expert74 Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 Всем добра! Некий человек показал мне скрин моих баз данных, даже залез в одну и создал там админа, предлагает за денюжку обезопасить меня навек, от подобных ему. Как это запретить? ps модули все куплены здесь, стоит окстор 2.3 Надіслати Поділитися на інших сайтах More sharing options...
Leingard Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому) 1 Надіслати Поділитися на інших сайтах More sharing options... iglin Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 15 минут назад, Leingard сказал: Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому) А если в каком то модуле есть "дырка" это не поможет) Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 15 минут назад, Leingard сказал: Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому) Да поменял все, вход по ip тоже поставил, только думается мне что где-то что-то кривое есть, как найти-то? И да, чукча не писатель однако, то бишь сильно сверху вижу коды там всякие. Надіслати Поділитися на інших сайтах More sharing options... kirill7 Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 Недавно один владелец сайта обратился с такой же проблемой. Некий человек так же обратился со скринами БД, админки, последних заказов. Уверял в своей порядочности. Обещал исправить все уязвимости сайта(именно opencart'a) и продемонстрировать где что изменил, чтобы никто больше не смог использовать эти уязвимости. Срочно поменяли все пароли, сделали бэкапы. Все модули покупные. После этого он "разозлился" и удалил файл из админки, после чего админка перестала работать. И начал угрожать что будет обзванивать всех покупателей и распространять негативную информацию о сайте. В общем владелец оплатил. Тот человек что-то там поделал и сообщил что всё исправлено. В итоге он написал что исправил несколько системных файлов которые избавят от RFI и RCE атак. Что именно он сделал он так и не сказал, т.к. эта информация может стать доступна разработчикам и он потеряет заработок. Сравнили файлы - ничего не изменилось, только один файл появился лишний, похоже забыл удалить: /catalog/view/index.php Файл прикрепил к сообщению. index.php Надіслати Поділитися на інших сайтах More sharing options... Leingard Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 Можно пройтись AiBolit-ом в параноидальном. Если там банальный листинг файлов, то он найдет. Хотя находил и похуже) Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 В 17.04.2019 в 11:10, kirill7 сказал: от RFI и RCE атак Мне тоже про это вещал, еще про инъекции sql, один и тот же наверное. Мне очень хочется победить этого бабайку. Может кто помочь? Модули которые у меня стоят (наверное там где-то дыра) - SEO Tags Generator — автогенерация SEO-тегов для OpenCart 2.x SEO URL Generator PRO для OpenCart 2x Модуль Обмена (Exchange) и Синхронизации OpenCart с 1С (управление торговлей) Лицензия Lightning для одного домена NewStore - универсальный, адаптивный шаблон Код нигде не менялся, все "Как было". В 17.04.2019 в 11:48, Leingard сказал: AiBolit в онлайн ничего не нашел. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 3 часа назад, kirill7 сказал: только один файл появился лишний, похоже забыл удалить Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил. Надіслати Поділитися на інших сайтах More sharing options... kirill7 Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 (змінено) 14 минут назад, expert74 сказал: Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил. Это скорее всего не сама дыра через которую он проникает на сайт, т.к. в нашем случае как только он написал - мы сделали бэкап и этого файла там не было, как не было его и перед самим "лечением", когда он успел уже напакастить. Появился он только после его "лечения". Возможно он проникает через другую дыру, копирует этот файл и начинает делать свои тёмные дела. Потом подчищает свои следы(если не забывает). Змінено 17 квітня 2019 користувачем kirill7 Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 В 17.04.2019 в 09:12, expert74 сказал: предлагает за денюжку обезопасить меня навек, от подобных ему. способ развода. Потом придет другой другой хакер и предложит тоже самое, т.е защиту "на века" от предыдущего хакера, и так до бесконечности. работа у них такая.... Варианты вам предложили уже как обезопасить себя на будущее. Доступ только по вашему IP в админку - крайне эффективен, лучше всяких защитный капчей, переименования папки "админ" (что в корне неправильно, но есть лишь дурной совет от непрофессионала. правильно нужно делать не через переименование, если уж хочется иной адрес админки вроде site.com/secret_admin, но через символьную ссылку и закрытие доступа к папке admin через .htaccess. В таком правильном случае у вас будет обеспечена совместимость со всеми модулями, которые не ведают о вашем переименовании admin папки ). Но в совокупности с другими способами и при уверенности, что в публичной части нет заражения. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 24 минуты назад, sitecreator сказал: Доступ только по вашему IP в админку - крайне эффективен Поставил модуль - Защита от вирусов и хакеров, там прописал и ip свой и урл админки, я так понимаю сейчас туда заломиться крайне сложно, базы беспокоят... Я лишь примерно понимаю процесс взлома(мож растолкует кто), логи есть, вот кусок- /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 может кто прокоментирует? Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 7 минут назад, nikifalex сказал: sql injection в надежде найти модуль со стандартной дырой. видимо нашел, как мне найти бы? Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 11 минут назад, expert74 сказал: Поставил модуль - Защита от вирусов и хакеров, а что за секретный модуль? И, таки да, в БД может также содержаться код php, который может выводиться в разных модулях. 14 минут назад, expert74 сказал: там прописал и ip свой вообще, правильно это делается либо в конфиге nginx, либо в конфиге апачи (.htaccess). Как правильно сменить урл админки я тоже выше написал. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 2 минуты назад, sitecreator сказал: а что за секретный модуль? Извините, ссылку криво вставил. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 21 минуту назад, nikifalex сказал: ну ищите где незаэкранирован параметр в sql типа $product_id но без (int) или escape А можете как совсем для неразумных объяснить? Куда идти и что найти? Таблицы в базе смотреть? Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 3 минуты назад, nikifalex сказал: в раздел платных услуг, увы Да можно и платных, только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 16 минут назад, expert74 сказал: только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? тут, понимаете ли, все как с учебником по высшей метаматематике. Вроде бы учебники все есть в открытом доступе, как говорится, читай и изучай сколько душе угодно, но не всем это по силам. Что толку если вы вызубрите доказательство одной теоремы, но не сможете самостоятельно доказать другую? Я, конечно, в определенной степени утрирую, но хотел бы сказать, что нет какого-то универсального рецепта, который вы быстренько выучите и вам откроется познание той же высшей математики. Тут сам предмет нужно понимать глубоко, а для этого нужно потратить немало времени на его глубокое изучение. Хотите стать экспертом в этом вопросе? Становитесь! Но просто по советам с форума вы им не станете. Возможно, что у кого-то есть пример успешного опыта без глубокого изучения вопроса и погружения в тему? Допускаю такое, но я не встречал таких людей. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Хотите стать экспертом в этом вопросе? Вы меня не поняли, я не ищу халявы, но считаю что устанавливая все в стандартном исполнении, покупая официально модули, таких брешей быть не должно. А еще я не люблю вымогателей. Я готов заплатить за работу, но пусть результат потом будет во всеобщем доступе, чтобы люди не попадали под шантаж. 2 часа назад, sitecreator сказал: Тут сам предмет нужно понимать глубоко мне моих знаний хватает, я не пытаюсь сам все сделать, поэтому здесь и пишу. А аналогию тоже могу Вам провести- для того чтобы управлять автомобилем необязательно знать передаточное число главной передачи. Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 9 минут назад, expert74 сказал: Вы меня не поняли, я не ищу халявы а об этом речь и не шла. 10 минут назад, expert74 сказал: покупая официально модули, таких брешей быть не должно. а почему вы решили, что это проблема модуля? тут что угодно может быть. И, по общей статистике модули бывают виноваты менее всего в подобных проблемах. Чаще совсем иные причины. Как правило, нужно не в модулях искать причину, а начинать с общих моментов. И анализировать логи доступа. Кто, когда и куда ходил. к вам же в БД как-то попали. Вот и смотрите логи. для начала. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Вот и смотрите логи. для начала Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? log.txt Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 Вас пытались пробить через страницу товара и получить список всех таблиц магазина information_schema https://dev.mysql.com/doc/refman/8.0/en/information-schema-introduction.html для дальнейшей атаки, метод построен на базе Deep Blind SQL Injection но УВ, на этой странице не пробить, второй вектор будет скорее всего по портам 22 1500, если не проводились действия по предотвращении от брута и не стоят надежные пароли, вполне вероятно могут получить рута, были такие случаи когда хостеры небрежно относились к этому, также стоит проверить все формы на сайте, если есть загрузка файлов, тоже лучше отключить, посмотрите какие Вы используете модули и откуда они брались. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Ещё не стоит забывать о сайтах соседях. Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы... Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
iglin Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 15 минут назад, Leingard сказал: Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому) А если в каком то модуле есть "дырка" это не поможет) Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 15 минут назад, Leingard сказал: Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому) Да поменял все, вход по ip тоже поставил, только думается мне что где-то что-то кривое есть, как найти-то? И да, чукча не писатель однако, то бишь сильно сверху вижу коды там всякие. Надіслати Поділитися на інших сайтах More sharing options... kirill7 Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 Недавно один владелец сайта обратился с такой же проблемой. Некий человек так же обратился со скринами БД, админки, последних заказов. Уверял в своей порядочности. Обещал исправить все уязвимости сайта(именно opencart'a) и продемонстрировать где что изменил, чтобы никто больше не смог использовать эти уязвимости. Срочно поменяли все пароли, сделали бэкапы. Все модули покупные. После этого он "разозлился" и удалил файл из админки, после чего админка перестала работать. И начал угрожать что будет обзванивать всех покупателей и распространять негативную информацию о сайте. В общем владелец оплатил. Тот человек что-то там поделал и сообщил что всё исправлено. В итоге он написал что исправил несколько системных файлов которые избавят от RFI и RCE атак. Что именно он сделал он так и не сказал, т.к. эта информация может стать доступна разработчикам и он потеряет заработок. Сравнили файлы - ничего не изменилось, только один файл появился лишний, похоже забыл удалить: /catalog/view/index.php Файл прикрепил к сообщению. index.php Надіслати Поділитися на інших сайтах More sharing options... Leingard Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 Можно пройтись AiBolit-ом в параноидальном. Если там банальный листинг файлов, то он найдет. Хотя находил и похуже) Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 В 17.04.2019 в 11:10, kirill7 сказал: от RFI и RCE атак Мне тоже про это вещал, еще про инъекции sql, один и тот же наверное. Мне очень хочется победить этого бабайку. Может кто помочь? Модули которые у меня стоят (наверное там где-то дыра) - SEO Tags Generator — автогенерация SEO-тегов для OpenCart 2.x SEO URL Generator PRO для OpenCart 2x Модуль Обмена (Exchange) и Синхронизации OpenCart с 1С (управление торговлей) Лицензия Lightning для одного домена NewStore - универсальный, адаптивный шаблон Код нигде не менялся, все "Как было". В 17.04.2019 в 11:48, Leingard сказал: AiBolit в онлайн ничего не нашел. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 3 часа назад, kirill7 сказал: только один файл появился лишний, похоже забыл удалить Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил. Надіслати Поділитися на інших сайтах More sharing options... kirill7 Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 (змінено) 14 минут назад, expert74 сказал: Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил. Это скорее всего не сама дыра через которую он проникает на сайт, т.