[Помогите] Разобраться в сообщении хостера: вирус или нет?

Тема в разделе "OpenCart", создана пользователем alxxla, 22 ноя 2016.

  1. alxxla

    alxxla

    Регистрация:
    22 мар 2013
    Сообщения:
    121
    Симпатии:
    4
    Доброго времени суток, форумчане!

    Пришло от хостера сообщение:
    В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
    Ниже приведены пути к найденным файлам, а также их описание:

    Обращаем внимание, что размещение вредоносных файлов является нарушением... и т.д.

    Был установлен модуль и пропатчен файлами на который ругается хостер.
    Содержание однострочных файлов php: <?php eval(gzuncompress(base64_decode('eNq0/XdPXVm2Lg5/lW ... w/S02CvSmfGfp1XkT/A87B+jd')));
    и второго файла:
    <?php eval(gzuncompress(base64_decode('eNql/fdPXMm2No7/K+dYoyOs8Zlv56Zn....bRxos+lEf4MirjDu5+yc0GzoffVzsCL/fx89Sdg=')));
    что-то закодировано.
    Вопрос что? и является ли это вирусом? Если нет, то какой ответ дать хостеру?
    Если у кого есть этот модуль более поздней версии, без "сюрпризов ))" буду благодарен.
     
  2. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    Пока вы не выложите содержимое полностью, никто вам не скажет, что там внутри. В таком виде оно не расшифровывается и я сомневаюсь, что там в оригинале есть многоточия посередине.
     
  3. Baco

    Baco Антихронофаг Команда форума

    Регистрация:
    9 окт 2012
    Сообщения:
    803
    Симпатии:
    399
    Насколько мне известно, то Deeman не практикует eval-ы, скорее мод скачан у фофана или из какой то подобной помойки со стучалкой куда нить на порно-индустрию )
    выложите\прикрепите файл в сообщении, как отписал камрад - на сегодня телепатия истощена... магический шар - на подзарядке...
     
  4. alxxla

    alxxla

    Регистрация:
    22 мар 2013
    Сообщения:
    121
    Симпатии:
    4
     
    Lasted edited by : 22 ноя 2016
  5. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    Не знаю, есть ли там вредоносный код, но код самого модуля там точно есть, так что удалить эти файлы нельзя.
    И это кодирование, явно, не дело рук автора модуля, ибо в оригинале модуль под ИонКубом и в таких извращениях смысла нет.
    Зачем его после зануливания закодировали - возможно, как выше написал Baco, допихали чего-то своего, но вам дешевле будет купить за 450р. этот модуль у автора, чем разбираться, есть ли в нём что-то лишнее.

    Хостеру можете сказать, что там закодирован код модуля и без этих файлов он работать не будет.
     
    alxxla нравится это.
  6. alxxla

    alxxla

    Регистрация:
    22 мар 2013
    Сообщения:
    121
    Симпатии:
    4
    спасибо за пояснение
    без этого патча модуль не работает, другого зануленного пока не нашел
    сейчас собираю сайт на тестовом доменном имени, на сколько знаю, этот модуль при активации привязывается к одному домену
     
  7. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.581
    Симпатии:
    1.482
    вот отчасти раскодированная версия:
     
    Последнее редактирование: 23 ноя 2016
    alxxla нравится это.
  8. alxxla

    alxxla

    Регистрация:
    22 мар 2013
    Сообщения:
    121
    Симпатии:
    4

    Как же тогда декодируются эти последовательности: _464f1FB55F5C7641A1Daed6aA715fC90, она постоянная во всем файле + массив, что и куда подставляется не совсем понятно.
    Получается в исходном файле двойная кодировка? Как дальше раскодировать? В итоге, есть там вредоносный код и как это увидеть?
     
    Последнее редактирование: 23 ноя 2016
  9. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.581
    Симпатии:
    1.482
    это имя класса, оно просто после обфускации стало уникальным.
    это так работает обфускация кода.
    я написал как дальше.
    декодировать весь код и увидеть :Smile:
     
  10. alxxla

    alxxla

    Регистрация:
    22 мар 2013
    Сообщения:
    121
    Симпатии:
    4
    не совсем разобрался, вкратце:
    берем
    Код:
    LoGWRite(_464F1fb55f5C7641a1dAEd6AA715fC90::G("_"));
    (таких 9 элементов в файле)
    берем первый элемент из массива $s - это "ZmlsZSBsb2FkZWQ="
    дальше что и куда подставлять, как расшифровать? :Smile:
     
    Lasted edited by : 23 ноя 2016
  11. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    3.198
    Симпатии:
    1.306
    У автора можно получить ключ и на тестовый домен.

    Здесь прямо в форме покупки есть поле для тестового домена.
     
    alxxla нравится это.