Форум русской поддержки Joomla!® CMS
10.12.2016, 14:53:52 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Вирус после перехода на 3.5.1

 (Прочитано 759 раз)
0 Пользователей и 1 Гость смотрят эту тему.
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« : 15.04.2016, 03:51:06 »

Хостер ругается на вирус в файле  Shocked: public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php
Вирус: PHP.HostComm.#DEVOPSDUTY-654.PHPMailer.script.0.UNOFFICIAL
Скачал с сервера 3.4.8, заменил файл - таже история.
Заменил библиотеку - снова здорово.

Причем, при перезаливке название вируса не меняется. Может проблема в самом файле?

Сравнил все строчки с файлом в сборке 3.4.8 - все абсалютно идентично.

 Ниже код файла того, что на сервере.

Показать текстовый блок
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #1 : 15.04.2016, 04:36:37 »

Скорее всего ложное срабатывание, кто хостер?
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #2 : 15.04.2016, 10:50:41 »

Хостер "Хостинг Центр" hc.ru.
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #3 : 15.04.2016, 12:05:52 »

Ответ хостера: "Указанные файлы не содержат опасных компонент, письмо робота ошибочно."
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #4 : 15.04.2016, 13:02:24 »

Ответ хостера: "Указанные файлы не содержат опасных компонент, письмо робота ошибочно."

laugh
Записан
Arhitektorius
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 17


« Ответ #5 : 18.04.2016, 13:25:40 »

А меня сечас Спайсвеб тоже завалил этими письмами. Тоже здесь вирус нашли, а еще тут:
Код:
public_html/plugins/vmpayment/klarna/klarna/api/transport/xmlrpc-3.0.0.beta/lib/xmlrpc.inc

А чегой-то они именно сегодня там "вирусню" нашли, некоторые сайты уже давно так существуют... Видимо в базу антивирусника что-то добавилось...
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #6 : 18.04.2016, 13:51:35 »

да вы покажите уже наконец то, что в этих файлах, а то на луне говорят НЛО нашли, а не кто и не видел....
Записан
Arhitektorius
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 17


« Ответ #7 : 18.04.2016, 14:03:43 »

Вот public_html/plugins/vmpayment/klarna/klarna/api/transport/xmlrpc-3.0.0.beta/lib/xmlrpc.inc
Показать текстовый блок
Записан
Arhitektorius
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 17


« Ответ #8 : 18.04.2016, 14:08:13 »

Вот public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php
Показать текстовый блок
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #9 : 18.04.2016, 14:28:14 »

Вот теперь чисто от себя и скажу, не вооруженным взглядом те кто лечат увидят, что много сигнатур которые использовались в оббусифецированных скриптах но рании небыли в БД АВ, а теперь попали, как следствие решение данной проблемы, добавлять подобные файлы, их хеш сумы в вайт листы, вот один из примеров как подключают протрояненные библиотеки:
Цитировать
if(!function_exists('xml_parser_create'))
   {
      // For PHP 4 onward, XML functionality is always compiled-in on windows:
      // no more need to dl-open it. It might have been compiled out on *nix...
      if(strtoupper(substr(PHP_OS, 0, 3)!= 'WIN'))
      {
         dl('xml.so');
      }
   }
а в самой библиотеки XML.so к примеру может идти протрояненная функция, это то что встречается на практике при лечении, и то на что может кидаться АВ, а по факту нужно смотреть по какой сигнатуре ругается сам АВ чтобы быть точнее....
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #10 : 18.04.2016, 16:17:21 »

А меня сечас Спайсвеб тоже завалил этими письмами. Тоже здесь вирус нашли, а еще тут:
Код:
public_html/plugins/vmpayment/klarna/klarna/api/transport/xmlrpc-3.0.0.beta/lib/xmlrpc.inc

А чегой-то они именно сегодня там "вирусню" нашли, некоторые сайты уже давно так существуют... Видимо в базу антивирусника что-то добавилось...
Они уже извинились перед всеми.
Записан
denis174
Давно я тут
****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 255



« Ответ #11 : 18.04.2016, 16:22:46 »

получил письма по всем аккаунтам, никаких извинений не видел. Пишу в саппорт.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #12 : 18.04.2016, 19:17:55 »

получил письма по всем аккаунтам, никаких извинений не видел. Пишу в саппорт.
Значит еще не перед всеми.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet