Вирус в движке Shop-Script
Столкнулся с проблемой.. На одном из моих сайтов на движке Webasyst Shop-Script (это не Малый.NET) уже более года успешно работает скрипт системы продажи ссылок Sape.ru, стабильно приносящий определенный ежемесячный доход.
Примерно 22-24.06.2010 г. столкнулся с ситуацией, когда почти все ссылки ушли в статус ‘ERROR’, и, что естественно, – доход я потерял.
Поначалу пенял на последние изменения в системе, почти совпавшие по дате с моими “приключениями”. Однако в ходе дискуссии на форуме с администратором Ank им была предложена гипотеза о вирусе на сайте:
Вирус ищите на сайте/хостинге. Довольно часто он встречается.
Вы не первый далеко. Искать надо не дрвебом, а руками и глазами. Вирь только доступ украл и может и не жить на сервере. Отсюда и странные ответы и неожиданность случившегося.
Вручную перебрав основную часть файлов движка вируса я не нашел. Сменил пароль на ftp – ожидаемого эффекта не получил. Далее пустил в ход совет со скачиванием бэкапа домашней папки сервера, распаковывания архива и последующего сканирования Антивирусом Касперского (я использовал бесплатную утилиту Kaspersky Virus Removal Tool).
Результат сканирования показал позитивный результат – найден Backdoor.PHP.Rst.ak:
Таким образом, в папке сервера \public_html\products_files были обнаружены файлы postactions.prok.php и temp.php, в коде которых содержалась зашифрованная абракадабра – тело вируса.
На данный момент файлы удалены, и я ожидаю снова переиндексации имеющихся ссылок, хотя 90% их уже потеряны за этот промежуток с 22.06.2010 г. по 07.07.2010 г.
О том, что сделать, чтобы данная ситуация не возникла, можно прочитать здесь:
В SS premium 1.24, чтобы не залили шелл, поставьте права 444 на файл .htaccess, который лежит в папке product_files, первым делом когда получают доступ к админке заливают шелл туда, но сначала заливают файл .htacces с открытим доступом для всех, потом сам шелл. Если выставить 444 на .htacces, то перезаписать его уже не смогут, хоть шелл и залют, но запустить его не смогут
Однако на своем серваке файла .htaccess в корне папки \public_html\products_files я не нашел. Попробовал создать пустой и выставить ему аттрибуты 444 – через секунду права возвращались на 644.
Вобщем ожидаю переиндексации ссылок, а там посмотрим – удалось ли окончательно снести вирус, или еще есть хвосты, не обнаруженные Касперским. В любом случае скорее всего буду движок сайта обновлять на более новый.
P.S. В ходе “расследования” где-то прочитал, что подобные ситуации могут возникуть вследствие того, что многие трояны используют сохраненные в Total Commander пароли на доступ к ftp. Вобщем для меня еще один повод перейти наконец окончательно на Filezilla, который в отличие от Total’a например умеет выставлять аттрибуты всем файлам, находящимся в папке на сервере, а не просто одной папке без содержащихся в ней файлов.
прошла индексация, снова куча эрроров, разбираюсь дальше..
Зато начинание верное и в корректном направлении…удачи тебе в удалении этой гадости с сайта.
вчера рылся в интерфейсе сапы – куча левых линков, которых нет в природе.
переделал сайтмапу, выгрузил на сайт, натыкал гугл и яндегз.
написал в техподдержку сапы, изложил ситуацию: “разберитесь с роботом, почему он ссылки левые находит”.
жду ответа, как соловей – лета..
Судя по всему для меня закончился.
Даже если пусть и имел место вирус, который сейчас уже удален, но все же: я не понимаю, ПОЧЕМУ раньше все работало, а теперь не работает, и меня обвиняют в том, что все не работает по моей вине, хотя код я существенно не менял??
Если система перенастроена каким-то образом и не стыкуется с движком – нужно разбираться разрабам системы, почему так, а не иначе обстоит дело, и не писать мне отписок типа “ссылки не видятся”.
Вобщем ищу либо внушающего мне доверие специалиста для решения проблемы, либо ищу другую партнерку для заработка (но это уже после отпуска).