Jump to content
Sign in to follow this  
Followers 0
Добавить в закладки
 
Vladislavchik1989

Новая уязвимость ocstore 2

By Vladislavchik1989, 05/23/2019 09:12 PM in Opencart 2.x: Общие вопросы

Recommended Posts

Vladislavchik1989    5

Vladislavchik1989
Posted

Ну или я припоздал, может раньше уже было, сегодня пару человек просили глянуть сайты на ocstore. Оба человека располагают сайты на таймвебе. всем пришло сообщение, вида "файлы вашего заказа кошмарят сторонний сайт" и кидают чужие логи, в одном из файлов не пойми что там ддосили, в другом случае кошмарили страницу логина wordpress.

 

Таймвеб блочит весь аккаунт со всеми сайтами. Лечил так: чистил файл с таким именем  

3.03_config

лежит в папке admin, там же левый файл .pid

 

такие же левые файлы .pid копирнулись в директорию заказа.

 

удаление данных файлов помогло снять блокировку аккаунта таймвеб.

 

Кто что знает или это не новость? или все же новость?

Share this post

Link to post
Share on other sites

Vladislavchik1989    5

Vladislavchik1989
Posted

свои сайты проверил, у меня правда vps от ihc.ru, нет вроде такого

Share this post

Link to post
Share on other sites

LiLu    10

LiLu
Posted

ну на впс оно и полегче.

особенно если нет соседей на жумлах и ворпресах, прости господи...

Share this post

Link to post
Share on other sites

Yoda    1,188

Yoda
Posted
2 часа назад, Vladislavchik1989 сказал:

Ну или я припоздал, может раньше уже было, сегодня пару человек просили глянуть сайты на ocstore. Оба человека располагают сайты на таймвебе. всем пришло сообщение, вида "файлы вашего заказа кошмарят сторонний сайт" и кидают чужие логи, в одном из файлов не пойми что там ддосили, в другом случае кошмарили страницу логина wordpress.

 

Таймвеб блочит весь аккаунт со всеми сайтами. Лечил так: чистил файл с таким именем  

3.03_config

лежит в папке admin, там же левый файл .pid

 

такие же левые файлы .pid копирнулись в директорию заказа.

 

удаление данных файлов помогло снять блокировку аккаунта таймвеб.

 

Кто что знает или это не новость? или все же новость?

 

Это не оксторе - это admin/admin либо дырявые модули шаблоны.

Смотрите еще в модификаторы модификатор ocstore в списке.


А так же /admin/controller/design/image.php  и /catalog/controller/affiliate/image.php.
Также запустите айболит.
Также там могут валяться файлы вида seo.php.
Также может лежать в папке tool/Image imgwm.php.

 

Share this post

Link to post
Share on other sites

halfhope    269

halfhope
Posted

Не справитесь - обращайтесь. Очистка с гарантией на 1 год.

Share this post

Link to post
Share on other sites

sitecreator    1,003

sitecreator
Posted

А есть основания для такого громкого заголовка?

Как установили, что это именно уязвимость ocstore 2?

да еще новая?

 

А что были старые?

У вас есть какая-то информация на этот счет?

  • +1 2

Share this post

Link to post
Share on other sites

spectre    1,004

spectre
Posted
16 минут назад, sitecreator сказал:

А есть основания для такого громкого заголовка?

Как установили, что это именно уязвимость ocstore 2?

да еще новая?

 

за последние недели 2 лечил с десяток сайтов с такими симптомами, все одинаковое, все ocstore 2.1 или 2.3, это довольно "кучно" для одинаковой инфекции

 

либо до старой добрались либо таки новая, но обычно опенкарт довольно защищен и ломается практически всегда через админ админ или дырки с опенкарт2х 3х

Share this post

Link to post
Share on other sites

Vladislavchik1989    5

Vladislavchik1989
Posted

сегодня на одном из сайтов снова вернулись файлы. как писали выше, нашел файл seo.php - почистил и почистил те же что и были файлы. жду

Share this post

Link to post
Share on other sites

Vladislavchik1989    5

Vladislavchik1989
Posted
3 часа назад, sitecreator сказал:

Как установили, что это именно уязвимость ocstore 2?

