Jump to content
volodkazaic

Уязвимость сайта на Ocstore 2.1.0.2.1

Recommended Posts

Добрый день, дорогие форумчане.

Сегодня по одному из сайтов прислали вот такую картину

"Добрый день. Меня зовут Станислав. Я занимаюсь проверкой безопасности сайтов/приложений/сетей. Выполняю работу как на заказ, так и для себя в свободное время. В данном случае наткнулся на Ваш сайт (искал по данной тематике информацию), решил проверить сайт, во-первых, потому что заметил одну особенность (о ней позже), во-вторых потому что движок OpenCart, а он во всех версиях имеет дырки от 1 до 4-ех в зависимости от версии. В вашем случае это 3 уязвимости. По поводу 2-ух из них в паблике не информации. Несколько месяцев назад исследовал этот движок от и до одного из клиентов и по поводу этих дырок информации нет нигде, пришлось самому перекапывать весь код и собственно это увенчалось успехом.

 
Для доказательства. 
 
Вот БД сайта:
 
image.png
image.png
image.png
image.png
image.png
 
Последние заказы с БД :  
 
image1.jpg.6d5a7844063d3b5a466124e8e9ec51cf.jpg
 
Так-же одна из уязвимостей помогает заходить в админку под любым логином, без пароля (и его расшифровки). Хотя тут и админка не нужна, по сути, просто дополнительная уязвимость :
 
 
image.png
 
Оставил файл так-же (можете посмотреть через файловый менеджер, просто так у вас 403 ошибку будет выдавать) 
 
 
 
К маленькой особенности. У Вас судя по всему, уже какое-то время стоит скрипт сливающий определенный трафик (а так-же данные заказов) с сайта. Скрипт добротно обфусцирован (т.е. не палится антивирусами т.д.) и зашит в систему, т.е. даже если удаляется его файл, он самовосстанавливается. Сливает процента 2-4% трафика (определенные юзерагенты), немного, но все-же неприятно! Да и через него можно другую малварь подцепить к сайту.
Видимо кто-то заливался через одну из уязвимостей которую я тоже нашел. Заливал не Я ! Я таким не занимаюсь. Да и на сайт Ваш только как несколько дней наткнулся. 
 
Еще раз напишу, я таким НЕ занимаюсь. Сайтам не врежу, никуда трафик не сливаю, ссылки не расставляю и прочих гадостей не делаю. Я зарабатываю именно на том, что помогаю админам сайтов делать их сайт на 100% безопасный и что бы в будущем у них не было с этим проблем.
 
Собственно предлагаю Вам свою помощь в устранении всех уязвимостей, так-же помогу с корнем вырвать этот скрипт из системы и полностью обезопасить сайт на будущее закрыв уязвимости. 
 
Вы получаете описание уязвимостей, записываю видео как они экспулатируются, что бы Вы наглядно все увидели. Помогаю с исправлением (с последующим отчетом. Что, где и почему исправил). Потом, после исправлений, можно будет увидеть, что уязвимости больше не работают.
 
Цены не деру, как многие пентестеры (тем более не за паблик уязвимости). Плюс Вы навсегда избавитесь от данной проблемы (по крайней мере с этим сайтом на этом движке любой версии). "
 
Что делать? Где копать?

Share this post


Link to post
Share on other sites

Не верить в сказки про "я таким не занимаюсь" и это не я положил вам бекдор. Это на 300% удар в удар ситуация, которую я описывал пару месяцев назад.

Источником подобной ситуации может быть 

а) платный модуль, взятый на просторах интернета типа бесплатно.

б) пароли типа admin admin

в) протечка на хостинге, когда взломали не вас, а весь сервер хостера

г) протечка на соседнем сайте, если у вас есть какой нить wordpress или Joomla/

д) недобросовестные авторы платных дополнений

е) определенное стечение обстоятельств, которое позволяет получить доступ к базе данных магазина.

 

Пытаться выяснять откуда что и как - бесполезно.
Платить деньги вымогателю, тоже бесполезно. 


Нужно не реагировать. По идее, если это схожая ситуация, с которой мы сталкивались, сейчас начнется нытье и сбивание цены, до "дайте хоть что нибудь".

За то время пока упырь будет ныть и слать вам гневные письма с заувалированными угрозами, необходимо сменить окружение (хостинг) и перенести магазин в заведомо безопасное окружение с максимально закрытыми возможностями для атак.  Ну и поставить логгирование post-get запросов к серверу, для того чтобы попытаться понять, что же такого интересного он у вас нашел.

 

Попробуйте потыкать @spectre - если он свободен может возьмется вам помочь.

Share this post


Link to post
Share on other sites

Могу проанализировать, откуда слив, при условии что в районе 2-3 часиков в ЛС напишите доступы, при условии, что шелл - не обфусцирован ионкубом и нет, как камрад выше пункты, не зависящие от самого ОС: хак хоста, соседние цмс-ки, криворукое скриптописание, берусь чисто ради спортивного интереса.

Share this post


Link to post
Share on other sites

Посмотрел, в админке дополнение Infinite Product Scroll установлено 07.02. Хотя ничего примерно месяцев 5 никто не устанавливал ничего.

Share this post


Link to post
Share on other sites

Проверил, первым делом классическим shelldetector-ом, сразу нашлось парочка веб-манагеров, как и заявлено хакером, так же пых-интеграции, которые направлены на слив трафика, по анализу файловой структуры - брешь не в ОС, а, как и предполагалось, в одном из содоменов, предположительно тот, на котором размещен сайт на Joomla, далее информация конфиденциального характера, сканер за собой подтёр, заказчик уведомлен о всех действиях по аудиту.

Share this post


Link to post
Share on other sites

В самом движке Опенкарт нет уязвимостей.

Все письма счастья о том, что, мол, обнаружены дыры в опенкарт и мы их устраним - это чистой воды мошенничество.

Все эти "аргументы" от добродетелей рассчитаны на непрофессионалов и доверчивых людей.

 

Известный способ развода.

 

Изолируйте Опенкарт от сайтов на других движках - это первое правило безопасности.  Сайт на Опенкарт должен работать под одним пользователем Linux, остальные сайты - под другим.  И никаких прав всем и вся вроде 777 быть не должно! На правильно настроенном сервере в этом нет необходимости.

 

В Опенкарт выход обновлений не связан с обнаружением брешей как в других движках, страдающих дырявостью и требующих регулярного обновления.   Джумлы и пр. и пр.- от них ждите в первую очередь неприятностей.

 

Share this post


Link to post
Share on other sites

В общем как и предполагалось лазейка была через сайт на Joomla на другом домене на этом же аккаунте.

 auditor  проверил и нашлось шелов и файлов. Потом уже сам я смотрел еще на многих сайтах на аккаунте эта хрень.

Решено было: взял Бэкап старый и базу и перенес на новый хостинг подальше от этих сайтов.

Спасибо auditor

И остальным за дельные советы и совместное решение ситуации

Share this post


Link to post
Share on other sites

Не долго музыка играла.

Оказывается аналогичные ситуации возникли сразу на 3 аккаунтах.

Перенос сайта на другой хостинг не помог. Все равно появляются какие то файлы.

Share this post


Link to post
Share on other sites

Для анализа проникновения недостаточно проверять на наличие шелов
их можно и удалить, а потом они появятся

Нужно также смотреть  и в логи http лог сервера на поиск  нетипичных запросов..


 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.