к. в нашем случае как только он написал - мы сделали бэкап и этого файла там не было, как не было его и перед самим "лечением", когда он успел уже напакастить. Появился он только после его "лечения". Возможно он проникает через другую дыру, копирует этот файл и начинает делать свои тёмные дела. Потом подчищает свои следы(если не забывает). Змінено 17 квітня 2019 користувачем kirill7 Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 В 17.04.2019 в 09:12, expert74 сказал: предлагает за денюжку обезопасить меня навек, от подобных ему. способ развода. Потом придет другой другой хакер и предложит тоже самое, т.е защиту "на века" от предыдущего хакера, и так до бесконечности. работа у них такая.... Варианты вам предложили уже как обезопасить себя на будущее. Доступ только по вашему IP в админку - крайне эффективен, лучше всяких защитный капчей, переименования папки "админ" (что в корне неправильно, но есть лишь дурной совет от непрофессионала. правильно нужно делать не через переименование, если уж хочется иной адрес админки вроде site.com/secret_admin, но через символьную ссылку и закрытие доступа к папке admin через .htaccess. В таком правильном случае у вас будет обеспечена совместимость со всеми модулями, которые не ведают о вашем переименовании admin папки ). Но в совокупности с другими способами и при уверенности, что в публичной части нет заражения. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 24 минуты назад, sitecreator сказал: Доступ только по вашему IP в админку - крайне эффективен Поставил модуль - Защита от вирусов и хакеров, там прописал и ip свой и урл админки, я так понимаю сейчас туда заломиться крайне сложно, базы беспокоят... Я лишь примерно понимаю процесс взлома(мож растолкует кто), логи есть, вот кусок- /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 может кто прокоментирует? Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 7 минут назад, nikifalex сказал: sql injection в надежде найти модуль со стандартной дырой. видимо нашел, как мне найти бы? Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 11 минут назад, expert74 сказал: Поставил модуль - Защита от вирусов и хакеров, а что за секретный модуль? И, таки да, в БД может также содержаться код php, который может выводиться в разных модулях. 14 минут назад, expert74 сказал: там прописал и ip свой вообще, правильно это делается либо в конфиге nginx, либо в конфиге апачи (.htaccess). Как правильно сменить урл админки я тоже выше написал. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 2 минуты назад, sitecreator сказал: а что за секретный модуль? Извините, ссылку криво вставил. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 21 минуту назад, nikifalex сказал: ну ищите где незаэкранирован параметр в sql типа $product_id но без (int) или escape А можете как совсем для неразумных объяснить? Куда идти и что найти? Таблицы в базе смотреть? Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 3 минуты назад, nikifalex сказал: в раздел платных услуг, увы Да можно и платных, только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 16 минут назад, expert74 сказал: только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? тут, понимаете ли, все как с учебником по высшей метаматематике. Вроде бы учебники все есть в открытом доступе, как говорится, читай и изучай сколько душе угодно, но не всем это по силам. Что толку если вы вызубрите доказательство одной теоремы, но не сможете самостоятельно доказать другую? Я, конечно, в определенной степени утрирую, но хотел бы сказать, что нет какого-то универсального рецепта, который вы быстренько выучите и вам откроется познание той же высшей математики. Тут сам предмет нужно понимать глубоко, а для этого нужно потратить немало времени на его глубокое изучение. Хотите стать экспертом в этом вопросе? Становитесь! Но просто по советам с форума вы им не станете. Возможно, что у кого-то есть пример успешного опыта без глубокого изучения вопроса и погружения в тему? Допускаю такое, но я не встречал таких людей. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Хотите стать экспертом в этом вопросе? Вы меня не поняли, я не ищу халявы, но считаю что устанавливая все в стандартном исполнении, покупая официально модули, таких брешей быть не должно. А еще я не люблю вымогателей. Я готов заплатить за работу, но пусть результат потом будет во всеобщем доступе, чтобы люди не попадали под шантаж. 2 часа назад, sitecreator сказал: Тут сам предмет нужно понимать глубоко мне моих знаний хватает, я не пытаюсь сам все сделать, поэтому здесь и пишу. А аналогию тоже могу Вам провести- для того чтобы управлять автомобилем необязательно знать передаточное число главной передачи. Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 9 минут назад, expert74 сказал: Вы меня не поняли, я не ищу халявы а об этом речь и не шла. 10 минут назад, expert74 сказал: покупая официально модули, таких брешей быть не должно. а почему вы решили, что это проблема модуля? тут что угодно может быть. И, по общей статистике модули бывают виноваты менее всего в подобных проблемах. Чаще совсем иные причины. Как правило, нужно не в модулях искать причину, а начинать с общих моментов. И анализировать логи доступа. Кто, когда и куда ходил. к вам же в БД как-то попали. Вот и смотрите логи. для начала. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Вот и смотрите логи. для начала Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? log.txt Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 Вас пытались пробить через страницу товара и получить список всех таблиц магазина information_schema https://dev.mysql.com/doc/refman/8.0/en/information-schema-introduction.html для дальнейшей атаки, метод построен на базе Deep Blind SQL Injection но УВ, на этой странице не пробить, второй вектор будет скорее всего по портам 22 1500, если не проводились действия по предотвращении от брута и не стоят надежные пароли, вполне вероятно могут получить рута, были такие случаи когда хостеры небрежно относились к этому, также стоит проверить все формы на сайте, если есть загрузка файлов, тоже лучше отключить, посмотрите какие Вы используете модули и откуда они брались. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Ещё не стоит забывать о сайтах соседях. Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы... Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 15 минут назад, Leingard сказал: Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому) Да поменял все, вход по ip тоже поставил, только думается мне что где-то что-то кривое есть, как найти-то? И да, чукча не писатель однако, то бишь сильно сверху вижу коды там всякие. Надіслати Поділитися на інших сайтах More sharing options...
kirill7 Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 Недавно один владелец сайта обратился с такой же проблемой. Некий человек так же обратился со скринами БД, админки, последних заказов. Уверял в своей порядочности. Обещал исправить все уязвимости сайта(именно opencart'a) и продемонстрировать где что изменил, чтобы никто больше не смог использовать эти уязвимости. Срочно поменяли все пароли, сделали бэкапы. Все модули покупные. После этого он "разозлился" и удалил файл из админки, после чего админка перестала работать. И начал угрожать что будет обзванивать всех покупателей и распространять негативную информацию о сайте. В общем владелец оплатил. Тот человек что-то там поделал и сообщил что всё исправлено. В итоге он написал что исправил несколько системных файлов которые избавят от RFI и RCE атак. Что именно он сделал он так и не сказал, т.к. эта информация может стать доступна разработчикам и он потеряет заработок. Сравнили файлы - ничего не изменилось, только один файл появился лишний, похоже забыл удалить: /catalog/view/index.php Файл прикрепил к сообщению. index.php Надіслати Поділитися на інших сайтах More sharing options...
Leingard Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 Можно пройтись AiBolit-ом в параноидальном. Если там банальный листинг файлов, то он найдет. Хотя находил и похуже) Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 В 17.04.2019 в 11:10, kirill7 сказал: от RFI и RCE атак Мне тоже про это вещал, еще про инъекции sql, один и тот же наверное. Мне очень хочется победить этого бабайку. Может кто помочь? Модули которые у меня стоят (наверное там где-то дыра) - SEO Tags Generator — автогенерация SEO-тегов для OpenCart 2.x SEO URL Generator PRO для OpenCart 2x Модуль Обмена (Exchange) и Синхронизации OpenCart с 1С (управление торговлей) Лицензия Lightning для одного домена NewStore - универсальный, адаптивный шаблон Код нигде не менялся, все "Как было". В 17.04.2019 в 11:48, Leingard сказал: AiBolit в онлайн ничего не нашел. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 3 часа назад, kirill7 сказал: только один файл появился лишний, похоже забыл удалить Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил. Надіслати Поділитися на інших сайтах More sharing options... kirill7 Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 (змінено) 14 минут назад, expert74 сказал: Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил. Это скорее всего не сама дыра через которую он проникает на сайт, т.к. в нашем случае как только он написал - мы сделали бэкап и этого файла там не было, как не было его и перед самим "лечением", когда он успел уже напакастить. Появился он только после его "лечения". Возможно он проникает через другую дыру, копирует этот файл и начинает делать свои тёмные дела. Потом подчищает свои следы(если не забывает). Змінено 17 квітня 2019 користувачем kirill7 Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 В 17.04.2019 в 09:12, expert74 сказал: предлагает за денюжку обезопасить меня навек, от подобных ему. способ развода. Потом придет другой другой хакер и предложит тоже самое, т.е защиту "на века" от предыдущего хакера, и так до бесконечности. работа у них такая.... Варианты вам предложили уже как обезопасить себя на будущее. Доступ только по вашему IP в админку - крайне эффективен, лучше всяких защитный капчей, переименования папки "админ" (что в корне неправильно, но есть лишь дурной совет от непрофессионала. правильно нужно делать не через переименование, если уж хочется иной адрес админки вроде site.com/secret_admin, но через символьную ссылку и закрытие доступа к папке admin через .htaccess. В таком правильном случае у вас будет обеспечена совместимость со всеми модулями, которые не ведают о вашем переименовании admin папки ). Но в совокупности с другими способами и при уверенности, что в публичной части нет заражения. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 24 минуты назад, sitecreator сказал: Доступ только по вашему IP в админку - крайне эффективен Поставил модуль - Защита от вирусов и хакеров, там прописал и ip свой и урл админки, я так понимаю сейчас туда заломиться крайне сложно, базы беспокоят... Я лишь примерно понимаю процесс взлома(мож растолкует кто), логи есть, вот кусок- /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 может кто прокоментирует? Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 7 минут назад, nikifalex сказал: sql injection в надежде найти модуль со стандартной дырой. видимо нашел, как мне найти бы? Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 11 минут назад, expert74 сказал: Поставил модуль - Защита от вирусов и хакеров, а что за секретный модуль? И, таки да, в БД может также содержаться код php, который может выводиться в разных модулях. 14 минут назад, expert74 сказал: там прописал и ip свой вообще, правильно это делается либо в конфиге nginx, либо в конфиге апачи (.htaccess). Как правильно сменить урл админки я тоже выше написал. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 2 минуты назад, sitecreator сказал: а что за секретный модуль? Извините, ссылку криво вставил. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 21 минуту назад, nikifalex сказал: ну ищите где незаэкранирован параметр в sql типа $product_id но без (int) или escape А можете как совсем для неразумных объяснить? Куда идти и что найти? Таблицы в базе смотреть? Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 3 минуты назад, nikifalex сказал: в раздел платных услуг, увы Да можно и платных, только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 16 минут назад, expert74 сказал: только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? тут, понимаете ли, все как с учебником по высшей метаматематике. Вроде бы учебники все есть в открытом доступе, как говорится, читай и изучай сколько душе угодно, но не всем это по силам. Что толку если вы вызубрите доказательство одной теоремы, но не сможете самостоятельно доказать другую? Я, конечно, в определенной степени утрирую, но хотел бы сказать, что нет какого-то универсального рецепта, который вы быстренько выучите и вам откроется познание той же высшей математики. Тут сам предмет нужно понимать глубоко, а для этого нужно потратить немало времени на его глубокое изучение. Хотите стать экспертом в этом вопросе? Становитесь! Но просто по советам с форума вы им не станете. Возможно, что у кого-то есть пример успешного опыта без глубокого изучения вопроса и погружения в тему? Допускаю такое, но я не встречал таких людей. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Хотите стать экспертом в этом вопросе? Вы меня не поняли, я не ищу халявы, но считаю что устанавливая все в стандартном исполнении, покупая официально модули, таких брешей быть не должно. А еще я не люблю вымогателей. Я готов заплатить за работу, но пусть результат потом будет во всеобщем доступе, чтобы люди не попадали под шантаж. 2 часа назад, sitecreator сказал: Тут сам предмет нужно понимать глубоко мне моих знаний хватает, я не пытаюсь сам все сделать, поэтому здесь и пишу. А аналогию тоже могу Вам провести- для того чтобы управлять автомобилем необязательно знать передаточное число главной передачи. Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 9 минут назад, expert74 сказал: Вы меня не поняли, я не ищу халявы а об этом речь и не шла. 10 минут назад, expert74 сказал: покупая официально модули, таких брешей быть не должно. а почему вы решили, что это проблема модуля? тут что угодно может быть. И, по общей статистике модули бывают виноваты менее всего в подобных проблемах. Чаще совсем иные причины. Как правило, нужно не в модулях искать причину, а начинать с общих моментов. И анализировать логи доступа. Кто, когда и куда ходил. к вам же в БД как-то попали. Вот и смотрите логи. для начала. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Вот и смотрите логи. для начала Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? log.txt Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 Вас пытались пробить через страницу товара и получить список всех таблиц магазина information_schema https://dev.mysql.com/doc/refman/8.0/en/information-schema-introduction.html для дальнейшей атаки, метод построен на базе Deep Blind SQL Injection но УВ, на этой странице не пробить, второй вектор будет скорее всего по портам 22 1500, если не проводились действия по предотвращении от брута и не стоят надежные пароли, вполне вероятно могут получить рута, были такие случаи когда хостеры небрежно относились к этому, также стоит проверить все формы на сайте, если есть загрузка файлов, тоже лучше отключить, посмотрите какие Вы используете модули и откуда они брались. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Ещё не стоит забывать о сайтах соседях. Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы... Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 В 17.04.2019 в 11:10, kirill7 сказал: от RFI и RCE атак Мне тоже про это вещал, еще про инъекции sql, один и тот же наверное. Мне очень хочется победить этого бабайку. Может кто помочь? Модули которые у меня стоят (наверное там где-то дыра) - SEO Tags Generator — автогенерация SEO-тегов для OpenCart 2.x SEO URL Generator PRO для OpenCart 2x Модуль Обмена (Exchange) и Синхронизации OpenCart с 1С (управление торговлей) Лицензия Lightning для одного домена NewStore - универсальный, адаптивный шаблон Код нигде не менялся, все "Как было". В 17.04.2019 в 11:48, Leingard сказал: AiBolit в онлайн ничего не нашел. Надіслати Поділитися на інших сайтах More sharing options...
expert74 Опубліковано: 17 квітня 2019 Автор Share Опубліковано: 17 квітня 2019 3 часа назад, kirill7 сказал: только один файл появился лишний, похоже забыл удалить Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил. Надіслати Поділитися на інших сайтах More sharing options...
kirill7 Опубліковано: 17 квітня 2019 Share Опубліковано: 17 квітня 2019 (змінено) 14 минут назад, expert74 сказал: Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил. Это скорее всего не сама дыра через которую он проникает на сайт, т.к. в нашем случае как только он написал - мы сделали бэкап и этого файла там не было, как не было его и перед самим "лечением", когда он успел уже напакастить. Появился он только после его "лечения". Возможно он проникает через другую дыру, копирует этот файл и начинает делать свои тёмные дела. Потом подчищает свои следы(если не забывает). Змінено 17 квітня 2019 користувачем kirill7 Надіслати Поділитися на інших сайтах More sharing options...
sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 В 17.04.2019 в 09:12, expert74 сказал: предлагает за денюжку обезопасить меня навек, от подобных ему. способ развода. Потом придет другой другой хакер и предложит тоже самое, т.е защиту "на века" от предыдущего хакера, и так до бесконечности. работа у них такая.... Варианты вам предложили уже как обезопасить себя на будущее. Доступ только по вашему IP в админку - крайне эффективен, лучше всяких защитный капчей, переименования папки "админ" (что в корне неправильно, но есть лишь дурной совет от непрофессионала. правильно нужно делать не через переименование, если уж хочется иной адрес админки вроде site.com/secret_admin, но через символьную ссылку и закрытие доступа к папке admin через .htaccess. В таком правильном случае у вас будет обеспечена совместимость со всеми модулями, которые не ведают о вашем переименовании admin папки ). Но в совокупности с другими способами и при уверенности, что в публичной части нет заражения. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 24 минуты назад, sitecreator сказал: Доступ только по вашему IP в админку - крайне эффективен Поставил модуль - Защита от вирусов и хакеров, там прописал и ip свой и урл админки, я так понимаю сейчас туда заломиться крайне сложно, базы беспокоят... Я лишь примерно понимаю процесс взлома(мож растолкует кто), логи есть, вот кусок- /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 может кто прокоментирует? Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 7 минут назад, nikifalex сказал: sql injection в надежде найти модуль со стандартной дырой. видимо нашел, как мне найти бы? Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 11 минут назад, expert74 сказал: Поставил модуль - Защита от вирусов и хакеров, а что за секретный модуль? И, таки да, в БД может также содержаться код php, который может выводиться в разных модулях. 14 минут назад, expert74 сказал: там прописал и ip свой вообще, правильно это делается либо в конфиге nginx, либо в конфиге апачи (.htaccess). Как правильно сменить урл админки я тоже выше написал. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 2 минуты назад, sitecreator сказал: а что за секретный модуль? Извините, ссылку криво вставил. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 21 минуту назад, nikifalex сказал: ну ищите где незаэкранирован параметр в sql типа $product_id но без (int) или escape А можете как совсем для неразумных объяснить? Куда идти и что найти? Таблицы в базе смотреть? Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 3 минуты назад, nikifalex сказал: в раздел платных услуг, увы Да можно и платных, только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 16 минут назад, expert74 сказал: только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? тут, понимаете ли, все как с учебником по высшей метаматематике. Вроде бы учебники все есть в открытом доступе, как говорится, читай и изучай сколько душе угодно, но не всем это по силам. Что толку если вы вызубрите доказательство одной теоремы, но не сможете самостоятельно доказать другую? Я, конечно, в определенной степени утрирую, но хотел бы сказать, что нет какого-то универсального рецепта, который вы быстренько выучите и вам откроется познание той же высшей математики. Тут сам предмет нужно понимать глубоко, а для этого нужно потратить немало времени на его глубокое изучение. Хотите стать экспертом в этом вопросе? Становитесь! Но просто по советам с форума вы им не станете. Возможно, что у кого-то есть пример успешного опыта без глубокого изучения вопроса и погружения в тему? Допускаю такое, но я не встречал таких людей. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Хотите стать экспертом в этом вопросе? Вы меня не поняли, я не ищу халявы, но считаю что устанавливая все в стандартном исполнении, покупая официально модули, таких брешей быть не должно. А еще я не люблю вымогателей. Я готов заплатить за работу, но пусть результат потом будет во всеобщем доступе, чтобы люди не попадали под шантаж. 2 часа назад, sitecreator сказал: Тут сам предмет нужно понимать глубоко мне моих знаний хватает, я не пытаюсь сам все сделать, поэтому здесь и пишу. А аналогию тоже могу Вам провести- для того чтобы управлять автомобилем необязательно знать передаточное число главной передачи. Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 9 минут назад, expert74 сказал: Вы меня не поняли, я не ищу халявы а об этом речь и не шла. 10 минут назад, expert74 сказал: покупая официально модули, таких брешей быть не должно. а почему вы решили, что это проблема модуля? тут что угодно может быть. И, по общей статистике модули бывают виноваты менее всего в подобных проблемах. Чаще совсем иные причины. Как правило, нужно не в модулях искать причину, а начинать с общих моментов. И анализировать логи доступа. Кто, когда и куда ходил. к вам же в БД как-то попали. Вот и смотрите логи. для начала. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Вот и смотрите логи. для начала Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? log.txt Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 Вас пытались пробить через страницу товара и получить список всех таблиц магазина information_schema https://dev.mysql.com/doc/refman/8.0/en/information-schema-introduction.html для дальнейшей атаки, метод построен на базе Deep Blind SQL Injection но УВ, на этой странице не пробить, второй вектор будет скорее всего по портам 22 1500, если не проводились действия по предотвращении от брута и не стоят надежные пароли, вполне вероятно могут получить рута, были такие случаи когда хостеры небрежно относились к этому, также стоит проверить все формы на сайте, если есть загрузка файлов, тоже лучше отключить, посмотрите какие Вы используете модули и откуда они брались. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Ещё не стоит забывать о сайтах соседях. Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы... Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 24 минуты назад, sitecreator сказал: Доступ только по вашему IP в админку - крайне эффективен Поставил модуль - Защита от вирусов и хакеров, там прописал и ip свой и урл админки, я так понимаю сейчас туда заломиться крайне сложно, базы беспокоят... Я лишь примерно понимаю процесс взлома(мож растолкует кто), логи есть, вот кусок- /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 может кто прокоментирует? Надіслати Поділитися на інших сайтах More sharing options...
expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 7 минут назад, nikifalex сказал: sql injection в надежде найти модуль со стандартной дырой. видимо нашел, как мне найти бы? Надіслати Поділитися на інших сайтах More sharing options...
sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 11 минут назад, expert74 сказал: Поставил модуль - Защита от вирусов и хакеров, а что за секретный модуль? И, таки да, в БД может также содержаться код php, который может выводиться в разных модулях. 14 минут назад, expert74 сказал: там прописал и ip свой вообще, правильно это делается либо в конфиге nginx, либо в конфиге апачи (.htaccess). Как правильно сменить урл админки я тоже выше написал. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 2 минуты назад, sitecreator сказал: а что за секретный модуль? Извините, ссылку криво вставил. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 21 минуту назад, nikifalex сказал: ну ищите где незаэкранирован параметр в sql типа $product_id но без (int) или escape А можете как совсем для неразумных объяснить? Куда идти и что найти? Таблицы в базе смотреть? Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 3 минуты назад, nikifalex сказал: в раздел платных услуг, увы Да можно и платных, только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 16 минут назад, expert74 сказал: только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? тут, понимаете ли, все как с учебником по высшей метаматематике. Вроде бы учебники все есть в открытом доступе, как говорится, читай и изучай сколько душе угодно, но не всем это по силам. Что толку если вы вызубрите доказательство одной теоремы, но не сможете самостоятельно доказать другую? Я, конечно, в определенной степени утрирую, но хотел бы сказать, что нет какого-то универсального рецепта, который вы быстренько выучите и вам откроется познание той же высшей математики. Тут сам предмет нужно понимать глубоко, а для этого нужно потратить немало времени на его глубокое изучение. Хотите стать экспертом в этом вопросе? Становитесь! Но просто по советам с форума вы им не станете. Возможно, что у кого-то есть пример успешного опыта без глубокого изучения вопроса и погружения в тему? Допускаю такое, но я не встречал таких людей. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Хотите стать экспертом в этом вопросе? Вы меня не поняли, я не ищу халявы, но считаю что устанавливая все в стандартном исполнении, покупая официально модули, таких брешей быть не должно. А еще я не люблю вымогателей. Я готов заплатить за работу, но пусть результат потом будет во всеобщем доступе, чтобы люди не попадали под шантаж. 2 часа назад, sitecreator сказал: Тут сам предмет нужно понимать глубоко мне моих знаний хватает, я не пытаюсь сам все сделать, поэтому здесь и пишу. А аналогию тоже могу Вам провести- для того чтобы управлять автомобилем необязательно знать передаточное число главной передачи. Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 9 минут назад, expert74 сказал: Вы меня не поняли, я не ищу халявы а об этом речь и не шла. 10 минут назад, expert74 сказал: покупая официально модули, таких брешей быть не должно. а почему вы решили, что это проблема модуля? тут что угодно может быть. И, по общей статистике модули бывают виноваты менее всего в подобных проблемах. Чаще совсем иные причины. Как правило, нужно не в модулях искать причину, а начинать с общих моментов. И анализировать логи доступа. Кто, когда и куда ходил. к вам же в БД как-то попали. Вот и смотрите логи. для начала. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Вот и смотрите логи. для начала Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? log.txt Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 Вас пытались пробить через страницу товара и получить список всех таблиц магазина information_schema https://dev.mysql.com/doc/refman/8.0/en/information-schema-introduction.html для дальнейшей атаки, метод построен на базе Deep Blind SQL Injection но УВ, на этой странице не пробить, второй вектор будет скорее всего по портам 22 1500, если не проводились действия по предотвращении от брута и не стоят надежные пароли, вполне вероятно могут получить рута, были такие случаи когда хостеры небрежно относились к этому, также стоит проверить все формы на сайте, если есть загрузка файлов, тоже лучше отключить, посмотрите какие Вы используете модули и откуда они брались. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Ещё не стоит забывать о сайтах соседях. Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы... Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 2 минуты назад, sitecreator сказал: а что за секретный модуль? Извините, ссылку криво вставил. Надіслати Поділитися на інших сайтах More sharing options...
expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 21 минуту назад, nikifalex сказал: ну ищите где незаэкранирован параметр в sql типа $product_id но без (int) или escape А можете как совсем для неразумных объяснить? Куда идти и что найти? Таблицы в базе смотреть? Надіслати Поділитися на інших сайтах More sharing options...
expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 3 минуты назад, nikifalex сказал: в раздел платных услуг, увы Да можно и платных, только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? Надіслати Поділитися на інших сайтах More sharing options...
sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 16 минут назад, expert74 сказал: только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум? тут, понимаете ли, все как с учебником по высшей метаматематике. Вроде бы учебники все есть в открытом доступе, как говорится, читай и изучай сколько душе угодно, но не всем это по силам. Что толку если вы вызубрите доказательство одной теоремы, но не сможете самостоятельно доказать другую? Я, конечно, в определенной степени утрирую, но хотел бы сказать, что нет какого-то универсального рецепта, который вы быстренько выучите и вам откроется познание той же высшей математики. Тут сам предмет нужно понимать глубоко, а для этого нужно потратить немало времени на его глубокое изучение. Хотите стать экспертом в этом вопросе? Становитесь! Но просто по советам с форума вы им не станете. Возможно, что у кого-то есть пример успешного опыта без глубокого изучения вопроса и погружения в тему? Допускаю такое, но я не встречал таких людей. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Хотите стать экспертом в этом вопросе? Вы меня не поняли, я не ищу халявы, но считаю что устанавливая все в стандартном исполнении, покупая официально модули, таких брешей быть не должно. А еще я не люблю вымогателей. Я готов заплатить за работу, но пусть результат потом будет во всеобщем доступе, чтобы люди не попадали под шантаж. 2 часа назад, sitecreator сказал: Тут сам предмет нужно понимать глубоко мне моих знаний хватает, я не пытаюсь сам все сделать, поэтому здесь и пишу. А аналогию тоже могу Вам провести- для того чтобы управлять автомобилем необязательно знать передаточное число главной передачи. Надіслати Поділитися на інших сайтах More sharing options... sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 9 минут назад, expert74 сказал: Вы меня не поняли, я не ищу халявы а об этом речь и не шла. 10 минут назад, expert74 сказал: покупая официально модули, таких брешей быть не должно. а почему вы решили, что это проблема модуля? тут что угодно может быть. И, по общей статистике модули бывают виноваты менее всего в подобных проблемах. Чаще совсем иные причины. Как правило, нужно не в модулях искать причину, а начинать с общих моментов. И анализировать логи доступа. Кто, когда и куда ходил. к вам же в БД как-то попали. Вот и смотрите логи. для начала. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Вот и смотрите логи. для начала Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? log.txt Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 Вас пытались пробить через страницу товара и получить список всех таблиц магазина information_schema https://dev.mysql.com/doc/refman/8.0/en/information-schema-introduction.html для дальнейшей атаки, метод построен на базе Deep Blind SQL Injection но УВ, на этой странице не пробить, второй вектор будет скорее всего по портам 22 1500, если не проводились действия по предотвращении от брута и не стоят надежные пароли, вполне вероятно могут получить рута, были такие случаи когда хостеры небрежно относились к этому, также стоит проверить все формы на сайте, если есть загрузка файлов, тоже лучше отключить, посмотрите какие Вы используете модули и откуда они брались. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Ещё не стоит забывать о сайтах соседях. Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы... Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Хотите стать экспертом в этом вопросе? Вы меня не поняли, я не ищу халявы, но считаю что устанавливая все в стандартном исполнении, покупая официально модули, таких брешей быть не должно. А еще я не люблю вымогателей. Я готов заплатить за работу, но пусть результат потом будет во всеобщем доступе, чтобы люди не попадали под шантаж. 2 часа назад, sitecreator сказал: Тут сам предмет нужно понимать глубоко мне моих знаний хватает, я не пытаюсь сам все сделать, поэтому здесь и пишу. А аналогию тоже могу Вам провести- для того чтобы управлять автомобилем необязательно знать передаточное число главной передачи. Надіслати Поділитися на інших сайтах More sharing options...
sitecreator Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 9 минут назад, expert74 сказал: Вы меня не поняли, я не ищу халявы а об этом речь и не шла. 10 минут назад, expert74 сказал: покупая официально модули, таких брешей быть не должно. а почему вы решили, что это проблема модуля? тут что угодно может быть. И, по общей статистике модули бывают виноваты менее всего в подобных проблемах. Чаще совсем иные причины. Как правило, нужно не в модулях искать причину, а начинать с общих моментов. И анализировать логи доступа. Кто, когда и куда ходил. к вам же в БД как-то попали. Вот и смотрите логи. для начала. Надіслати Поділитися на інших сайтах More sharing options... expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Вот и смотрите логи. для начала Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? log.txt Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 Вас пытались пробить через страницу товара и получить список всех таблиц магазина information_schema https://dev.mysql.com/doc/refman/8.0/en/information-schema-introduction.html для дальнейшей атаки, метод построен на базе Deep Blind SQL Injection но УВ, на этой странице не пробить, второй вектор будет скорее всего по портам 22 1500, если не проводились действия по предотвращении от брута и не стоят надежные пароли, вполне вероятно могут получить рута, были такие случаи когда хостеры небрежно относились к этому, также стоит проверить все формы на сайте, если есть загрузка файлов, тоже лучше отключить, посмотрите какие Вы используете модули и откуда они брались. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Ещё не стоит забывать о сайтах соседях. Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы... Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
expert74 Опубліковано: 18 квітня 2019 Автор Share Опубліковано: 18 квітня 2019 1 час назад, sitecreator сказал: Вот и смотрите логи. для начала Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? log.txt Надіслати Поділитися на інших сайтах More sharing options...
ArtemPitov Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 Вас пытались пробить через страницу товара и получить список всех таблиц магазина information_schema https://dev.mysql.com/doc/refman/8.0/en/information-schema-introduction.html для дальнейшей атаки, метод построен на базе Deep Blind SQL Injection но УВ, на этой странице не пробить, второй вектор будет скорее всего по портам 22 1500, если не проводились действия по предотвращении от брута и не стоят надежные пароли, вполне вероятно могут получить рута, были такие случаи когда хостеры небрежно относились к этому, также стоит проверить все формы на сайте, если есть загрузка файлов, тоже лучше отключить, посмотрите какие Вы используете модули и откуда они брались. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Ещё не стоит забывать о сайтах соседях. Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы... Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Ещё не стоит забывать о сайтах соседях. Дыра может быть у соседнего сайта, и просто грамотно разводят не подставляя источник дыры. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы... Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Перед удалением любых файлов фиксируйте также дату их появления. Т.к. потом можно будет по времени создания понять, с чем это файл мог попасть на сервер. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки взлом, проникли в базы...
mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 Посмотрите в папку логов. Чтобы лог файл не имел раширения php. Тут может быть уйма моментов. И как ни банально будет звучать, но большинство пробоев связано с подбором паролей в админку. Я регулярно смотрю логи на своих демо сайтах, не было и дня, чтобы не пробежал какой-то бот и не попытался подобрать десяточек простых паролей. Переименуйте учётную запись администратора, чтобы это был не admin. А хоть pupkin_vasya - это уже сильно усложнит подбор доступа в админку. Надіслати Поділитися на інших сайтах More sharing options... mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
mpn2005 Опубліковано: 18 квітня 2019 Share Опубліковано: 18 квітня 2019 13 часов назад, expert74 сказал: /Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 Просматривайте лог и проверяйте пробои так: /index.php?route=product/product&path=199_200&product_id=1'xxx /index.php?route=product/product&path=199_200&product_id=1"xxx /index.php?route=product/product&path=199_200&product_id=1xxx Если сайт выводит товар или страницу о его отсутствии, то пробоя нет. Не должно выскочить ошибок. Сайт не должен упасть в белый экран. Если это произошло, то данный параметр уязвим для атаки SQLi. И вообще стоит выключить вывод ошибок, а оставить только запись в лог. Всё описанное в теме уже по 100 раз написано. И тем таких на форуме уже достаточно. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
Recommended Posts