[Помощь] СРОЧНО в cpt_maincontent - вставили вирусы - где копать?

alexv1r

Писатель
Регистрация
5 Дек 2013
Сообщения
5
Реакции
0
Этот код режьте не задумываясь - он просто выполняет зловреды (у меня их было 5 штук под видом сессий) вытягивая их из базы. И заинклудит в mainconent каждой страницы.
Я по файлам быстренько прошелся - session_groups вроде не используется, так что можете удалять. Осталось понять как код попал в базу...

Как давно появилась не отвечу, т.к. на сайте клиента произошло. Но вроде несколько недель назад, хотя может и раньше - админы то не видели. Плюс ADBlock режет на странице без проблем.
 

NhGXkv85PR

Знаток
Регистрация
19 Дек 2007
Сообщения
185
Реакции
25
И снова какая то зараза прилипла. Внешне вообще никак не проявляется ни в файерфоксе, ни в опере, если загружаешь сайт в Edge - то угрозу блокирует антивирус.
На rescan.pro выглядит так Для просмотра ссылки Войди или Зарегистрируйся
Кто нибудь сталкивался? Куда копать?
 

RORC

Постоялец
Команда форума
Модератор
Регистрация
14 Июн 2013
Сообщения
380
Реакции
154
сменить юзер агент на осла или подобное и проверить. Похоже на TDS систему для дорвеев или клоакинг.
Смотреть как js файлы, так и php. Самый простой способ по дате изменения.
 

NhGXkv85PR

Знаток
Регистрация
19 Дек 2007
Сообщения
185
Реакции
25
нашел текстовым поиском в папке public_html/published/SC/html/scripts/js/ файл mloader.js с таким содержимым
Скрытое содержимое доступно для зарегистрированных пользователей!

Не поможете разобраться, где еще могут быть следы этого дерьма?

в той же папке нашел еще behavior.js(искал по тексту mloader.js )
 
Последнее редактирование модератором:

RORC

Постоялец
Команда форума
Модератор
Регистрация
14 Июн 2013
Сообщения
380
Реакции
154
нашел текстовым поиском в папке public_html/published/SC/html/scripts/js/ файл mloader.js с таким содержимым

Не поможете разобраться, где еще могут быть следы этого дерьма?
Текстовым поиском все вхождения eval просмотреть нужно или спец антивирусами типа AI-bolit
CoinHive - майнер, нужно еще разобраться как он на хостинг попал, где шел.
 

NhGXkv85PR

Знаток
Регистрация
19 Дек 2007
Сообщения
185
Реакции
25
Текстовым поиском все вхождения eval просмотреть нужно или спец антивирусами типа AI-bolit
CoinHive - майнер, нужно еще разобраться как он на хостинг попал, где шел.
eval искать в файлах только или в базе тоже?

по тексту eval не разберешься никак, слишком много вхождений, 22000 с лишним результатов. Впрочем свежих файлов кроме тех о которых писал выше - нет.
 
Последнее редактирование модератором:

RORC

Постоялец
Команда форума
Модератор
Регистрация
14 Июн 2013
Сообщения
380
Реакции
154
по тексту eval не разберешься никак, слишком много вхождений
Нужно смотреть на то в каких файлах находиться, стандартные библиотеки лучше заменить, чтобы не думать. Количество вхождений значения не имеет.

Самый простой вариант, если движок не дорабатывался, это оставить базу данных, изображения, конфиги. Остальное закинуть заново из исходников. Делать на локалке, после перенести.

Если версия скрипта 34*-35*, то там уязвимый визуальный редактор, его лучше заменить на что-то более новое.
 

NhGXkv85PR

Знаток
Регистрация
19 Дек 2007
Сообщения
185
Реакции
25
Если версия скрипта 34*-35*
Даж не знаю откуда такие номера...309 у меня версия.
Восстановил на всякий случай магазин из резервной копии, примерно за неделю до того как те левые файлы прописались. Базу не трогал.
Эх, похоже не оставят в покое хакеры уже.
 

RORC

Постоялец
Команда форума
Модератор
Регистрация
14 Июн 2013
Сообщения
380
Реакции
154

NhGXkv85PR

Знаток
Регистрация
19 Дек 2007
Сообщения
185
Реакции
25
tinymce обязательно обновить или заменить или удалить или закрыть с левых айпишников,
А поконкретнее нет расскажете? кто эта тинимсе, где она, есть ли инструкция как ее поулучшить?
 
Сверху