Вирусы атакуют Vamshop

Тема в разделе "VamShop", создана пользователем Andrej_ka, 2 дек 2009.

  1. Andrej_ka

    Andrej_ka Постоялец

    Регистр.:
    6 май 2008
    Сообщения:
    57
    Симпатии:
    4
    Здравствуйте!
    Вирусы постоянно атакуют магазин http://pradoplus.ru/ на движке Vamshop. Что можно сделать?
    Ранее с вирусами не сталкивался, вот началось.
    Что сделано - недавно столкнувшись, вычистил вредоносный код, сменил пароли на фтп, сделал FTPACCES. Временно помогло, но началось снова.
    Вирус заражает js, index.html прописывает в них ссылки на свои сайты.
    Как с ним бороться? Может это быть оттого что движок Vamshop, по данной причине (взлом к примеру)?
     
  2. Ergoline

    Ergoline madao

    Регистр.:
    28 июл 2006
    Сообщения:
    1.236
    Симпатии:
    422
    Дело не обязательно в Вамшопе. Хотя скриптов которые не колятся наверно нету - вопрос времени и денег.

    1.Ты мог не полностью все вычистить
    2.Гости могли прийти от соседей по хостингу.
    3. Проверял инсталяху? может кто то чего то туда добавил?
    вирус в шопскрипте уже легенда (это пример просто. подробней поиск шопскрипт 1,24)

    По этому необходимо связаться хостером и посмотреть логи(если нет возможности самому) что где и как. Если хостер активности не проявляет - то перезжать к другому.
    Вообще здесь же на форуме есть пару хороших веток по взлому и защите, рипам(методики могут пригодится для понимания защиты), если же здесь для тебя материалов мало(вообщето достаточно, просто первопричина взлом, а не вамшоп) то попробуй на античат.
     
  3. Cimmerian

    Cimmerian Читатель

    Заблокирован
    Регистр.:
    6 ноя 2006
    Сообщения:
    1.624
    Симпатии:
    343
    такая вещь бывает, когда заражен ваш компьютер - вы заходите на свои сайты, а трояны, живущие на вашем компьютере, делают на этих сайтах записи в разные файлы, которые далее кочуют к посетителям.
    я бы начал с чистки собственного компьютера, прежде чем на вамшоп грешить.
     
  4. Andrej_ka

    Andrej_ka Постоялец

    Регистр.:
    6 май 2008
    Сообщения:
    57
    Симпатии:
    4
    Ребят, спасибо за советы)
    Вчера вечером, сегодня ночью, утром чистил, удалял, искал в файлах. Сайт гулял несколько раз туда сюда.
    Компьютер почистил Dr.web cure it, Kaspersky IS2009, Avast... Нашли пару вирусов в играх, удалил их все.
    Но как ни странно, вирус остался, в коде страницы его нету, но запросы по прежнему идут. на зараженный сайт.
    Поудалял фтп аккаунты, сменил пароль...
    У себя вроде все подчистил, о чем спрашивать хостера?
    Защита у них и правда хромает... ftpacces не работает(
    Не знаю что делать. Почистил код, вирус остался.
    html почистил. там был document.write
    php base64_decode( убрал
    js document.write
    IFRAME не обнаружил( Но запросы по прежнму идут.
    Сделал экспор БД, и проверил поиском по файлу - запроса к зараженным сайтам не идет(
    В Опере видно, что когда в куки пишеться, пишеться сразу и запрос к uk-bathrooms.net, сделал "не принимать cookies" и стало нормально. По видимому, вирус пишет в куки... Проверил библиотеки записи в куки, странно но ничего там нет(
    Ребят, я в шоке. Мож хостера тормошить до посинения? Где еще они могут гнездиться?
    К слову, запрос идет постоянно на uk-bathrooms.net, забугорный сайт... Винду уже переставил, проверил тремя антивирями... Почистил.. Где еще искать?
     
  5. _Andry_

    _Andry_ Создатель

    Регистр.:
    25 авг 2009
    Сообщения:
    45
    Симпатии:
    8
    Однозначно нельзя сказать в чем причина,
    на счет безопасности уже подымалась тема
    http://www.nulled.ws/showthread.php?t=126400
    Если покупная версия тормоши разработчика, если нет то найми кого за денежку, что бы разобрался.
     
  6. Cimmerian

    Cimmerian Читатель

    Заблокирован
    Регистр.:
    6 ноя 2006
    Сообщения:
    1.624
    Симпатии:
    343
    запрос генерируется каким-то файлом, сам по себе зародиться он не может.
    соответственно, забираем полный архив всех файлов с сайта + бэкап базу, и делаем сквозной поиск на "uk-bathrooms.net".
    дополнительный вариант - переименовать рабочую папку на сервере, и залить туда локальную копию (естественно. чистую), плюс можно перезалить базу для полноты действий.
     
  7. Welho®

    Welho® Предвестник пьянки

    Регистр.:
    4 дек 2007
    Сообщения:
    855
    Симпатии:
    331
    предложенное не считаю панацеей, могли загнать под base64 и тогда найти станет проблематично
    я порекомендовал бы так же слить на локаль, прочесать по предложенному методу и еще сравнить "чистую" версию с вашей, с помощью той же winmerge, глянуть различия, так с больше вероятностью найдется "что и где не так"
     
  8. Razgildjay

    Razgildjay Постоялец

    Регистр.:
    1 апр 2010
    Сообщения:
    120
    Симпатии:
    14
    base64 можно попробовать проверить на наличие base64_decode. При нахождении изучить сей участок кода, сравнить с исходником или снести и потестить.

    В аддонах на офсайте есть пара интересных, могут пригодится:
    Site Monitor: _http://addons.oscommerce.com/info/4441
    Threat Scanner: _http://addons.oscommerce.com/info/7211

    Устанавливаются даже на ВАМшоп на раз два. Об эффективности судить не могу, со своими вирями справился до того, как появились эти аддоны.

    Оптимальный вариант предложил Welho®: всегда держать под рукой чистую установочную копию, идентичную той, что на сайте. Можно либо тупо ее залить, либо хотя бы сравнить с ней содержимое зараженного сайта.
     
  9. tabaki

    tabaki Создатель

    Регистр.:
    17 май 2008
    Сообщения:
    22
    Симпатии:
    2
    Может не в тему. Только поставил магазин настроил, прошло пару дней, заходят несколько человек по таргетингу(настроил).
    Но тут закавыка, смотрю в Google Analytics с китая с разных городов заходы фиксируются на карте. Что это????? Может кто сталкивался.
     
  10. devol311

    devol311 Создатель

    Регистр.:
    17 дек 2013
    Сообщения:
    12
    Симпатии:
    1
    У меня та же фигня последние полгода атака и заражение сайтов на вамшоп..... до этого года 3 болтались и не было проблем