Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Новая уязвимость ocstore 2

Vladislavchik1989
 Share

Recommended Posts

Vladislavchik1989 Collaborator

Vladislavchik1989

Опубліковано:
Опубліковано:

Ну или я припоздал, может раньше уже было, сегодня пару человек просили глянуть сайты на ocstore. Оба человека располагают сайты на таймвебе. всем пришло сообщение, вида "файлы вашего заказа кошмарят сторонний сайт" и кидают чужие логи, в одном из файлов не пойми что там ддосили, в другом случае кошмарили страницу логина wordpress.

 

Таймвеб блочит весь аккаунт со всеми сайтами. Лечил так: чистил файл с таким именем  

3.03_config

лежит в папке admin, там же левый файл .pid

 

такие же левые файлы .pid копирнулись в директорию заказа.

 

удаление данных файлов помогло снять блокировку аккаунта таймвеб.

 

Кто что знает или это не новость? или все же новость?

Надіслати
Поділитися на інших сайтах

Yoda Grand Master

Yoda

Опубліковано:
Опубліковано:
2 часа назад, Vladislavchik1989 сказал:

Ну или я припоздал, может раньше уже было, сегодня пару человек просили глянуть сайты на ocstore. Оба человека располагают сайты на таймвебе. всем пришло сообщение, вида "файлы вашего заказа кошмарят сторонний сайт" и кидают чужие логи, в одном из файлов не пойми что там ддосили, в другом случае кошмарили страницу логина wordpress.

 

Таймвеб блочит весь аккаунт со всеми сайтами. Лечил так: чистил файл с таким именем  


3.03_config

лежит в папке admin, там же левый файл .pid

 

такие же левые файлы .pid копирнулись в директорию заказа.

 

удаление данных файлов помогло снять блокировку аккаунта таймвеб.

 

Кто что знает или это не новость? или все же новость?

 

Это не оксторе - это admin/admin либо дырявые модули шаблоны.

Смотрите еще в модификаторы модификатор ocstore в списке.


А так же /admin/controller/design/image.php  и /catalog/controller/affiliate/image.php.
Также запустите айболит.
Также там могут валяться файлы вида seo.php.
Также может лежать в папке tool/Image imgwm.php.

 

Надіслати
Поділитися на інших сайтах

sitecreator Grand Master

sitecreator

Опубліковано:
Опубліковано:

А есть основания для такого громкого заголовка?

Как установили, что это именно уязвимость ocstore 2?

да еще новая?

 

А что были старые?

У вас есть какая-то информация на этот счет?

  • +1 2
Надіслати
Поділитися на інших сайтах
1
1

spectre Grand Master

spectre

Опубліковано:
Опубліковано:
16 минут назад, sitecreator сказал:

А есть основания для такого громкого заголовка?

Как установили, что это именно уязвимость ocstore 2?

да еще новая?

 

за последние недели 2 лечил с десяток сайтов с такими симптомами, все одинаковое, все ocstore 2.1 или 2.3, это довольно "кучно" для одинаковой инфекции

 

либо до старой добрались либо таки новая, но обычно опенкарт довольно защищен и ломается практически всегда через админ админ или дырки с опенкарт2х 3х

Надіслати
Поділитися на інших сайтах
1
1
1
1

Vladislavchik1989 Collaborator

Vladislavchik1989

Опубліковано:
  • Автор
Опубліковано:

сегодня на одном из сайтов снова вернулись файлы. как писали выше, нашел файл seo.php - почистил и почистил те же что и были файлы. жду

Надіслати
Поділитися на інших сайтах

Vladislavchik1989 Collaborator

Vladislavchik1989

Опубліковано:
  • Автор
Опубліковано:
3 часа назад, sitecreator сказал:

Как установили, что это именно уязвимость ocstore 2?

ну не я громко заявил - техподдержка таймвеба так пишет, мол на многих ocstore такая бяка с 22 мая уже третьи сутки

Надіслати
Поділитися на інших сайтах

sitecreator Grand Master

sitecreator

Опубліковано:
Опубліковано:
22 часа назад, Vladislavchik1989 сказал:

удаление данных файлов помогло

 

причину вы так и не поняли. а это значит, что повторится.

