Уязвимость сайта на Ocstore 2.1.0.2.1

[volodkazaic]

Добрый день, дорогие форумчане.

Сегодня по одному из сайтов прислали вот такую картину

"Добрый день. Меня зовут Станислав. Я занимаюсь проверкой безопасности сайтов/приложений/сетей. Выполняю работу как на заказ, так и для себя в свободное время. В данном случае наткнулся на Ваш сайт (искал по данной тематике информацию), решил проверить сайт, во-первых, потому что заметил одну особенность (о ней позже), во-вторых потому что движок OpenCart, а он во всех версиях имеет дырки от 1 до 4-ех в зависимости от версии. В вашем случае это 3 уязвимости. По поводу 2-ух из них в паблике не информации. Несколько месяцев назад исследовал этот движок от и до одного из клиентов и по поводу этих дырок информации нет нигде, пришлось самому перекапывать весь код и собственно это увенчалось успехом.

 

Для доказательства. 

 

Вот БД сайта:

 

 

Последние заказы с БД :  

 

 

Так-же одна из уязвимостей помогает заходить в админку под любым логином, без пароля (и его расшифровки). Хотя тут и админка не нужна, по сути, просто дополнительная уязвимость :

 

 

 

Оставил файл так-же (можете посмотреть через файловый менеджер, просто так у вас 403 ошибку будет выдавать) 

 

http://адрес сайта/pentest_test.txt

 

 

К маленькой особенности. У Вас судя по всему, уже какое-то время стоит скрипт сливающий определенный трафик (а так-же данные заказов) с сайта. Скрипт добротно обфусцирован (т.е. не палится антивирусами т.д.) и зашит в систему, т.е. даже если удаляется его файл, он самовосстанавливается. Сливает процента 2-4% трафика (определенные юзерагенты), немного, но все-же неприятно! Да и через него можно другую малварь подцепить к сайту.

Видимо кто-то заливался через одну из уязвимостей которую я тоже нашел. Заливал не Я ! Я таким не занимаюсь. Да и на сайт Ваш только как несколько дней наткнулся. 

 

Еще раз напишу, я таким НЕ занимаюсь. Сайтам не врежу, никуда трафик не сливаю, ссылки не расставляю и прочих гадостей не делаю. Я зарабатываю именно на том, что помогаю админам сайтов делать их сайт на 100% безопасный и что бы в будущем у них не было с этим проблем.

 

Собственно предлагаю Вам свою помощь в устранении всех уязвимостей, так-же помогу с корнем вырвать этот скрипт из системы и полностью обезопасить сайт на будущее закрыв уязвимости. 

 

Вы получаете описание уязвимостей, записываю видео как они экспулатируются, что бы Вы наглядно все увидели. Помогаю с исправлением (с последующим отчетом. Что, где и почему исправил). Потом, после исправлений, можно будет увидеть, что уязвимости больше не работают.

 

Цены не деру, как многие пентестеры (тем более не за паблик уязвимости). Плюс Вы навсегда избавитесь от данной проблемы (по крайней мере с этим сайтом на этом движке любой версии). "

 

Что делать? Где копать?

[Yoda]

Не верить в сказки про "я таким не занимаюсь" и это не я положил вам бекдор. Это на 300% удар в удар ситуация, которую я описывал пару месяцев назад.

Источником подобной ситуации может быть 

а) платный модуль, взятый на просторах интернета типа бесплатно.

б) пароли типа admin admin

в) протечка на хостинге, когда взломали не вас, а весь сервер хостера

г) протечка на соседнем сайте, если у вас есть какой нить wordpress или Joomla/

д) недобросовестные авторы платных дополнений

е) определенное стечение обстоятельств, которое позволяет получить доступ к базе данных магазина.

 

Пытаться выяснять откуда что и как - бесполезно.
Платить деньги вымогателю, тоже бесполезно. 

Нужно не реагировать. По идее, если это схожая ситуация, с которой мы сталкивались, сейчас начнется нытье и сбивание цены, до "дайте хоть что нибудь".

За то время пока упырь будет ныть и слать вам гневные письма с заувалированными угрозами, необходимо сменить окружение (хостинг) и перенести магазин в заведомо безопасное окружение с максимально закрытыми возможностями для атак.  Ну и поставить логгирование post-get запросов к серверу, для того чтобы попытаться понять, что же такого интересного он у вас нашел.

 

Попробуйте потыкать @spectre - если он свободен может возьмется вам помочь.

[auditor]

Могу проанализировать, откуда слив, при условии что в районе 2-3 часиков в ЛС напишите доступы, при условии, что шелл - не обфусцирован ионкубом и нет, как камрад выше пункты, не зависящие от самого ОС: хак хоста, соседние цмс-ки, криворукое скриптописание, берусь чисто ради спортивного интереса.

[volodkazaic]

Посмотрел, в админке дополнение Infinite Product Scroll установлено 07.02. Хотя ничего примерно месяцев 5 никто не устанавливал ничего.

[auditor]

Проверил, первым делом классическим shelldetector-ом, сразу нашлось парочка веб-манагеров, как и заявлено хакером, так же пых-интеграции, которые направлены на слив трафика, по анализу файловой структуры - брешь не в ОС, а, как и предполагалось, в одном из содоменов, предположительно тот, на котором размещен сайт на Joomla, далее информация конфиденциального характера, сканер за собой подтёр, заказчик уведомлен о всех действиях по аудиту.

[sitecreator]

В самом движке Опенкарт нет уязвимостей.

Все письма счастья о том, что, мол, обнаружены дыры в опенкарт и мы их устраним - это чистой воды мошенничество.

Все эти "аргументы" от добродетелей рассчитаны на непрофессионалов и доверчивых людей.

 

Известный способ развода.

 

Изолируйте Опенкарт от сайтов на других движках - это первое правило безопасности.  Сайт на Опенкарт должен работать под одним пользователем Linux, остальные сайты - под другим.  И никаких прав всем и вся вроде 777 быть не должно! На правильно настроенном сервере в этом нет необходимости.

 

В Опенкарт выход обновлений не связан с обнаружением брешей как в других движках, страдающих дырявостью и требующих регулярного обновления.   Джумлы и пр. и пр.- от них ждите в первую очередь неприятностей.

 

[volodkazaic]

В общем как и предполагалось лазейка была через сайт на Joomla на другом домене на этом же аккаунте.

 auditor  проверил и нашлось шелов и файлов. Потом уже сам я смотрел еще на многих сайтах на аккаунте эта хрень.

Решено было: взял Бэкап старый и базу и перенес на новый хостинг подальше от этих сайтов.

Спасибо auditor

И остальным за дельные советы и совместное решение ситуации

[volodkazaic]

Не долго музыка играла.

Оказывается аналогичные ситуации возникли сразу на 3 аккаунтах.

Перенос сайта на другой хостинг не помог. Все равно появляются какие то файлы.

[chukcha]

Для анализа проникновения недостаточно проверять на наличие шелов
их можно и удалить, а потом они появятся

Нужно также смотреть  и в логи http лог сервера на поиск  нетипичных запросов..