взлом, проникли в базы...

[expert74]

Всем добра! 

Некий человек показал мне скрин моих баз данных, даже залез в одну и создал там админа, предлагает за денюжку обезопасить меня навек, от подобных ему.  

Как это запретить? 

ps модули все куплены здесь, стоит окстор 2.3 

[Leingard]

Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому)

[iglin]

15 минут назад, Leingard сказал:

Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому)

А если в каком то модуле есть "дырка" это не поможет)

[expert74]

15 минут назад, Leingard сказал:

Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому)

 

   Да поменял все, вход по ip тоже поставил, только думается мне что где-то что-то кривое есть, как найти-то? 

 И да, чукча не писатель однако, то бишь сильно сверху вижу коды там всякие.

[kirill7]

Недавно один владелец сайта обратился с такой же проблемой.

 

Некий человек так же обратился со скринами БД, админки, последних заказов.
Уверял в своей порядочности. Обещал исправить все уязвимости сайта(именно opencart'a) и продемонстрировать где что изменил, чтобы никто больше не смог использовать эти уязвимости.
Срочно поменяли все пароли, сделали бэкапы.

Все модули покупные.
После этого он "разозлился" и удалил файл из админки, после чего админка перестала работать.
И начал угрожать что будет обзванивать всех покупателей и распространять негативную информацию о сайте.
В общем владелец оплатил.
Тот человек что-то там поделал и сообщил что всё исправлено.
В итоге он написал что исправил несколько системных файлов которые избавят от RFI и RCE атак.
Что именно он сделал он так и не сказал, т.к. эта информация может стать доступна разработчикам и он потеряет заработок.

 

Сравнили файлы - ничего не изменилось, только один файл появился лишний, похоже забыл удалить:
/catalog/view/index.php
Файл прикрепил к сообщению.
 

index.php

[Leingard]

Можно пройтись AiBolit-ом в параноидальном. Если там банальный листинг файлов, то он найдет. Хотя находил и похуже)

[expert74]

В 17.04.2019 в 11:10, kirill7 сказал:

от RFI и RCE атак

Мне тоже про это вещал, еще про инъекции sql,  один и тот же наверное. Мне очень хочется победить этого бабайку. Может кто помочь?

Модули которые у меня стоят (наверное там где-то дыра) -

 

 

          SEO Tags Generator — автогенерация SEO-тегов для OpenCart 2.x

          SEO URL Generator PRO для OpenCart 2x

         Модуль Обмена (Exchange) и Синхронизации OpenCart с 1С (управление торговлей)

         Лицензия Lightning для одного домена

         NewStore - универсальный, адаптивный шаблон

 

Код нигде не менялся, все "Как было".

 

В 17.04.2019 в 11:48, Leingard сказал:

AiBolit

в онлайн ничего не нашел.

[expert74]

3 часа назад, kirill7 сказал:

только один файл появился лишний, похоже забыл удалить

Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил.

 

[kirill7]

14 минут назад, expert74 сказал:

Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил.

 

Это скорее всего не сама дыра через которую он проникает на сайт, т.к. в нашем случае как только он написал - мы сделали бэкап и этого файла там не было, как не было его и перед самим "лечением", когда он успел уже напакастить. Появился он только после его "лечения". Возможно он проникает через другую дыру, копирует этот файл и начинает делать свои тёмные дела. Потом подчищает свои следы(если не забывает).
 

Змінено 17 квітня 2019 користувачем kirill7

[sitecreator]

В 17.04.2019 в 09:12, expert74 сказал:

предлагает за денюжку обезопасить меня навек, от подобных ему.  

 

способ развода.

Потом придет другой другой хакер и предложит тоже самое, т.е защиту "на века" от предыдущего хакера, и так до бесконечности.

работа у них такая....

 

Варианты вам предложили уже как обезопасить себя на будущее.

Доступ только по вашему IP в админку - крайне эффективен, лучше всяких защитный капчей, переименования папки "админ" (что в корне неправильно, но есть лишь дурной совет от непрофессионала.  правильно нужно делать не через переименование, если уж хочется иной адрес админки вроде site.com/secret_admin, но

через символьную ссылку и закрытие доступа к папке admin через .htaccess. В таком правильном случае у вас будет обеспечена совместимость со всеми модулями, которые не ведают о вашем переименовании admin папки ).   Но в совокупности с другими способами и при уверенности, что в публичной части нет заражения.

[expert74]

24 минуты назад, sitecreator сказал:

Доступ только по вашему IP в админку - крайне эффективен

Поставил модуль - Защита от вирусов и хакеров, там прописал и ip свой и урл админки, я так понимаю сейчас туда заломиться крайне сложно, базы беспокоят... Я лишь примерно понимаю процесс взлома(мож растолкует кто), 

логи есть, вот кусок-

/Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 

может кто прокоментирует?

[expert74]

7 минут назад, nikifalex сказал:

sql injection в надежде найти модуль со стандартной дырой.

 

видимо нашел, как мне найти бы?

