Вирусы атакуют Vamshop

Andrej_ka

Постоялец
Регистрация
6 Май 2008
Сообщения
60
Реакции
4
Здравствуйте!
Вирусы постоянно атакуют магазин Для просмотра ссылки Войди или Зарегистрируйся на движке Vamshop. Что можно сделать?
Ранее с вирусами не сталкивался, вот началось.
Что сделано - недавно столкнувшись, вычистил вредоносный код, сменил пароли на фтп, сделал FTPACCES. Временно помогло, но началось снова.
Вирус заражает js, index.html прописывает в них ссылки на свои сайты.
Как с ним бороться? Может это быть оттого что движок Vamshop, по данной причине (взлом к примеру)?
 
Дело не обязательно в Вамшопе. Хотя скриптов которые не колятся наверно нету - вопрос времени и денег.

1.Ты мог не полностью все вычистить
2.Гости могли прийти от соседей по хостингу.
3. Проверял инсталяху? может кто то чего то туда добавил?
вирус в шопскрипте уже легенда (это пример просто. подробней поиск шопскрипт 1,24)

По этому необходимо связаться хостером и посмотреть логи(если нет возможности самому) что где и как. Если хостер активности не проявляет - то перезжать к другому.
Вообще здесь же на форуме есть пару хороших веток по взлому и защите, рипам(методики могут пригодится для понимания защиты), если же здесь для тебя материалов мало(вообщето достаточно, просто первопричина взлом, а не вамшоп) то попробуй на античат.
 
  • Заблокирован
  • #3
такая вещь бывает, когда заражен ваш компьютер - вы заходите на свои сайты, а трояны, живущие на вашем компьютере, делают на этих сайтах записи в разные файлы, которые далее кочуют к посетителям.
я бы начал с чистки собственного компьютера, прежде чем на вамшоп грешить.
 
Ребят, спасибо за советы)
Вчера вечером, сегодня ночью, утром чистил, удалял, искал в файлах. Сайт гулял несколько раз туда сюда.
Компьютер почистил Dr.web cure it, Kaspersky IS2009, Avast... Нашли пару вирусов в играх, удалил их все.
Но как ни странно, вирус остался, в коде страницы его нету, но запросы по прежнему идут. на зараженный сайт.
Поудалял фтп аккаунты, сменил пароль...
У себя вроде все подчистил, о чем спрашивать хостера?
Защита у них и правда хромает... ftpacces не работает(
Не знаю что делать. Почистил код, вирус остался.
html почистил. там был document.write
php base64_decode( убрал
js document.write
IFRAME не обнаружил( Но запросы по прежнму идут.
Сделал экспор БД, и проверил поиском по файлу - запроса к зараженным сайтам не идет(
В Опере видно, что когда в куки пишеться, пишеться сразу и запрос к uk-bathrooms.net, сделал "не принимать cookies" и стало нормально. По видимому, вирус пишет в куки... Проверил библиотеки записи в куки, странно но ничего там нет(
Ребят, я в шоке. Мож хостера тормошить до посинения? Где еще они могут гнездиться?
К слову, запрос идет постоянно на uk-bathrooms.net, забугорный сайт... Винду уже переставил, проверил тремя антивирями... Почистил.. Где еще искать?
 
Однозначно нельзя сказать в чем причина,
на счет безопасности уже подымалась тема
Для просмотра ссылки Войди или Зарегистрируйся
Если покупная версия тормоши разработчика, если нет то найми кого за денежку, что бы разобрался.
 
  • Заблокирован
  • #6
К слову, запрос идет постоянно на uk-bathrooms.net, забугорный сайт... Винду уже переставил, проверил тремя антивирями... Почистил.. Где еще искать?

запрос генерируется каким-то файлом, сам по себе зародиться он не может.
соответственно, забираем полный архив всех файлов с сайта + бэкап базу, и делаем сквозной поиск на "uk-bathrooms.net".
дополнительный вариант - переименовать рабочую папку на сервере, и залить туда локальную копию (естественно. чистую), плюс можно перезалить базу для полноты действий.
 
запрос генерируется каким-то файлом, сам по себе зародиться он не может.
соответственно, забираем полный архив всех файлов с сайта + бэкап базу, и делаем сквозной поиск на "uk-bathrooms.net".
дополнительный вариант - переименовать рабочую папку на сервере, и залить туда локальную копию (естественно. чистую), плюс можно перезалить базу для полноты действий.
предложенное не считаю панацеей, могли загнать под base64 и тогда найти станет проблематично
я порекомендовал бы так же слить на локаль, прочесать по предложенному методу и еще сравнить "чистую" версию с вашей, с помощью той же winmerge, глянуть различия, так с больше вероятностью найдется "что и где не так"
 
base64 можно попробовать проверить на наличие base64_decode. При нахождении изучить сей участок кода, сравнить с исходником или снести и потестить.

В аддонах на офсайте есть пара интересных, могут пригодится:
Site Monitor: _http://addons.oscommerce.com/info/4441
Threat Scanner: _http://addons.oscommerce.com/info/7211

Устанавливаются даже на ВАМшоп на раз два. Об эффективности судить не могу, со своими вирями справился до того, как появились эти аддоны.

Оптимальный вариант предложил Welho®: всегда держать под рукой чистую установочную копию, идентичную той, что на сайте. Можно либо тупо ее залить, либо хотя бы сравнить с ней содержимое зараженного сайта.
 
Может не в тему. Только поставил магазин настроил, прошло пару дней, заходят несколько человек по таргетингу(настроил).
Но тут закавыка, смотрю в Google Analytics с китая с разных городов заходы фиксируются на карте. Что это????? Может кто сталкивался.
 
У меня та же фигня последние полгода атака и заражение сайтов на вамшоп..... до этого года 3 болтались и не было проблем
 
Назад
Сверху