[Помощь] shopos выдал ошибку и перестал устанавливаться

Тема в разделе "Интернет-магазины", создана пользователем coda, 22 янв 2011.

  1. coda

    coda Писатель

    Регистр.:
    17 май 2009
    Сообщения:
    8
    Симпатии:
    0
    проработав немного времени shopos выдал ошибку

    Fatal error: Smarty error: [plugin] could not load plugin file 'outputfilter.trimhitespace.php' (core.load_plugins.php, line 118) in D:\site\localhost\znatny\shop\includes\lib\smarty\smarty.class.php on line 1108

    проверил что все файлы на месте, стер бд, и перезалил и переустановил шоп, установка прошла нормально, но при попытке перейти на главную страницу опять выдал такую же ошибку.
    при скачивании новой установки с сайта shopos.ru антивир заметил в файле outputfilter.trimhitespace.php троя PHP\Kryptik.

    Все восстановилось, при скачивании архива без работающего антивируса.

    Вопрос, что в том файле на самом деле? трой-бэкдор или ошибка антивируса?

    Добавлено через 8 минут
    я нашел!
    там 2 файла.
    папка \includes\lib\smarty\plugins\

    1) outputfilter.trimhitespace.php - трой
    2) outputfilter.trimwhitespace.php - нормальный.

    либо это кто-то забыл удалить, либо специально положил.

    содержание троя

    PHP:
    <?php
    eval(base64_decode('ZnVuY3Rpb24gc21hcnR5X291dHB1dGZpbHRlcl90cmltaGl0ZXNwYWNlKCR0cGxfb3V0cHV0LCAmJHNtYXJ0eSl7cmV0dXJuICR0cGxfb3V0cHV0LiJcbiIub3V0cHV0X2FjdGlvbiAoJ2JvdHRvbScpLic8Y2VudGVyPjxzcGFuIHN0eWxlPSJmb250LXNpemU6N3B4O2NvbG9yOiM5OTk5OTk7Ij4mY29weTsgU2hvcE9TICcuZGF0ZSgnWScpLic8YnIgLz7QodC60YDQuNC/0YLRiyA8L3NwYW4+PGEgaHJlZj0iaHR0cDovL3d3dy5zaG9wb3MucnUvIiBhbHQ9ItGB0LrRgNC40L/RgtGLINC40L3RgtC10YDQvdC10YIt0LzQsNCz0LDQt9C40L3QsCIgc3R5bGU9ImZvbnQtc2l6ZTo3cHg7Y29sb3I6Izk5OTk5OTsiPtC40L3RgtC10YDQvdC10YIt0LzQsNCz0LDQt9C40L3QsDwvYT48L2NlbnRlcj48L2JvZHk+PC9odG1sPic7fTs='));

    ?>
    Расшифровка

    PHP:
    <?php
    eval(function smarty_outputfilter_trimhitespace($tpl_output, &$smarty){return $tpl_output."\n".output_action ('bottom').'<center><span style="font-size:7px;color:#999999;">&copy; ShopOS '.date('Y').'<br />Скрипты </span><a href="http://www.shopos.ru/" alt="скрипты интернет-магазина" style="font-size:7px;color:#999999;">интернет-магазина</a></center></body></html>';};'))

    ?>
     
  2. failometr

    failometr Постоялец

    Регистр.:
    30 апр 2009
    Сообщения:
    128
    Симпатии:
    45
    Действительно, вот мудак то))) Копирайты оставил всего лишь.
    Антивирус видимо разгадать base64 не способен либо он просто говорит вам, что там подозрительный объект.
    А вообще рядом тема есть для этих вопросов.
    /showthread.php?t=88610
     
  3. zaxap83

    zaxap83 Постоялец

    Регистр.:
    6 дек 2010
    Сообщения:
    87
    Симпатии:
    28
    Антивирь в топку :D. Та закодированная строчка выводит копирайт шопоса в футер. Сюда вбей код и увидишь. Да простит меня Евгений, вот тебе маленькая инструкция - иди по линку что я дал, кидай туда код, в том, что получилось на выходе меняй копирайты на свои или сотри (только копирайт с линком, функция должна остаться), закодируй обратно и замени код в php, либо можешь не кодируя заменить eval(base64_decode('... на eval(function...
    З.Ы. А антивирь однозначно херовый, такая строчка не одна в движке :D
    ROFL
     
  4. morstas

    morstas Писатель

    Регистр.:
    12 янв 2011
    Сообщения:
    5
    Симпатии:
    0
    Антивирус (nod32) обнаружил вирус в файле includes\lib\smarty\plugins\outputfilter.trimhitespace.php cкрипта ShopOS
    указывая на троянскую программу PHP/Kryptik.AB

    Как быть, это действительно вирус? или ложная тревога
     
  5. zaxap83

    zaxap83 Постоялец

    Регистр.:
    6 дек 2010
    Сообщения:
    87
    Симпатии:
    28
    Для непонятливых - функция вывода метатега (в top.php) и копирайта в футере (в outputfilter.trimhitespace.php) закодирована с помощью base64 (ну такой у автора способ "защиты" от халявщиков). Антивирь определяет этот код как вирус потому, что не может его декодировать (ну не научили его, вернее научили тому, что плохие скрипты так кодируют, а анализировать код под шифром - не научили). Кроме того, что выводятся копирайты, ничего там нет, что с этим делать я написал в прошлом посте.
    З.Ы. обнови версию нода, 4.0.424 ничего там не находит.