Вставили в шоп левый код

Тема в разделе "Shop-script", создана пользователем shkiper, 6 окт 2011.

  1. shkiper

    shkiper

    Регистр.:
    16 ноя 2008
    Сообщения:
    301
    Симпатии:
    17
    наткнулся у себя в шопе на исходящие ссылки, просмотрев исходный код, обнаружил следующее:
    <!----><!--3a9f6b4e--><!--3a9f6b4e--></div><!--check code-->
    как я понимаю, это для ручной установки ссылок.
    где искать этот код?

    + в папке с картинками к товару обнаружил файл perl5.8.8.core копировать, вырезать или изменять файл было запрещено, пришлось удалить.
     
  2. SouthWard

    SouthWard Постоялец

    Регистр.:
    8 окт 2008
    Сообщения:
    67
    Симпатии:
    4

    Просто по данному комментарию не скажешь, где его искать :)
    Нужно заходить к тебе на FTP и смотреть, что там нахимичили ;)
     
  3. shkiper

    shkiper

    Регистр.:
    16 ноя 2008
    Сообщения:
    301
    Симпатии:
    17
    что на фтп то это и ежу понятно, так что лучше не флудить.
    прошелся по файлам с помощью встроенного в винду поиска, по запросу check code и 3a9f6b4eно результата нет, возможно эта надпись закодирована?

    сменил все файлы, сделав так сказать бэкап, теперь вопрос, чем можно массово сверить файлы и найти ненужные мне дополнения?
     
  4. be3

    be3 Создатель

    Регистр.:
    1 ноя 2007
    Сообщения:
    23
    Симпатии:
    0
    Качаем бекап сайта с хостинга, разархивируем, ищем (тотал командером например ) файл с тестом 3a9f6b4. Находим правим заливаем на хостинг :)
     
  5. serjb

    serjb

    Регистр.:
    5 фев 2007
    Сообщения:
    300
    Симпатии:
    60
    Ищи например тотал командером, а тама ужо есть кнопочки шоб кодировку учитывать при поиске

    Если поиск по исходникам слитым с фтп не принёс результатов
    Я бы сделал так:
    Распаковал на локалхост
    запустил бы под Денвером
    Начиная с индекса прошелся бы по коду, сверху вниз, отрубая подозрительные функции и контролируя появление закладки на выходе.

    Удачи
     
  6. shkiper

    shkiper

    Регистр.:
    16 ноя 2008
    Сообщения:
    301
    Симпатии:
    17
    зачем описывать всем и так понятные телодвижения?
     
  7. nulldamned

    nulldamned Создатель

    Регистр.:
    11 ноя 2006
    Сообщения:
    28
    Симпатии:
    22
    ну еще нужно учитывать, что такого текста в скриптах может не быть, может быть закодирован, или вообще хранится в sql базке какой нить - вариантов спрятать - много - так что лучше брать прогера и проверять сорцы - или заливать свежие сорцы шопа на хостинг
     
  8. NeoGayver

    NeoGayver

    Регистр.:
    27 авг 2008
    Сообщения:
    225
    Симпатии:
    83
    Код похож на сигнатуру. Вероятнее всего код под обфускатором. Лучше всего поискать обновленные маркеры доступа к файлу или же его изменение. Так же поискать функции preg_ (с модификатором), eval и т.д так же поискать все вывод print, echo и т.д Не исключая js файлы или perl со своими функциями исполнения и вывода.
     
  9. thoth777

    thoth777

    Регистр.:
    28 ноя 2008
    Сообщения:
    314
    Симпатии:
    98
  10. keris

    keris Писатель

    Регистр.:
    5 ноя 2006
    Сообщения:
    47
    Симпатии:
    1
    Лучше искать на хосте (см. на подозрительную дату изменения файлов в папках) я находил в папках core_functions, includes, modules - там вставлены коды от бирж продажи ссылок в 64 битной кодировке. Так же у меня покрайней мере появлялся в корневой папке дополнительный файд registre.php