[Помощь] СРОЧНО в cpt_maincontent - вставили вирусы - где копать?

[alexv1r]

Этот код режьте не задумываясь - он просто выполняет зловреды (у меня их было 5 штук под видом сессий) вытягивая их из базы. И заинклудит в mainconent каждой страницы.
Я по файлам быстренько прошелся - session_groups вроде не используется, так что можете удалять. Осталось понять как код попал в базу...

Как давно появилась не отвечу, т.к. на сайте клиента произошло. Но вроде несколько недель назад, хотя может и раньше - админы то не видели. Плюс ADBlock режет на странице без проблем.

 

[NhGXkv85PR]

И снова какая то зараза прилипла. Внешне вообще никак не проявляется ни в файерфоксе, ни в опере, если загружаешь сайт в Edge - то угрозу блокирует антивирус.
На rescan.pro выглядит так Для просмотра ссылки Войди или Зарегистрируйся
Кто нибудь сталкивался? Куда копать?

 

[RORC]

Куда копать?

сменить юзер агент на осла или подобное и проверить. Похоже на TDS систему для дорвеев или клоакинг.
Смотреть как js файлы, так и php. Самый простой способ по дате изменения.

 

[NhGXkv85PR]

нашел текстовым поиском в папке public_html/published/SC/html/scripts/js/ файл mloader.js с таким содержимым

Не поможете разобраться, где еще могут быть следы этого дерьма?

в той же папке нашел еще behavior.js(искал по тексту mloader.js )

 

[RORC]

нашел текстовым поиском в папке public_html/published/SC/html/scripts/js/ файл mloader.js с таким содержимым

Не поможете разобраться, где еще могут быть следы этого дерьма?

Текстовым поиском все вхождения eval просмотреть нужно или спец антивирусами типа AI-bolit
CoinHive - майнер, нужно еще разобраться как он на хостинг попал, где шел.

 

[NhGXkv85PR]

Текстовым поиском все вхождения eval просмотреть нужно или спец антивирусами типа AI-bolit
CoinHive - майнер, нужно еще разобраться как он на хостинг попал, где шел.

eval искать в файлах только или в базе тоже?

по тексту eval не разберешься никак, слишком много вхождений, 22000 с лишним результатов. Впрочем свежих файлов кроме тех о которых писал выше - нет.

 

[RORC]

по тексту eval не разберешься никак, слишком много вхождений

Нужно смотреть на то в каких файлах находиться, стандартные библиотеки лучше заменить, чтобы не думать. Количество вхождений значения не имеет.

Самый простой вариант, если движок не дорабатывался, это оставить базу данных, изображения, конфиги. Остальное закинуть заново из исходников. Делать на локалке, после перенести.

Если версия скрипта 34*-35*, то там уязвимый визуальный редактор, его лучше заменить на что-то более новое.

 

[NhGXkv85PR]

Если версия скрипта 34*-35*

Даж не знаю откуда такие номера...309 у меня версия.
Восстановил на всякий случай магазин из резервной копии, примерно за неделю до того как те левые файлы прописались. Базу не трогал.
Эх, похоже не оставят в покое хакеры уже.

 

[RORC]

309 у меня версия.

tinymce обязательно обновить или заменить или удалить или закрыть с левых айпишников, иначе быстро ломают.
Для просмотра ссылки Войди или Зарегистрируйся

 

[NhGXkv85PR]

tinymce обязательно обновить или заменить или удалить или закрыть с левых айпишников,

А поконкретнее нет расскажете? кто эта тинимсе, где она, есть ли инструкция как ее поулучшить?