозрительная активность в логах.
Это может быть гет запросы типа «Select * from», имена файлов в запросе, которые скрыты для пользователя и другие странности. Вот к примеру тема на нашем форуме https://nulled.ws/threads/155734/
А у вирустотала ложных срабатываний предостаточно, может и нету там ничего.

 

[latteo]

При проверке virustotal показывает наличие шелл-кода, но в каком файле естественно нет.

Айболит видит угрозу только лишь в файле - \controller\payment\amazon_login_pay.php

Буду благодарен в помощи нахождения и удаления вредоносного кода, если конечно он там на самом деле есть.

Десктоп антивирусы довольно слабо детектят веб-шелы, часто срабатывают ложно. Лучше всего ищут ClamAV, CureIt, KAV, ESET. Прогонял этой четвёркой и потом еще дочищал частично вручную частично по базам ай-болита.

Найди чистую версию опенкарт, совпадающую с той что стоит на хостинге и сравни через тотал командер или другой удобный тебе инструмент все системные папки - всё что лишнее или отличается проверять вручную (просматривая все строки файла).

На заражённом сайте сейчас в тренде оставлять 20-30 "подарочков" из 2-5 разных подгрупп, вот даже кто-то статейку написал - Для просмотра ссылки Войди или Зарегистрируйся
Одна из подгрупп палится по постоянному пингу из вне - видно в логах сервера.

 

[atchpek]

На reg.ru есть проверка антивирусом и лечение, берешь там самый дешевый хостинг, копируешь туда файлы, проверяешь и лечишь - всё, бинго
сайт без вирусов
копируешь обратно к себе на хостинг