Вирусы атакуют Vamshop

Andrej_ka

Постоялец
Регистрация
6 Май 2008
Сообщения
60
Реакции
4
Здравствуйте!
Вирусы постоянно атакуют магазин Для просмотра ссылки Войди или Зарегистрируйся на движке Vamshop. Что можно сделать?
Ранее с вирусами не сталкивался, вот началось.
Что сделано - недавно столкнувшись, вычистил вредоносный код, сменил пароли на фтп, сделал FTPACCES. Временно помогло, но началось снова.
Вирус заражает js, index.html прописывает в них ссылки на свои сайты.
Как с ним бороться? Может это быть оттого что движок Vamshop, по данной причине (взлом к примеру)?
 

Ergoline

madao
Регистрация
28 Июл 2006
Сообщения
14
Реакции
469
Дело не обязательно в Вамшопе. Хотя скриптов которые не колятся наверно нету - вопрос времени и денег.

1.Ты мог не полностью все вычистить
2.Гости могли прийти от соседей по хостингу.
3. Проверял инсталяху? может кто то чего то туда добавил?
вирус в шопскрипте уже легенда (это пример просто. подробней поиск шопскрипт 1,24)

По этому необходимо связаться хостером и посмотреть логи(если нет возможности самому) что где и как. Если хостер активности не проявляет - то перезжать к другому.
Вообще здесь же на форуме есть пару хороших веток по взлому и защите, рипам(методики могут пригодится для понимания защиты), если же здесь для тебя материалов мало(вообщето достаточно, просто первопричина взлом, а не вамшоп) то попробуй на античат.
 

Cimmerian

Читатель
Регистрация
6 Ноя 2006
Сообщения
1.624
Реакции
343
  • Заблокирован
  • #3
такая вещь бывает, когда заражен ваш компьютер - вы заходите на свои сайты, а трояны, живущие на вашем компьютере, делают на этих сайтах записи в разные файлы, которые далее кочуют к посетителям.
я бы начал с чистки собственного компьютера, прежде чем на вамшоп грешить.
 

Andrej_ka

Постоялец
Регистрация
6 Май 2008
Сообщения
60
Реакции
4
Ребят, спасибо за советы)
Вчера вечером, сегодня ночью, утром чистил, удалял, искал в файлах. Сайт гулял несколько раз туда сюда.
Компьютер почистил Dr.web cure it, Kaspersky IS2009, Avast... Нашли пару вирусов в играх, удалил их все.
Но как ни странно, вирус остался, в коде страницы его нету, но запросы по прежнему идут. на зараженный сайт.
Поудалял фтп аккаунты, сменил пароль...
У себя вроде все подчистил, о чем спрашивать хостера?
Защита у них и правда хромает... ftpacces не работает(
Не знаю что делать. Почистил код, вирус остался.
html почистил. там был document.write
php base64_decode( убрал
js document.write
IFRAME не обнаружил( Но запросы по прежнму идут.
Сделал экспор БД, и проверил поиском по файлу - запроса к зараженным сайтам не идет(
В Опере видно, что когда в куки пишеться, пишеться сразу и запрос к uk-bathrooms.net, сделал "не принимать cookies" и стало нормально. По видимому, вирус пишет в куки... Проверил библиотеки записи в куки, странно но ничего там нет(
Ребят, я в шоке. Мож хостера тормошить до посинения? Где еще они могут гнездиться?
К слову, запрос идет постоянно на uk-bathrooms.net, забугорный сайт... Винду уже переставил, проверил тремя антивирями... Почистил.. Где еще искать?
 

_Andry_

Создатель
Регистрация
25 Авг 2009
Сообщения
45
Реакции
8
Однозначно нельзя сказать в чем причина,
на счет безопасности уже подымалась тема
Для просмотра ссылки Войди или Зарегистрируйся
Если покупная версия тормоши разработчика, если нет то найми кого за денежку, что бы разобрался.
 

Cimmerian

Читатель
Регистрация
6 Ноя 2006
Сообщения
1.624
Реакции
343
  • Заблокирован
  • #6
К слову, запрос идет постоянно на uk-bathrooms.net, забугорный сайт... Винду уже переставил, проверил тремя антивирями... Почистил.. Где еще искать?

запрос генерируется каким-то файлом, сам по себе зародиться он не может.
соответственно, забираем полный архив всех файлов с сайта + бэкап базу, и делаем сквозной поиск на "uk-bathrooms.net".
дополнительный вариант - переименовать рабочую папку на сервере, и залить туда локальную копию (естественно. чистую), плюс можно перезалить базу для полноты действий.
 

Welho®

Предвестник пьянки
Регистрация
3 Дек 2007
Сообщения
853
Реакции
325
запрос генерируется каким-то файлом, сам по себе зародиться он не может.
соответственно, забираем полный архив всех файлов с сайта + бэкап базу, и делаем сквозной поиск на "uk-bathrooms.net".
дополнительный вариант - переименовать рабочую папку на сервере, и залить туда локальную копию (естественно. чистую), плюс можно перезалить базу для полноты действий.
предложенное не считаю панацеей, могли загнать под base64 и тогда найти станет проблематично
я порекомендовал бы так же слить на локаль, прочесать по предложенному методу и еще сравнить "чистую" версию с вашей, с помощью той же winmerge, глянуть различия, так с больше вероятностью найдется "что и где не так"
 

Razgildjay

Постоялец
Регистрация
1 Апр 2010
Сообщения
120
Реакции
14
base64 можно попробовать проверить на наличие base64_decode. При нахождении изучить сей участок кода, сравнить с исходником или снести и потестить.

В аддонах на офсайте есть пара интересных, могут пригодится:
Site Monitor: _http://addons.oscommerce.com/info/4441
Threat Scanner: _http://addons.oscommerce.com/info/7211

Устанавливаются даже на ВАМшоп на раз два. Об эффективности судить не могу, со своими вирями справился до того, как появились эти аддоны.

Оптимальный вариант предложил Welho®: всегда держать под рукой чистую установочную копию, идентичную той, что на сайте. Можно либо тупо ее залить, либо хотя бы сравнить с ней содержимое зараженного сайта.
 

tabaki

Создатель
Регистрация
17 Май 2008
Сообщения
21
Реакции
2
Может не в тему. Только поставил магазин настроил, прошло пару дней, заходят несколько человек по таргетингу(настроил).
Но тут закавыка, смотрю в Google Analytics с китая с разных городов заходы фиксируются на карте. Что это????? Может кто сталкивался.
 

devol311

Создатель
Регистрация
17 Дек 2013
Сообщения
10
Реакции
1
У меня та же фигня последние полгода атака и заражение сайтов на вамшоп..... до этого года 3 болтались и не было проблем
 
Сверху