 

7 часов назад, Vladislavchik1989 сказал:

мол на многих ocstore такая бяка

 

это ничего не значит. т.е. общие слова.

без конкретики нечего обсуждать.

 

Если был взлом, то вряд ли через сам движок. Через один из модулей - в это еще можно поверить.

Через открытый всему миру лог error.log - это тоже допускаю. А там и пароль от БД может проскочить.

Через открытый всему миру ZIP с копией файлов сайта - это тоже допускаю. 

Сколько раз я видел архив ZIP (бекап) в корне сайта с названием сайта.   а в архиве есть все.

 

С таким подходом многих пользователей и уязвимостей не нужно никаких.

 

Конкретику заражения хотелось бы узнать.

Ведь уязвивмостей в самом движке то не найдено за долгие годы.

Надіслати
Поділитися на інших сайтах
1
1

sitecreator Grand Master

sitecreator

Опубліковано:
Опубліковано:

Вот на этой неделе пишет один заказчик про взлом.

посмотрел я какие он мне доступы ранее давал:

 

admin
adminadmin

 

Как вы думаете стоит мне в первую очередь думать об уязвимости или о слабости (мягко говоря) пароля в админку?

Надіслати
Поділитися на інших сайтах
1
1

markimax Grand Master

markimax

Опубліковано:
Опубліковано:
2 часа назад, sitecreator сказал:

Вот на этой неделе пишет один заказчик про взлом.

посмотрел я какие он мне доступы ранее давал:

 

admin
adminadmin

 

Как вы думаете стоит мне в первую очередь думать об уязвимости или о слабости (мягко говоря) пароля в админку?

https://ru.wikipedia.org/wiki/1234_год

 

Ребята, вы даете каждый день логины и пароли мне, для работы (я могу судить)
И 50% имеют самый простейший пароль который можно бутфорсом взломать за одну минуту (да обычно 5 символьный)
Я предупреждаю
Ребята 6-ти значный пароль ломается бутфорсом за 10 минут

PS htaccess IP ;)

Надіслати
Поділитися на інших сайтах
1
1

  • 3 weeks later...
ampeklol Enthusiast

ampeklol

Опубліковано:
Опубліковано: (змінено)

расскажу маленькую историю про тайм веб  и свой личный опыт оттуда.

пришел туда от Sweb  так как цены и диски были дороже

имели тариф на timeweb VDS/ популярный 

имею личную почту и доменную . всё шло нормально 

на сайте исключительно темы и дополнения от разработчиков покупал всё на этому форуме.

Аккаунты давал разработчикам - временные и в тот же день эти аккаунты удалял.

и тут я как то попал в папку спам на личном аккаунте почты и смотрю что сообщение пришло от моей почте мне с каким то спамом (не предал значение)прошло еще 2 недели и тут понеслась каша, на личную почту сыпится  спам от моей же почты +- 10-20 спам писем. опять не предал значение и тут решил на почте домене посмотреть спам и к моему удивлению там такая же ситуация от доменной почты сайта идет спам  - мне же . Думал мало ли схватил вирус для тестового домена и он на весь вдс пошел. удалил всё под 0 и заново установил главный сайт быстро из бэкапов достал категории и seo категории и загрузил товары за 2 часа, всё сайт в штатном режиме. Тут не проходит 3-4 дня опять сыпаться спам начал на личную почту и доменную. Терпел это всё более 1 месяца и тут пришло сообщение о Яндекса ( моего любимого ) купон на 4000р с возможность попробовать их yandex.cloud долго решался перейти, и перешел на яндекс cloud. В заключение спам пропал в тот же день. и до сих пор(1 месяц спустя) никакого спама.

 

добавлю сайт на sweb был 2 года - без спама.

теперь сайт на yandex.cloud 1 месяц - без спама.

 

После этой истории никому бы не советовал этот Timeweb

Змінено користувачем ampeklol
Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
 Share
Перейти до списку тем

  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

Покупцям

Розробникам

Корисна інформація

Останні розширення

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.

  Я даю згоду