Jump to content
Luftwaffe

Уязвимости opencart 3 как закрыть?

Recommended Posts

Добрый день, недавно пришло письмо от некого анонима, который якобы проводит пинтесты сайтов. В письме скидывает скрин админки, всех заказов на сайте, скрин базы данных.

Вход в админ на нестандартном адресе, в роботс не светится, пароли и доступы меняются регулярно.

Всеравно нашлась уязвимость.

Кто нибудь сталкивался с таким? как это можно пофиксить?

 

P.S. По понятным причинам пишу с нового аккаунта.

Share this post


Link to post
Share on other sites

может вирус у вас на компьютере, типа кейлоггера

Share this post


Link to post
Share on other sites

либо модуль какой дырявый стоит

Share this post


Link to post
Share on other sites
Posted (edited)
4 минуты назад, lexxkrt сказал:

может вирус у вас на компьютере, типа кейлоггера

не у верен, у меня лично мак, мониторю на вирусы, кроме меня ни у кого нет доступов

 

Модули все платные отсюда.

 

 

Edited by Luftwaffe

Share this post


Link to post
Share on other sites

тема шаблона тоже отсюда, но сейчас удалена.

Share this post


Link to post
Share on other sites

если там скрин именно админки то это уже палево.

cat apache.access.log | grep /admin/  | awk '{print $1}' | sort -n | uniq -c | sort -nr | head -20

 

и думаем с какого ip адреса он заходил

потом ищем по этому адресу где он еще был

 

 

  • +1 1

Share this post


Link to post
Share on other sites
Posted (edited)

а что может дать ip?

Edited by Evgenii1884

Share this post


Link to post
Share on other sites
6 минут назад, Evgenii1884 сказал:

а что может дать ip?

а потом снова смотрим лог но уже по IP

Share this post


Link to post
Share on other sites
14 минут назад, nikifalex сказал:

если там скрин именно админки то это уже палево.

cat apache.access.log | grep /admin/  | awk '{print $1}' | sort -n | uniq -c | sort -nr | head -20

 

и думаем с какого ip адреса он заходил

потом ищем по этому адресу где он еще был

 

 

 я не программист, расскажите поподробней где это смотреть и куда вводить код.

Я понимаю что это очень ламерский вопрос и предсказуемый ответ: обратится к программисту, НО! не исключено что специалист не окажется зломышленником.

Если такая ситуация произошла со мной, то от этого не застрахован никто и может случиться с каждым, если мы сможем найти и закрыть эту дыру, то это будет полезно всем.

Share this post


Link to post
Share on other sites
Только что, Luftwaffe сказал:

я не программист, расскажите поподробней где это смотреть и куда вводить код.

так вот она как раз дыра. Вы так и делали сайт самотоятельно по советам с форумов, вот и получили результат.

не нужно самодеятельности. Ищите профессионалов и тогда не будет уязвимостей.

  • +1 1

Share this post


Link to post
Share on other sites

Поясню ситуацию, письмо приходит первый раз с предупреждением, второй раз идут угрозы по обзвону заказов, вредоносных кодов и систематического повреждения файлов сайта и бд.

В принципе ничего страшного, но геморой обеспечен.

Share this post


Link to post
Share on other sites
Posted (edited)
7 минут назад, nikifalex сказал:

так вот она как раз дыра. Вы так и делали сайт самотоятельно по советам с форумов, вот и получили результат.

не нужно самодеятельности. Ищите профессионалов и тогда не будет уязвимостей.

ммм да. форум для обсуждений я полагаю и решения проблем, а не мерения кто больше спец.

Я понял что вы разбираетесь во всем и вам такие проблемы чужды, но тут есть другие люди.

И не все спецы рождаются спецами, запомните это уже

 

Сайт я делал не сам.

 

Edited by Luftwaffe

Share this post


Link to post
Share on other sites
7 минут назад, Luftwaffe сказал:

а не мерения кто больше спец

Я не спец, и не разбираюсь в этом.

Я как раз делюсь опытом - я тоже обращаюсь к специалистам. И это не стыдно.

 

Share this post


Link to post
Share on other sites

Я не говорю о стыде обращения к профессионалам, как раз наоборот считаю это наиболие рациональным.

Но в такой ситуации начинаешь с опаской относиться.

Опять же нет уверенности что это прилетело ни от разработчиков (это всего лишь версия)

Share this post


Link to post
Share on other sites

Попросите его еще раз сбросить скриншоты и смотрите в логи на хостинге к каким файлам на сайте были обращения, а потом закройте к ним доступ по ip всем, кроме вашего

Share this post


Link to post
Share on other sites

 

Share this post


Link to post
Share on other sites
39 минут назад, krluch сказал:

Попросите его еще раз сбросить скриншоты и смотрите в логи на хостинге к каким файлам на сайте были обращения, а потом закройте к ним доступ по ip всем, кроме вашего

злоумышленник пропал и перестал выходить на связь

Share this post


Link to post
Share on other sites

Самый частый случай - это простой доступ в админку.

Например на этапе создания сайта был доступ admin/admin

Могли подложить шелл давно, и ждать запуска сайта.

 

Никогда нельзя ставить простые доступы в админку, даже на этапе разработки.

Т.к. регулярно боты сканят сайты и пробуют 10 простых паролей, потом автоматом внедряют уязвимость и хозяину отправляют список.

Это отдельная область для зарабатывания денег.

Share this post


Link to post
Share on other sites

адрес доступа в админку поменял сразу после первого письма, но во втором письме снова пришли скрины бд.

посмотрел по файлам никаких изменений в папках не было в тот период

Share this post


Link to post
Share on other sites
3 минуты назад, Luftwaffe сказал:

адрес доступа в админку поменял сразу после первого письма, но во втором письме снова пришли скрины бд.

посмотрел по файлам никаких изменений в папках не было в тот период

Шелл там мог лежать уже давно.

Теперь надо проводить проверку и удалать всё подозрительное.

Просматривать логи и искать точку входа.

И потом опять пароли все менять и проверить что бы не было других админских учётных записей.

Так же надо менять доступ к базе mysql и прописывать новые доступы в конфиг.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.