Уязвимости opencart 3 как закрыть?

[Luftwaffe]

Добрый день, недавно пришло письмо от некого анонима, который якобы проводит пинтесты сайтов. В письме скидывает скрин админки, всех заказов на сайте, скрин базы данных.

Вход в админ на нестандартном адресе, в роботс не светится, пароли и доступы меняются регулярно.

Всеравно нашлась уязвимость.

Кто нибудь сталкивался с таким? как это можно пофиксить?

 

P.S. По понятным причинам пишу с нового аккаунта.

[lexxkrt]

может вирус у вас на компьютере, типа кейлоггера

[lexxkrt]

либо модуль какой дырявый стоит

[Luftwaffe]

4 минуты назад, lexxkrt сказал:

может вирус у вас на компьютере, типа кейлоггера

не у верен, у меня лично мак, мониторю на вирусы, кроме меня ни у кого нет доступов

 

Модули все платные отсюда.

 

 

Змінено 24 квітня 2019 користувачем Luftwaffe

[Luftwaffe]

тема шаблона тоже отсюда, но сейчас удалена.

[Evgenii1884]

а что может дать ip?

Змінено 24 квітня 2019 користувачем Evgenii1884

[Luftwaffe]

14 минут назад, nikifalex сказал:

если там скрин именно админки то это уже палево.

cat apache.access.log | grep /admin/  | awk '{print $1}' | sort -n | uniq -c | sort -nr | head -20

 

и думаем с какого ip адреса он заходил

потом ищем по этому адресу где он еще был

 

 

 я не программист, расскажите поподробней где это смотреть и куда вводить код.

Я понимаю что это очень ламерский вопрос и предсказуемый ответ: обратится к программисту, НО! не исключено что специалист не окажется зломышленником.

Если такая ситуация произошла со мной, то от этого не застрахован никто и может случиться с каждым, если мы сможем найти и закрыть эту дыру, то это будет полезно всем.

[Luftwaffe]

Поясню ситуацию, письмо приходит первый раз с предупреждением, второй раз идут угрозы по обзвону заказов, вредоносных кодов и систематического повреждения файлов сайта и бд.

В принципе ничего страшного, но геморой обеспечен.

[Luftwaffe]

7 минут назад, nikifalex сказал:

так вот она как раз дыра. Вы так и делали сайт самотоятельно по советам с форумов, вот и получили результат.

не нужно самодеятельности. Ищите профессионалов и тогда не будет уязвимостей.

ммм да. форум для обсуждений я полагаю и решения проблем, а не мерения кто больше спец.

Я понял что вы разбираетесь во всем и вам такие проблемы чужды, но тут есть другие люди.

И не все спецы рождаются спецами, запомните это уже

 

Сайт я делал не сам.

 

Змінено 24 квітня 2019 користувачем Luftwaffe

[Luftwaffe]

Я не говорю о стыде обращения к профессионалам, как раз наоборот считаю это наиболие рациональным.

Но в такой ситуации начинаешь с опаской относиться.

Опять же нет уверенности что это прилетело ни от разработчиков (это всего лишь версия)

[krluch]

Попросите его еще раз сбросить скриншоты и смотрите в логи на хостинге к каким файлам на сайте были обращения, а потом закройте к ним доступ по ip всем, кроме вашего

[AlexDW]

 

[Luftwaffe]

39 минут назад, krluch сказал:

Попросите его еще раз сбросить скриншоты и смотрите в логи на хостинге к каким файлам на сайте были обращения, а потом закройте к ним доступ по ip всем, кроме вашего

злоумышленник пропал и перестал выходить на связь

[mpn2005]

Самый частый случай - это простой доступ в админку.

Например на этапе создания сайта был доступ admin/admin

Могли подложить шелл давно, и ждать запуска сайта.

 

Никогда нельзя ставить простые доступы в админку, даже на этапе разработки.

Т.к. регулярно боты сканят сайты и пробуют 10 простых паролей, потом автоматом внедряют уязвимость и хозяину отправляют список.

Это отдельная область для зарабатывания денег.

[Luftwaffe]

адрес доступа в админку поменял сразу после первого письма, но во втором письме снова пришли скрины бд.

посмотрел по файлам никаких изменений в папках не было в тот период

[mpn2005]

3 минуты назад, Luftwaffe сказал:

адрес доступа в админку поменял сразу после первого письма, но во втором письме снова пришли скрины бд.

посмотрел по файлам никаких изменений в папках не было в тот период

Шелл там мог лежать уже давно.

Теперь надо проводить проверку и удалать всё подозрительное.

Просматривать логи и искать точку входа.

И потом опять пароли все менять и проверить что бы не было других админских учётных записей.

Так же надо менять доступ к базе mysql и прописывать новые доступы в конфиг.