ну не я громко заявил - техподдержка таймвеба так пишет, мол на многих ocstore такая бяка с 22 мая уже третьи сутки

Share this post

Link to post
Share on other sites

sitecreator    1,003

sitecreator
Posted
22 часа назад, Vladislavchik1989 сказал:

удаление данных файлов помогло

 

причину вы так и не поняли. а это значит, что повторится.

 

7 часов назад, Vladislavchik1989 сказал:

мол на многих ocstore такая бяка

 

это ничего не значит. т.е. общие слова.

без конкретики нечего обсуждать.

 

Если был взлом, то вряд ли через сам движок. Через один из модулей - в это еще можно поверить.

Через открытый всему миру лог error.log - это тоже допускаю. А там и пароль от БД может проскочить.

Через открытый всему миру ZIP с копией файлов сайта - это тоже допускаю. 

Сколько раз я видел архив ZIP (бекап) в корне сайта с названием сайта.   а в архиве есть все.

 

С таким подходом многих пользователей и уязвимостей не нужно никаких.

 

Конкретику заражения хотелось бы узнать.

Ведь уязвивмостей в самом движке то не найдено за долгие годы.

Share this post

Link to post
Share on other sites

sitecreator    1,003

sitecreator
Posted

Вот на этой неделе пишет один заказчик про взлом.

посмотрел я какие он мне доступы ранее давал:

 

admin
adminadmin

 

Как вы думаете стоит мне в первую очередь думать об уязвимости или о слабости (мягко говоря) пароля в админку?

Share this post

Link to post
Share on other sites

markimax    2,347

markimax
Posted
2 часа назад, sitecreator сказал:

Вот на этой неделе пишет один заказчик про взлом.

посмотрел я какие он мне доступы ранее давал:

 

admin
adminadmin

 

Как вы думаете стоит мне в первую очередь думать об уязвимости или о слабости (мягко говоря) пароля в админку?

https://ru.wikipedia.org/wiki/1234_год

 

Ребята, вы даете каждый день логины и пароли мне, для работы (я могу судить)
И 50% имеют самый простейший пароль который можно бутфорсом взломать за одну минуту (да обычно 5 символьный)
Я предупреждаю
Ребята 6-ти значный пароль ломается бутфорсом за 10 минут

PS htaccess IP ;)

Share this post

Link to post
Share on other sites

ampeklol    0

ampeklol
Posted (edited)

расскажу маленькую историю про тайм веб  и свой личный опыт оттуда.

пришел туда от Sweb  так как цены и диски были дороже

имели тариф на timeweb VDS/ популярный 

имею личную почту и доменную . всё шло нормально 

на сайте исключительно темы и дополнения от разработчиков покупал всё на этому форуме.

Аккаунты давал разработчикам - временные и в тот же день эти аккаунты удалял.

и тут я как то попал в папку спам на личном аккаунте почты и смотрю что сообщение пришло от моей почте мне с каким то спамом (не предал значение)прошло еще 2 недели и тут понеслась каша, на личную почту сыпится  спам от моей же почты +- 10-20 спам писем. опять не предал значение и тут решил на почте домене посмотреть спам и к моему удивлению там такая же ситуация от доменной почты сайта идет спам  - мне же . Думал мало ли схватил вирус для тестового домена и он на весь вдс пошел. удалил всё под 0 и заново установил главный сайт быстро из бэкапов достал категории и seo категории и загрузил товары за 2 часа, всё сайт в штатном режиме. Тут не проходит 3-4 дня опять сыпаться спам начал на личную почту и доменную. Терпел это всё более 1 месяца и тут пришло сообщение о Яндекса ( моего любимого ) купон на 4000р с возможность попробовать их yandex.cloud долго решался перейти, и перешел на яндекс cloud. В заключение спам пропал в тот же день. и до сих пор(1 месяц спустя) никакого спама.

 

добавлю сайт на sweb был 2 года - без спама.

теперь сайт на yandex.cloud 1 месяц - без спама.

 

После этой истории никому бы не советовал этот Timeweb

Edited by ampeklol

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  
Followers 0
Go To Topic Listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.

  I accept