support 447 Опубликовано 19 марта, 2012 Жалоба Share Опубликовано 19 марта, 2012 Информация для тех пользователей, у кого версия VamShop ниже 1.62, а так же для тех пользователей, которые обновляли свои магазины патчами со старых версий. Пользователей, которые ставили VamShop с нуля, версий 1.62 и выше (текущая верся 1.67), данная проблема не касается. Так вот, проверьте, если у Вас есть папка /admin/includes/javascript/tiny_mce/plugins/tinybrowser/ - удалите. Довольно часто в последнее время стали использовать "дырявый" файл-менеджер tinybrowser для заражения сайтов вирусами и прочей гадостью. Tinybrowser - файл-менеджер, который использовался в старых версия магазина (до 1.62) имеет проблемы с безопасностью, собственно, именно поэтому и был удалён в 1.62 версии и выше. Если Вы не особо разбираетесь во всех этих тонкостях и Вас уже успели "поломать", советуем обратиться к Вашему хостеру, пусть восстановят резервную копию магазина, без вирусов. Только перед этим не забудьте сделать текущую копию Вашей базы данных в Админке - Разное - Резервное копирование и сохранить к себе на комп полученный в /admin/backups/ файл. Это для того, что б Вы не потеряли все свои текущие данные, ведь Вам восстановят резервную копию не текущую, а например недельной давности, вот после восстановления возьмёте файл с текущей базой данных и восстановите в Админке - Разное - Резервное копирование. После восставленовления резервной копии, опять же, удалите tinybrowser папку. Теперь немного информации о тех файлах, которые обычно "заражают", что б облегчить Вам поиск, если Вы столкнулись с этой проблемой: 1. Довольно часто гадят в файлы в папке: /includes/external/smarty/ Если будете чистить файлы, берите эту папку из архива с магазином и перезаписывайте по-новой, т.е. удаляйте папку и загружайте по-новой. 2. Так же часто бывает гадят в файл внутри папки /jscript 3. В /includes/header.php добавляют подключение левого файла. Но, главное, оставляют shell скрипт в магазине, бывает конечно, что нагадили и убрали за собой :), в смысле удалили shell, а бывает, что и оставляют shell. В этом случае конечно чистка от файлов, удаление tinybrowser не поможет. Найти shell можно по access log файлу веб-сервера, там видно, какой файл куда грузили через tinybrowser. Ссылка на сообщение Поделиться на другие сайты
-Inna- 0 Опубликовано 19 марта, 2012 Жалоба Share Опубликовано 19 марта, 2012 да актуальное предупреждение. два старых клиента за последнюю неделю пожаловались что сайт заражен. вернее что яндекс выводит предупреждение. сами бы до сих пор не знали. хотя причину конечно точно знать мы не можем. но обновляться нужно Ссылка на сообщение Поделиться на другие сайты
Maximkin 0 Опубликовано 19 марта, 2012 Жалоба Share Опубликовано 19 марта, 2012 Саша, спасибо за доступ! Сегодня тоже весь день убили на очистку нескольких наших сайтов от вирусов. Конечно, предупредил Яндекс письмом на почту (стоит яндекс Метрика). Оказались заражены несколько файлов в includes/external/smarty также появилось несколько новых - на php и js. Он-лайн сканер http://sitecheck.sucuri.net/scanner/ показал, что инклудится несколько js-скриптов со сторонних сайтов. после удаления и очистки, вроде все ок стало. Папку с tinybrowser удалили. Саш, спасибо за совет! Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 марта, 2012 Автор Жалоба Share Опубликовано 20 марта, 2012 Maximkin Обычно ещё на сайт грузят shell, через который как раз гадят, вот надо бы убедиться, что shell'a не осталось. Для этого нужно смотреть access log файл веб-сервера. Искать там заопрос по tinybrowser и смотреть, какой файл загружали в магазин. Обычно конечно стирают за собой shell, но бывают и оставляют. Вот если оставили, нужно удалить его обязательно. Ссылка на сообщение Поделиться на другие сайты
Maximkin 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 В логах присутствуют таккие строки: (адрес сайта заменил на ****) левые файлы нашли, но про шелл тоже была мысль - поэтому сделали откат из бекапа на несколько дней назад, и удалили папку. 77.247.181.164 - - [19/Mar/2012:06:05:04 +0400] "POST /admin/includes/javascript/tiny_mce/plugins/tinybrowser/upload_file.php?type=file&obfuscate=a74b69ce526bfc13510087e07185ba76&folder= HTTP/1.0" 200 92 "http://127.0.0.1/in.php?id=95" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:06 +0400] "POST /admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=...../// HTTP/1.0" 200 8783 "http://127.0.0.1/in.php?id=95" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /admin/includes/javascript/tiny_mce/themes/advanced/skins/default/dialog.css HTTP/1.0" 200 5590 "http://****.ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php HTTP/1.0" 200 4050 "http://*****.ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /_thumbs/_blank.gif HTTP/1.0" 404 216 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /_thumbs/_44233.jpg HTTP/1.0" 404 215 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /_thumbs/_4542332.jpg HTTP/1.0" 404 216 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /_thumbs/_565354.jpg HTTP/1.0" 404 216 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /admin/includes/javascript/tiny_mce/themes/advanced/skins/default/img/tabs.gif HTTP/1.0" 200 1326 "http://**** .ru/admin/includes/javascript/tiny_mce/themes/advanced/skins/default/dialog.css" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:07 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/img/back.png HTTP/1.0" 200 221 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:08 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/img/preview.gif HTTP/1.0" 200 235 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:08 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/img/asc.gif HTTP/1.0" 200 158 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:09 +0400] "GET /m.php HTTP/1.0" 200 930 "-" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:13 +0400] "POST /admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=...../// HTTP/1.0" 200 8772 "http://127.0.0.1/in.php?id=95" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:14 +0400] "GET /admin/includes/javascript/tiny_mce/themes/advanced/skins/default/dialog.css HTTP/1.0" 304 0 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 77.247.181.164 - - [19/Mar/2012:06:05:14 +0400] "GET /admin/includes/javascript/tiny_mce/plugins/tinybrowser/css/style_tinybrowser.css.php HTTP/1.0" 200 4050 "http://**** .ru/admin/includes/javascript/tiny_mce/plugins/tinybrowser/edit.php?type=image&folder=.....///" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"[/CODE] Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 марта, 2012 Автор Жалоба Share Опубликовано 20 марта, 2012 Да, это как раз вот и использовали дырку в tinybrowser. Наверное это не весь кусок. Но проверьте, есть ли у Вас файл m.php в папке /admin или в корневой папке. Вот по подобным строкам из access лог файла и видно, какой файл и куда загрузили в магазин. Это как раз обычно грузят shell, через который уже потом гадят в магазине. Нужно обязательно удалять tinybrowser папку, если у Вас старая версия VamShop и обязательно проверять, если загрузили Вам shell, то тоже удалять его. Хотя обычно за собой и shell удаляют Ссылка на сообщение Поделиться на другие сайты
geval 3 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 ну а если папку эту удалить, получается визуальный редактор не будет работать? что с этим делать? и не проще ли как-то .htaccess написать для того, чтобы кто попало не имел доступ? или сделать файл .pwd для всей папки admin ? а то какие-то уж очень драконовские методы Ссылка на сообщение Поделиться на другие сайты
Maximkin 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 Можно по идее защитить всю папку admin htaccess'ом с доступом только с определенных ip. если ip динамические, тогда через htaccess и pwd паролем хотя шелл могли и не в папке admin оставить ;) Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 марта, 2012 Автор Жалоба Share Опубликовано 20 марта, 2012 Если речь про старые версии, то будет работать. Если старая версия, то в редакторе не будет работать файл-менеджер при вставке картинок. Можно конечно и закрыть всю папку admin паролем. Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 марта, 2012 Автор Жалоба Share Опубликовано 20 марта, 2012 Maximkin Если закрыть папку admin паролем через .htpasswd, то доступа просто не будет к tinybrowser и ничего лишнего загрузить не смогут. Ссылка на сообщение Поделиться на другие сайты
Maximkin 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 Ну это понятно ;) Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 марта, 2012 Автор Жалоба Share Опубликовано 20 марта, 2012 Часто гадят в файл /includes/external/smarty/Smarty.class.php и Smarty_Compiler.class.php Вот пример кода: if(@$_COOKIE['act']!=1){ $u4ain=@file_get_contents ... [/code] и т.д. Так что если Ваш магазин успели поломать, обязательно проверьте папку /includes/external/smarty/ А лучше сразу удалите её, возьмите из архива с VamShop и закачайте к себе в магазин. Ссылка на сообщение Поделиться на другие сайты
benz_inst 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 сколько мне вам заплатить ? Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 марта, 2012 Автор Жалоба Share Опубликовано 20 марта, 2012 Нисколько, у Вас же есть поддержка. Но нужно подождать проверку яндекса, может ещё где-то осталась кака. Ссылка на сообщение Поделиться на другие сайты
benz_inst 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 яндекс 5 минут назад снял заражение, через две минуты оно опять появилось, мы тут в троем всю голову сломали, не знаем что делать. Ссылка на сообщение Поделиться на другие сайты
Maximkin 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 Часто гадят в файл /includes/external/smarty/Smarty.class.php и Smarty_Compiler.class.php Вот пример кода: if(@$_COOKIE['act']!=1){ $u4ain=@file_get_contents ... [/code] и т.д. Так что если Ваш магазин успели поломать, обязательно проверьте папку /includes/external/smarty/ А лучше сразу удалите её, возьмите из архива с VamShop и закачайте к себе в магазин. Имеено эти два файла у нас на одном сайте оказались заражены уже после удаления tinybrowser. будем искать шел... Ссылка на сообщение Поделиться на другие сайты
benz_inst 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 сегодня после регистрации человеку пришло письмо Уважаемый покупатель! Вы успешно зарегистрировались в нашем интернет-магазине, теперь Вам доступны следующие возможности нашего магазина: - Корзина покупателя - Все товары, которые Вы добавили в корзину до регистрации, сохранятся в Вашей корзине. - Адресная книга - Вы можете делать заказы не только на свой домашний адрес, но и на любой другой. Например, Вы можете сделать подарок знакомым. - История заказов - Вы можете следить за процессом исполнения Вашего заказа. - Отзывы - Оставляйте свои отзывы о товарах, заказанных в нашем магазине. Если у Вас возникли вопросы, свяжитесь с нами по адресу: support@optsar.ru Предупреждение: Данный E-Mail адрес был получен нами от клиента. Если Вы нигде не указывали данный E-Mail адрес, свяжитесь с нами: support@optsar.ru function set_cookie(name, value,expires){ if (!expires){ expires = new Date(); } document.cookie = name + "=" + escape(value) + "; expires=" + expires.toGMTString() + "; path=/"; } var name = "act"; var tmp = "1"; expires = new Date(); expires.setTime(expires.getTime() + (1000 * 86400 * 1)); set_cookie(name,tmp,expires); здесь может быть вирус ? Ссылка на сообщение Поделиться на другие сайты
Maximkin 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 Мы проверяли наши сайта он лайн сканером http://sitecheck.sucuri.net/scanner/ Покажет где внедрены левый JS-код (который как поняли как раз через Smarty.class.php и добавляется). Севетую, вобщем. яндекс 5 минут назад снял заражение, через две минуты оно опять появилось, мы тут в троем всю голову сломали, не знаем что делать. Насколько знаю, яндекс в течение нескольких дней пересканирует сайт и от метка о заражении уберается, но не так же быстро. Ссылка на сообщение Поделиться на другие сайты
benz_inst 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 вчера утром яндекс просканировал и написал то что вирусы еще остались, в обед он пишет то что все ок!, хотя мы больше ни чего не удаляли т.к не знали что удалять, через сутки опять все плохо. т.е яндекс при своем желании сканирует быстрее. Ссылка на сообщение Поделиться на другие сайты
Александр Муравьев 0 Опубликовано 20 марта, 2012 Жалоба Share Опубликовано 20 марта, 2012 самое действенное это конечно взять 1.67 и поставить с нуля эта мысль пришла в голову через сутки дум и возни с вирусами. еще сутки на установку и отладку - в итоге 2 дня работы (установка, отладка, подгонка своих модулей и шаблона) и сайт чист и актуален. чего и вам желаю. Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 21 марта, 2012 Автор Жалоба Share Опубликовано 21 марта, 2012 benz_inst Вот этот код, что Вы привели где-то в коде сидит, его надо искать и удалять. Шаблоны писем в /templates/шаблон/mail/russian/ Письмо о регистрации отправляется из /create_account.php Не смотретли там? Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 21 марта, 2012 Автор Жалоба Share Опубликовано 21 марта, 2012 А интересно, в яндексе как-то можно получить более точную инофрмацию, что именно ему не нравится в коде. Выводит только список url адресов и всё. Если б хотя бы пример кода был, который ему не нравится. Никто не интересовался? Ссылка на сообщение Поделиться на другие сайты
Maximkin 0 Опубликовано 21 марта, 2012 Жалоба Share Опубликовано 21 марта, 2012 в яндекс webmaster такой функции нет, он лишь отображает список зараженных страниц, да и то не всех. скорее всего нельзя. Кстати, еще примечательный момент: когда удаляли вирусы заметили одну необчную особенность. В html коде страницы появлялся инклуд JS скрипта со стороннего сайта, Но его наличие было не постоянным. Открываегт html код - он есть, через полчаса - уже нет. Через некоторое время появлялся снова. Может яндекс на это и реагирует. Ссылка на сообщение Поделиться на другие сайты
vitalik 0 Опубликовано 21 марта, 2012 Жалоба Share Опубликовано 21 марта, 2012 Спасибо за тему, вовремя я ее увидел и удалил папку tinybrowser. А случайно нет ли у поддержки какой-нибудь почтовой рассылки? Например, чтобы не форум мониторить, а письмо получить, если вдруг что-то обнаружится подобное, чтобы можно было быстренько закрыть дырку. А то времени жутко много уходит. Собственно, одна такая возможность уже достойна оплаты продления поддержки каждый раз, когда она заканчивается ;) Ссылка на сообщение Поделиться на другие сайты
benz_inst 0 Опубликовано 21 марта, 2012 Жалоба Share Опубликовано 21 марта, 2012 benz_inst Вот этот код, что Вы привели где-то в коде сидит, его надо искать и удалять. Шаблоны писем в /templates/шаблон/mail/russian/ Письмо о регистрации отправляется из /create_account.php Не смотретли там? нет не смотрел, сейчас яндекс одобрил мой сайт после замены папки /includes/external/smarty/ но сейчас посматрю может что увижу Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения