Jump to content
expert74

взлом, проникли в базы...

Recommended Posts

Всем добра! 

Некий человек показал мне скрин моих баз данных, даже залез в одну и создал там админа, предлагает за денюжку обезопасить меня навек, от подобных ему.  

Как это запретить? 

ps модули все куплены здесь, стоит окстор 2.3 

Share this post


Link to post
Share on other sites

это еще смотря что за модули ну и что за пароли.

Share this post


Link to post
Share on other sites

Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому)

Share this post


Link to post
Share on other sites
15 минут назад, Leingard сказал:

Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому)

А если в каком то модуле есть "дырка" это не поможет)

Share this post


Link to post
Share on other sites
15 минут назад, Leingard сказал:

Смени доступ хоста, FTP, админку, к БД. Поставь вход по IP на хосте и не плати никому)

 

   Да поменял все, вход по ip тоже поставил, только думается мне что где-то что-то кривое есть, как найти-то? 

 И да, чукча не писатель однако, то бишь сильно сверху вижу коды там всякие.

Share this post


Link to post
Share on other sites

Недавно один владелец сайта обратился с такой же проблемой.

 

Некий человек так же обратился со скринами БД, админки, последних заказов.
Уверял в своей порядочности. Обещал исправить все уязвимости сайта(именно opencart'a) и продемонстрировать где что изменил, чтобы никто больше не смог использовать эти уязвимости.
Срочно поменяли все пароли, сделали бэкапы.

Все модули покупные.
После этого он "разозлился" и удалил файл из админки, после чего админка перестала работать.
И начал угрожать что будет обзванивать всех покупателей и распространять негативную информацию о сайте.
В общем владелец оплатил.
Тот человек что-то там поделал и сообщил что всё исправлено.
В итоге он написал что исправил несколько системных файлов которые избавят от RFI и RCE атак.
Что именно он сделал он так и не сказал, т.к. эта информация может стать доступна разработчикам и он потеряет заработок.

 

Сравнили файлы - ничего не изменилось, только один файл появился лишний, похоже забыл удалить:
/catalog/view/index.php
Файл прикрепил к сообщению.
 

index.php

Share this post


Link to post
Share on other sites

Можно пройтись AiBolit-ом в параноидальном. Если там банальный листинг файлов, то он найдет. Хотя находил и похуже)

Share this post


Link to post
Share on other sites
2 часа назад, kirill7 сказал:

от RFI и RCE атак

Мне тоже про это вещал, еще про инъекции sql,  один и тот же наверное. Мне очень хочется победить этого бабайку. Может кто помочь?

Модули которые у меня стоят (наверное там где-то дыра) -

 

 

          SEO Tags Generator — автогенерация SEO-тегов для OpenCart 2.x

          SEO URL Generator PRO для OpenCart 2x

         Модуль Обмена (Exchange) и Синхронизации OpenCart с 1С (управление торговлей), веб-студия NeoSeo

         Лицензия Lightning для одного домена

         NewStore - универсальный, адаптивный шаблон

 

Код нигде не менялся, все "Как было".

 

1 час назад, Leingard сказал:

AiBolit

в онлайн ничего не нашел.

Share this post


Link to post
Share on other sites
2 часа назад, kirill7 сказал:

Сравнили файлы - ничего не изменилось, только один файл появился лишний, похоже забыл удалить

поздравляю. вы нашли только не способ лечения, а саму дыру.

Share this post


Link to post
Share on other sites
3 часа назад, kirill7 сказал:

только один файл появился лишний, похоже забыл удалить

Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил.

 

Share this post


Link to post
Share on other sites
14 минут назад, expert74 сказал:

Спасибо за наводку, не знаю что это такое, тоже нашел у себя и выкосил.

 

Это скорее всего не сама дыра через которую он проникает на сайт, т.к. в нашем случае как только он написал - мы сделали бэкап и этого файла там не было, как не было его и перед самим "лечением", когда он успел уже напакастить. Появился он только после его "лечения". Возможно он проникает через другую дыру, копирует этот файл и начинает делать свои тёмные дела. Потом подчищает свои следы(если не забывает).
 

Edited by kirill7

Share this post


Link to post
Share on other sites
В 17.04.2019 в 09:12, expert74 сказал:

предлагает за денюжку обезопасить меня навек, от подобных ему.  

 

способ развода.

Потом придет другой другой хакер и предложит тоже самое, т.е защиту "на века" от предыдущего хакера, и так до бесконечности.

работа у них такая....

 

Варианты вам предложили уже как обезопасить себя на будущее.

Доступ только по вашему IP в админку - крайне эффективен, лучше всяких защитный капчей, переименования папки "админ" (что в корне неправильно, но есть лишь дурной совет от непрофессионала.  правильно нужно делать не через переименование, если уж хочется иной адрес админки вроде site.com/secret_admin, но

через символьную ссылку и закрытие доступа к папке admin через .htaccess. В таком правильном случае у вас будет обеспечена совместимость со всеми модулями, которые не ведают о вашем переименовании admin папки ).   Но в совокупности с другими способами и при уверенности, что в публичной части нет заражения.

Share this post


Link to post
Share on other sites
24 минуты назад, sitecreator сказал:

Доступ только по вашему IP в админку - крайне эффективен

Поставил модуль - Защита от вирусов и хакеров, там прописал и ip свой и урл админки, я так понимаю сейчас туда заломиться крайне сложно, базы беспокоят... Я лишь примерно понимаю процесс взлома(мож растолкует кто), 

логи есть, вот кусок-

/Apr/2019:17:11:31 +0300] "GET /index.php?route=product/product&path=199_200&product_id=8565'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcAsT(%2f**%2fcOnCaT(0x217e21,%2f**%2fuSeR(),0x217e21)+as+char))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1 HTTP/1.0" 301 

может кто прокоментирует?

Share this post


Link to post
Share on other sites

sql injection в надежде найти модуль со стандартной дырой.

 

Share this post


Link to post
Share on other sites
7 минут назад, nikifalex сказал:

sql injection в надежде найти модуль со стандартной дырой.

 

видимо нашел, как мне найти бы?

Share this post


Link to post
Share on other sites

ну ищите где незаэкранирован параметр в sql

типа $product_id но без (int) или escape

 

Share this post


Link to post
Share on other sites
11 минут назад, expert74 сказал:

Поставил модуль - Защита от вирусов и хакеров,

 

а что за секретный модуль?

 

L5K7vEm.jpg

 

 

И, таки да, в БД может также содержаться код php, который может выводиться в разных модулях.

 

14 минут назад, expert74 сказал:

там прописал и ip свой

 

 

вообще, правильно это делается либо в конфиге nginx, либо в конфиге апачи (.htaccess).

Как правильно сменить урл админки я тоже выше написал.

 

Share this post


Link to post
Share on other sites
2 минуты назад, sitecreator сказал:

а что за секретный модуль?

Извините, ссылку криво вставил.

Share this post


Link to post
Share on other sites
21 минуту назад, nikifalex сказал:

ну ищите где незаэкранирован параметр в sql

типа $product_id но без (int) или escape

А можете как совсем для неразумных объяснить? Куда идти и что найти? Таблицы в базе смотреть?

Share this post


Link to post
Share on other sites
3 минуты назад, expert74 сказал:

Куда идти и что найти?

в раздел платных услуг, увы.

Share this post


Link to post
Share on other sites
3 минуты назад, nikifalex сказал:

в раздел платных услуг, увы

Да можно и платных, только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум?

Share this post


Link to post
Share on other sites
16 минут назад, expert74 сказал:

только я бы хотел выложить на всеобщее обозрение - где дыры и как лечить, иначе зачем форум?

 

тут, понимаете ли, все как с учебником по высшей метаматематике.

Вроде бы учебники все есть в открытом доступе, как говорится, читай и изучай сколько душе угодно, но не всем это по силам.

Что толку если вы вызубрите доказательство одной теоремы, но не сможете самостоятельно доказать другую?

Я, конечно, в определенной степени утрирую,  но хотел бы сказать, что нет какого-то универсального рецепта, который вы быстренько выучите и вам откроется познание той же высшей математики.  Тут сам предмет нужно понимать глубоко, а для этого нужно потратить немало времени на его глубокое изучение.

 

Хотите стать экспертом в этом вопросе?  Становитесь!  Но просто по советам с форума вы им не станете.

 

Возможно, что у кого-то есть пример успешного опыта без глубокого изучения вопроса и погружения в тему?  Допускаю такое, но я не встречал таких людей.

 

Share this post


Link to post
Share on other sites
1 час назад, sitecreator сказал:

Хотите стать экспертом в этом вопросе? 

Вы меня не поняли, я не ищу халявы, но считаю что устанавливая все в стандартном исполнении, покупая официально модули, таких брешей быть не должно.

А еще я не люблю вымогателей.

Я готов заплатить за работу, но пусть результат потом будет во всеобщем доступе, чтобы люди не попадали под шантаж.

2 часа назад, sitecreator сказал:

Тут сам предмет нужно понимать глубоко

мне моих знаний хватает, я  не пытаюсь сам все сделать, поэтому здесь и пишу.  

А аналогию тоже могу Вам провести- для того чтобы управлять автомобилем необязательно знать передаточное число главной передачи.

Share this post


Link to post
Share on other sites
9 минут назад, expert74 сказал:

Вы меня не поняли, я не ищу халявы

 

а об этом речь и не шла.

 

10 минут назад, expert74 сказал:

покупая официально модули, таких брешей быть не должно.

 

а почему вы решили, что это проблема модуля? тут что угодно может быть. И, по общей статистике модули бывают виноваты менее всего в подобных проблемах. Чаще совсем иные причины.

Как правило, нужно не в модулях искать причину, а начинать с общих моментов.

 

И анализировать логи доступа. Кто, когда и куда ходил. к вам же в БД как-то попали. Вот и смотрите логи. для начала.

Share this post


Link to post
Share on other sites
1 час назад, sitecreator сказал:

Вот и смотрите логи. для начала

Смотрел, кусок выложил, вот полностью, только я тут ничего не понимаю. Подскажите? 

log.txt

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.