Вирусы атакуют Vamshop

Тема в разделе "VamShop", создана пользователем Andrej_ka, 2 дек 2009.

  1. Andrej_ka

    Andrej_ka Постоялец

    Регистр.:
    6 май 2008
    Сообщения:
    57
    Симпатии:
    4
    Здравствуйте!
    Вирусы постоянно атакуют магазин Перейти по ссылке на движке Vamshop. Что можно сделать?
    Ранее с вирусами не сталкивался, вот началось.
    Что сделано - недавно столкнувшись, вычистил вредоносный код, сменил пароли на фтп, сделал FTPACCES. Временно помогло, но началось снова.
    Вирус заражает js, index.html прописывает в них ссылки на свои сайты.
    Как с ним бороться? Может это быть оттого что движок Vamshop, по данной причине (взлом к примеру)?
     
  2. Ergoline

    Ergoline madao

    Регистр.:
    28 июл 2006
    Сообщения:
    1.254
    Симпатии:
    445
    Дело не обязательно в Вамшопе. Хотя скриптов которые не колятся наверно нету - вопрос времени и денег.

    1.Ты мог не полностью все вычистить
    2.Гости могли прийти от соседей по хостингу.
    3. Проверял инсталяху? может кто то чего то туда добавил?
    вирус в шопскрипте уже легенда (это пример просто. подробней поиск шопскрипт 1,24)

    По этому необходимо связаться хостером и посмотреть логи(если нет возможности самому) что где и как. Если хостер активности не проявляет - то перезжать к другому.
    Вообще здесь же на форуме есть пару хороших веток по взлому и защите, рипам(методики могут пригодится для понимания защиты), если же здесь для тебя материалов мало(вообщето достаточно, просто первопричина взлом, а не вамшоп) то попробуй на античат.
     
  3. Cimmerian

    Cimmerian Читатель

    Заблокирован
    Регистр.:
    6 ноя 2006
    Сообщения:
    1.624
    Симпатии:
    343
    такая вещь бывает, когда заражен ваш компьютер - вы заходите на свои сайты, а трояны, живущие на вашем компьютере, делают на этих сайтах записи в разные файлы, которые далее кочуют к посетителям.
    я бы начал с чистки собственного компьютера, прежде чем на вамшоп грешить.
     
  4. Andrej_ka

    Andrej_ka Постоялец

    Регистр.:
    6 май 2008
    Сообщения:
    57
    Симпатии:
    4
    Ребят, спасибо за советы)
    Вчера вечером, сегодня ночью, утром чистил, удалял, искал в файлах. Сайт гулял несколько раз туда сюда.
    Компьютер почистил Dr.web cure it, Kaspersky IS2009, Avast... Нашли пару вирусов в играх, удалил их все.
    Но как ни странно, вирус остался, в коде страницы его нету, но запросы по прежнему идут. на зараженный сайт.
    Поудалял фтп аккаунты, сменил пароль...
    У себя вроде все подчистил, о чем спрашивать хостера?
    Защита у них и правда хромает... ftpacces не работает(
    Не знаю что делать. Почистил код, вирус остался.
    html почистил. там был document.write
    php base64_decode( убрал
    js document.write
    IFRAME не обнаружил( Но запросы по прежнму идут.
    Сделал экспор БД, и проверил поиском по файлу - запроса к зараженным сайтам не идет(
    В Опере видно, что когда в куки пишеться, пишеться сразу и запрос к uk-bathrooms.net, сделал "не принимать cookies" и стало нормально. По видимому, вирус пишет в куки... Проверил библиотеки записи в куки, странно но ничего там нет(
    Ребят, я в шоке. Мож хостера тормошить до посинения? Где еще они могут гнездиться?
    К слову, запрос идет постоянно на uk-bathrooms.net, забугорный сайт... Винду уже переставил, проверил тремя антивирями... Почистил.. Где еще искать?
     
  5. _Andry_

    _Andry_ Создатель

    Регистр.:
    25 авг 2009
    Сообщения:
    45
    Симпатии:
    8
    Однозначно нельзя сказать в чем причина,
    на счет безопасности уже подымалась тема
    Перейти по ссылке
    Если покупная версия тормоши разработчика, если нет то найми кого за денежку, что бы разобрался.
     
  6. Cimmerian

    Cimmerian Читатель

    Заблокирован
    Регистр.:
    6 ноя 2006
    Сообщения:
    1.624
    Симпатии:
    343
    запрос генерируется каким-то файлом, сам по себе зародиться он не может.
    соответственно, забираем полный архив всех файлов с сайта + бэкап базу, и делаем сквозной поиск на "uk-bathrooms.net".
    дополнительный вариант - переименовать рабочую папку на сервере, и залить туда локальную копию (естественно. чистую), плюс можно перезалить базу для полноты действий.
     
  7. Welho®

    Welho® Предвестник пьянки

    Регистр.:
    4 дек 2007
    Сообщения:
    855
    Симпатии:
    331
    предложенное не считаю панацеей, могли загнать под base64 и тогда найти станет проблематично
    я порекомендовал бы так же слить на локаль, прочесать по предложенному методу и еще сравнить "чистую" версию с вашей, с помощью той же winmerge, глянуть различия, так с больше вероятностью найдется "что и где не так"
     
  8. Razgildjay

    Razgildjay Постоялец

    Регистр.:
    1 апр 2010
    Сообщения:
    120
    Симпатии:
    14
    base64 можно попробовать проверить на наличие base64_decode. При нахождении изучить сей участок кода, сравнить с исходником или снести и потестить.

    В аддонах на офсайте есть пара интересных, могут пригодится:
    Site Monitor: _http://addons.oscommerce.com/info/4441
    Threat Scanner: _http://addons.oscommerce.com/info/7211

    Устанавливаются даже на ВАМшоп на раз два. Об эффективности судить не могу, со своими вирями справился до того, как появились эти аддоны.

    Оптимальный вариант предложил Welho®: всегда держать под рукой чистую установочную копию, идентичную той, что на сайте. Можно либо тупо ее залить, либо хотя бы сравнить с ней содержимое зараженного сайта.
     
  9. tabaki

    tabaki Создатель

    Регистр.:
    17 май 2008
    Сообщения:
    22
    Симпатии:
    2
    Может не в тему. Только поставил магазин настроил, прошло пару дней, заходят несколько человек по таргетингу(настроил).
    Но тут закавыка, смотрю в Google Analytics с китая с разных городов заходы фиксируются на карте. Что это????? Может кто сталкивался.
     
  10. devol311

    devol311 Создатель

    Регистр.:
    17 дек 2013
    Сообщения:
    12
    Симпатии:
    1
    У меня та же фигня последние полгода атака и заражение сайтов на вамшоп..... до этого года 3 болтались и не было проблем