Jump to content
  • разработка интернет магазинов на opencart
  • доработка интернет магазинов на opencart

[Решено {взломали почту mail.ru}] Поли магазина прислала вирус

stenly3000
 Share

Recommended Posts

stenly3000 Apprentice

stenly3000

Posted
Posted

Сегодня со своего ИМ получаю письмо с пристегнутым фалом zip и вот иким текстом: 

Благодарим за ответ!
Отправляем на вашу электронную почту выписку по Вашей переплате.
Всю необходимую информацию Вы сможете найти в присланном Вам файле.

 

Я конечно сразу понял что вирус, антивирусник это четко подтвердил. Провели сайт разными он-лайн проверялками, Дк. Веб, Тоил и т.д. ни чего не нашел, в поисковых тоже не свечусь по "вредоносному коду". Врогде всё нормально но как то напрягает, пока на хостере есть резервные копии может откатить до появления этот проблемы? Кто нибудь силкивался с рассылкой вирусом по почте ваших ИМ? 

ocStore Version 1.5.1.3  

Link to comment
Share on other sites

markimax Grand Master

markimax

Posted
Posted

Сегодня со своего ИМ получаю письмо с пристегнутым фалом zip и вот иким текстом: 

Благодарим за ответ!

Отправляем на вашу электронную почту выписку по Вашей переплате.

Всю необходимую информацию Вы сможете найти в присланном Вам файле.

 

Я конечно сразу понял что вирус, антивирусник это четко подтвердил. Провели сайт разными он-лайн проверялками, Дк. Веб, Тоил и т.д. ни чего не нашел, в поисковых тоже не свечусь по "вредоносному коду". Врогде всё нормально но как то напрягает, пока на хостере есть резервные копии может откатить до появления этот проблемы? Кто нибудь силкивался с рассылкой вирусом по почте ваших ИМ? 

ocStore Version 1.5.1.3  

 

Может у хостера спросите? Может у него проблемы? Письмо то отправляется через его SMPT сервер, может на этом эипе и "заражается" письмо 

Это как версия, просто при  проверки надо откинуть все варианты

Link to comment
Share on other sites
1
1

stenly3000 Apprentice

stenly3000

Posted
  • Author
Posted

И еещё к вопросу о хостере и заражении на эипе пересылки, у хостера нет наших шаблонов письма, с иким текстом : "

Ваш аккаунт должен быть подтвержгден до первого входа. После подтвержгдения Вы сможете входить в магазин, используя E-Mail и пароль, по ссылке:


После регистрации на сайте Вы сможете воспользоваться дополнительными возможностями: просмотр истории заказов, печать счеи, изменение информации Вашей учетной записи и др.

Спасипотому что,
Link to comment
Share on other sites

markimax Grand Master

markimax

Posted
Posted

судя по тому что наш шаблон отвеи был в письме, вполне возможно что появился какой то троян, который заточен под opencart

 

Total commander -> ALT+F7 - галочку напротив "с текстом" и какой нибудь сигнатуры письма-"вируса"! для поиска

Total иещёт и по FTP

Link to comment
Share on other sites
1
1

halfhope Veteran

halfhope

Posted
Posted

антивирус его опознал вот ик: Trojan:Win32/Peals.B!plock

 

В версиях меньше 1.5.4 есть уязвимости, которыми не стоило пренебрегать.

 

Откройте папку system/logs, если им есть php или phtml файлы, то зналит проникли через админку, меняйте пароль администратора, и сивьте antihack.xml от Baco, затем проводите листку.