[sitecreator]

11 минут назад, expert74 сказал:

Поставил модуль - Защита от вирусов и хакеров,

 

а что за секретный модуль?

 

 

 

И, таки да, в БД может также содержаться код php, который может выводиться в разных модулях.

 

14 минут назад, expert74 сказал:

там прописал и ip свой

 

 

вообще, правильно это делается либо в конфиге nginx, либо в конфиге апачи (.htaccess).

Как правильно сменить урл админки я тоже выше написал.

 

[expert74]

2 минуты назад, sitecreator сказал:

а что за секретный модуль?

Извините, ссылку криво вставил.

[expert74]

21 минуту назад, nikifalex сказал:

ну ищите где незаэкранирован параметр в sql

типа $product_id но без (int) или escape

А можете как совсем для неразумных объяснить? Куда идти и что найти? Таблицы в базе смотреть?

[expert74]

3 минуты назад, nikifalex сказал:

в раздел платных услуг, увы

Да можно и платных, только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум?

[sitecreator]

16 минут назад, expert74 сказал:

только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум?

 

тут, понимаете ли, все как с учебником по высшей метаматематике.

Вроде бы учебники все есть в открытом доступе, как говорится, читай и изучай сколько душе угодно, но не всем это по силам.

Что толку если вы вызубрите доказательство одной теоремы, но не сможете самостоятельно доказать другую?

Я, конечно, в определенной степени утрирую,  но хотел бы сказать, что нет какого-то универсального рецепта, который вы быстренько выучите и вам откроется познание той же высшей математики.  Тут сам предмет нужно понимать глубоко, а для этого нужно потратить немало времени на его глубокое изучение.

 

Хотите стать экспертом в этом вопросе?  Становитесь!  Но просто по советам с форума вы им не станете.

 

Возможно, что у кого-то есть пример успешного опыта без глубокого изучения вопроса и погружения в тему?  Допускаю такое, но я не встречал таких людей.

 

[expert74]

1 час назад, sitecreator сказал:

Хотите стать экспертом в этом вопросе? 

Вы меня не поняли, я не ищу халявы, но считаю что устанавливая все в стандартном исполнении, покупая официально модули, таких брешей быть не должно.

А еще я не люблю вымогателей.

Я готов заплатить за работу, но пусть результат потом будет во всеобщем доступе, чтобы люди не попадали под шантаж.

2 часа назад, sitecreator сказал:

Тут сам предмет нужно понимать глубоко

мне моих знаний хватает, я  не пытаюсь сам все сделать, поэтому здесь и пишу.  

А аналогию тоже могу Вам провести- для того чтобы управлять автомобилем необязательно знать передаточное число главной передачи.

[sitecreator]

9 минут назад, expert74 сказал:

Вы меня не поняли, я не ищу халявы

 

а об этом речь и не шла.

 

10 минут назад, expert74 сказал:

покупая официально модули, таких брешей быть не должно.

 

а почему вы решили, что это проблема модуля? тут что угодно может быть. И, по общей статистике модули бывают виноваты менее всего в подобных проблемах. Чаще совсем иные причины.

Как правило, нужно не в модулях искать причину, а начинать с общих моментов.

 

И анализировать логи доступа. Кто, когда и куда ходил. к вам же в БД как-то попали. Вот и смотрите логи. для начала.

[expert74]

1 час назад, sitecreator сказал:

Вот и смотрите логи. для начала

Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? 

log.txt

[ArtemPitov]

 

/index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1

Вас пытались пробить через страницу товара и получить список всех таблиц магазина information_schema https://dev.mysql.com/doc/refman/8.0/en/information-schema-introduction.html для дальнейшей атаки, метод построен на базе  Deep Blind SQL Injection  но УВ, на этой странице не пробить, второй вектор будет скорее всего по портам 22 1500, если не проводились действия по предотвращении от брута и не стоят надежные пароли, вполне вероятно могут получить рута, были такие случаи когда хостеры небрежно относились к этому, также стоит проверить все формы на сайте, если есть загрузка файлов, тоже лучше отключить, посмотрите какие Вы используете модули и откуда они брались. 

 

[mpn2005]

Ещё не стоит забывать о сайтах соседях.

Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры.

 

[mpn2005]

Перед удалением любых файлов фиксируйте также дату их появления.

Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер.

[mpn2005]

Посмотрите в папку логов. Чтобы лог файл не имел раширения php.

 

Тут может быть уйма моментов.

И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку.

Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей.

 

Переименуйте учётную запись администратора, чтобы это был не admin. 

А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку.

 

[mpn2005]

13 часов назад, expert74 сказал:

/Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301

Просматривайте лог и проверяйте пробои так:

/index.php?route=product/product&path=199_200&product_id=1'xxx
/index.php?route=product/product&path=199_200&product_id=1"xxx
/index.php?route=product/product&path=199_200&product_id=1xxx

Если сайт выводит товар или страницу о его отсутствии, то пробоя нет.

Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi.

 

И вообще стоит выключить вывод ошибок, а оставить только запись в лог.

Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно.