COVID2019 и это вот все. Друзья, вся эта история начинает плохо пахнет. Мойте руки, не ходите в люди. Отложите все плановые покупки и положите в носок заначку. Заприте ваших родителей, бабушек-дедушек на даче. Лучше перебдеть чем недобдеть. Берегите себя!

Подозрительная активность. catalog/model/total/accesson.php


Kaleidoscope

Recommended Posts

Здравствуйте.

 

Сайт хостится у Бегет. Прислали письмо следующего содержания:

 

Цитата

Подозрительная активность
 
На Вашем сайте site.ru была обнаружена подозрительная активность.
 
Вам требуется принять меры по проверке сайтов на уязвимости и усиления мер безопасности.
Список файлов, которые попали под блокировку:
 
/home/l/luserID/site.ru/public_html/catalog/model/total/accesson.php
 
Список файлов, которые были перемещены в карантин:
 
Подозрительных файлов не обнаружено

 

Сборка Opencart Pro Версия 2.1.0.2.2.

 

Никаких манипуляций с файлами не проводилось очень давно (в июле были последние правки). FTP в админке отключен.

 

UPD: в этой папке появился файл с названием content-link.php, сожержание файла тут - https://pastebin.com/nur3sFaA

 

Установленные модули и темы:

  • Unishop 2.0
  • HTTPS FIX (by opencartadmin.com)
  • NeoSeo Водяной знак
  • NeoSeo Менеджер Редиректов
  • Таблица содержания OPENCART.CMS
  • Простая регистрация и заказ Simple
  • IMLinker
  • QuickFix: Extensions Installer issue when FTP support disabled
  • Custom Title and Alt Product
  • ShopRating 

 

 

P.S.:Создал тему в данной ветке, т.к. не нашел подходящую. Просьба перенести в корректную ветку, если таковая имеется.

Ссылка на комментарий
Поделиться на других сайтах

Только что, Kaleidoscope сказал:

Стоит всё только покупное.

А бесплатное ?
 

При расшифровке антивирус сразу ругнулся на заразу

Ссылка на комментарий
Поделиться на других сайтах

Только что, markimax сказал:

А бесплатное ?
 

Из бесплатного, насколько помню, только модуль чтобы корректно работала установка модулей через админку.

 

Скачано отсюда - https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=18892&filter_license=0&filter_download_id=40&page=4

Ссылка на комментарий
Поделиться на других сайтах

Не это "не то"
Заразу вы точно получили
И скорее всего с каким то модулем
Возьмите все модули которые качали и ставили (архивы)
проверьте на наличие файла

/catalog/model/total/accesson.php

Ссылка на комментарий
Поделиться на других сайтах

26 минут назад, markimax сказал:

А кто работал у вас на сайте в это число ?

Никто не работал. Последние правки были в июле.

 

Сейчас буду искать по архивам наличие файла с заразой.

Ссылка на комментарий
Поделиться на других сайтах

Еще нашел файл в /admin/controller/discounts_total.php.

 

В бэкапах пусто и этих файлов нет.

 

Скорее всего пробрались и через админку, был пароль не сильно сложный. 

 

Удалил localcopy.ocmod.xml, т.к. этот модификатор был изменен 6 августа.

 

Поставил awstat, посмотрим что будет дальше, т.к. других следов не нашел.

Ссылка на комментарий
Поделиться на других сайтах

16 минут назад, nikifalex сказал:

ну ка что там за discounts_total.php ? что в нем? Это как бы возможно мой модуль. 

Зашифрованный файл, его тоже удалил. Его не было в июльском бэкапе.

Ссылка на комментарий
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вы вставили отформатированное содержимое.   Удалить форматирование

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Сейчас на странице   0 пользователей

    • Нет пользователей, просматривающих эту страницу