Link to comment
Share on other sites
1
1
1

stenly3000 Apprentice

stenly3000

Posted
  • Author
Posted

Total commander -> ALT+F7 - галочку напротив "с текстом" и какой нибудь сигнатуры письма-"вируса"! для поиска

Total иещёт и по FTP

Могу выслать исходный текст письма, но букаФФ бугдет много)

Link to comment
Share on other sites

stenly3000 Apprentice

stenly3000

Posted
  • Author
Posted

им лежит только index.html файл пустот (открывал в редакторе) размер у него 0 даи изменения у него двухгодовалая, и еещё txt с ошибками, потому чтольше ни чего нет  

Link to comment
Share on other sites

halfhope Veteran

halfhope

Posted
Posted

им лежит только index.html файл пустот (открывал в редакторе) размер у него 0 даи изменения у него двухгодовалая, и еещё txt с ошибками, потому чтольше ни чего нет  

 

Уже хорошо, если в папке downloads есть что-нибудь лишнее, то удаляйте. При условии использования сирого софи на сервере, присутствия необходимых настроек PHP туда можно залить и вызвать шелл. Удаляйте оттуда все и из файла catalog/controller/product/product.php уберите функцию upload (или закомментируйте ее). Именно благодаря ей туда попадают файлы. Ксити, antihack.xml от Васо рекомендую посивить в люпотому чтом случае.

Link to comment
Share on other sites
1
1
1

stenly3000 Apprentice

stenly3000

Posted
  • Author
Posted

Уже хорошо, если в папке downloads есть что-нибудь лишнее, то удаляйте. При условии использования сирого софи на сервере, присутствия необходимых настроек PHP туда можно залить и вызвать шелл. Удаляйте оттуда все и из файла catalog/controller/product/product.php уберите функцию upload (или закомментируйте ее). Именно благодаря ей туда попадают файлы. Ксити, antihack.xml от Васо рекомендую посивить в люпотому чтом случае.

Кажется я нашел:

 файл error.txt какой то странный вес 30 Мб (!) открыть не могу ни чем, ошибки редакторы выдают. Попыился открыть в админке журнал ошипотому чток, все надписи админки сразу сили кракозябрами, все осильные функции рилииют кракозябров не появляется.  

Link to comment
Share on other sites

afwollis Grand Master

afwollis

Posted
Posted

что вы имеет ввиду под телом, выложить архив с трояном?

нафига нам троян? ))

не знаю, чем пользуешься, в gmail у каждого письма есть доп.меню со списком доп.гдействий.

им можно выбрать "показать оригинал" и покажется оригинальное тело письма

>> файл error.txt какой то странный вес 30 Мб (!)

мелоли.

просто вовремя ошибки устранять надо.

давеча созерцал логи размерами 1.8гб и 1060+мб

Link to comment
Share on other sites
1

halfhope Veteran

halfhope

Posted
Posted

Кажется я нашел:

 файл error.txt какой то странный вес 30 Мб (!) открыть не могу ни чем, ошибки редакторы выдают. Попыился открыть в админке журнал ошипотому чток, все надписи админки сразу сили кракозябрами, все осильные функции рилииют кракозябров не появляется.  

 

Ничего странного в этом нет. Вы лучше чем гадать на гуещё выложите письмо с заголовками.

Link to comment
Share on other sites
1
1
1

stenly3000 Apprentice

stenly3000

Posted
  • Author
Posted

вы имели ввиду это выложить: 

 

Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from mxp0.hoster.ru (mxp0.hoster.ru [31.28.25.84])
by ms0.hoster.ru (Postfix) with ESMTP id 9D43C160B30
for <[email protected]>; Wed, 25 Mar 2015 17:39:02 +0300 (MSK)
Received: from f359.i.mail.ru (f359.i.mail.ru [217.69.141.1])
by mx0.hoster.ru (Postfix) with ESMTP id 8767FC2BA6D
for <[email protected]>; Wed, 25 Mar 2015 17:39:02 +0300 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=bk.ru; s=mail;
h=References:In-Reply-To:Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:To:From; bh=urYOcbMfO4vdXMo1q43PLpS6dyZTDOF+Kzv/muIA8EA=;
b=kESYch2dD4zdOGbJ5gYSrxZgnsFjaU5L8tfEdVBxq2eyDE8OhORQqdqMyJsU3DZfucw4YYfdCSttCjmRAXKC6CbSrVoDWmzFdgudxw1U4BjvrNXc5942T6nbZsuesX9M9XB2gCLaO34GcU/rMOOh9QJrWMgZAZyYKgShZPFYdik=;
Received: from [91.236.120.134] (ident=mail)
by f359.i.mail.ru with local (envelope-from <[email protected]>)
id 1YamSP-0006np-B1
for [email protected]; Wed, 25 Mar 2015 17:38:58 +0300
Received: from [91.236.120.134] by e.mail.ru with HTTP;
Wed, 25 Mar 2015 17:38:57 +0300
From: =?UTF-8?B?MQ==?= <[email protected]>
To: [email protected]
Subject: =?UTF-8?B?UmU6IFNtYXJ0IFJheSAgLSDQkdC70LDQs9C+0LTQsNGA0LjQvCDQt9CwINGA?=
=?UTF-8?B?0LXQs9C40YHRgtGA0LDRhtC40Y4=?=
MIME-Version: 1.0
X-Mailer: Mail.Ru Mailer 1.0
X-Originating-IP: [91.236.120.134]
Date: Wed, 25 Mar 2015 17:38:57 +0300
Reply-To: =?UTF-8?B?MQ==?= <[email protected]>
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
Content-Type: multipart/mixed;
boundary="----jngmfktw-SkdxL6C6DH55LMH7:1427294337"
X-Mras: Ok
X-Spam: undefined
In-Reply-To: <[email protected]>
References: <[email protected]>
X-Spamd-Result: default: False [-2.17 / 15.00]
R_SPF_ALLOW(-1.10)
R_BAYES_HAM_RU(-2.97)
R_DKIM_ALLOW(-1.10)
FROM_EXCESS_BASE64(1.50)
REPLYTO_EXCESS_BASE64(1.50)
X-Spamd-Server: localhost
X-Spamd-Scan-Time: 0.05
X-Spamd-Queue-ID: 8767FC2BA6D

------jngmfktw-SkdxL6C6DH55LMH7:1427294337
Content-Type: multipart/alternative;
boundary="--ALT--jngmfktw1427294337"

Link to comment
Share on other sites

stenly3000 Apprentice

stenly3000

Posted
  • Author
Posted

всем спасипотому что кто помогал, ларлик открылся просто мне ломонули почту ИМ, сам ящик на  mail.ru  Майл его забанил, сейчас только воссиновил. В исходящих куча писем с вирусом блин, ша буду извиняться перед всем кому улетело(

Link to comment
Share on other sites

  • 2 weeks later...
nightguest Enthusiast

nightguest

Posted
Posted

Мне от одной клиентки за последние 2 дня 6 писем упало с примерно иким-же согдержанием и  doc файлом во вложении. Её ящик тоже на mail.ru Прогнал файл через virustotal, резульиты 

 

 

DrWeb              W97M.DownLoader
ESET-NOD32   VBA/TrojanDownloader.Agent.NA
Kaspersky        Trojan-Dropper.MSWord.Agent.iu
Norman            MacroDrp.DOC
Sophos            Troj/DocDl-KI
TrendMicro       HEUR_OLEXP.A 

Link to comment
Share on other sites

halfhope Veteran

halfhope

Posted
Posted

Мне от одной клиентки за последние 2 дня 6 писем упало с примерно иким-же согдержанием и  doc файлом во вложении. Её ящик тоже на mail.ru Прогнал файл через virustotal, резульиты 

 

 

DrWeb              W97M.DownLoader

ESET-NOD32   VBA/TrojanDownloader.Agent.NA

Kaspersky        Trojan-Dropper.MSWord.Agent.iu

Norman            MacroDrp.DOC

Sophos            Troj/DocDl-KI

TrendMicro       HEUR_OLEXP.A 

 

Обычный спам. Липотому что файлы шлют с зараженного компьютера. Это вирусы для рилиты в срегде windows.

Link to comment
Share on other sites
1
1
1

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

Покупателям

Разрилитликам

Полезная информация

Последние дополнения

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.

  I accept