Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Взломали чистый ocstore, без модулей и прочего


Recommended Posts

Здравствуйте!

 

Установил ocstore пока наполняли товарами(руками, так как их было всего 70), сайт был отключен, потом и вовсе на время забыли про сайт. Проходит несколько месяцев, заходим на сайт и вдруг видим, что в разрешениях непонятная штука, чтобы что-то загрузить и upload, заходим в модификаторы, видим, что там пару дней назад был установлен какой-то модуль. Хотя пару дней назад никто к сайту этому не прикасался!

Модификатор удалили, но потом заметили, что в разделе разрешения, где указываются переходы из модулей в нем появились новые отсылки, ведущие к смене пароля и просто информации, на AnonymousFox - ShellAuto v4 (в шапке сайта указывается, куда переходим). Ну тут дошло, что модификатор мог навредить системе. начали смотреть увидели кучу разного:
image.thumb.png.7140d24320038218b0741624b811091f.png

 

Вопрос. Если пароль был нестандартным и длинным и логин отличался от стандартного. Каким образом можно обезопасить себя от дальнейших взломов?

 

И в каком месте находятся эти heading_title?) Ну в системе, чтобы почистить!)

Змінено користувачем MFX
Надіслати
Поділитися на інших сайтах


7 минут назад, chukcha сказал:

Вы просто раньше не замечали promotion.php

Да там дата установки какого-то prz.ocmod.zip(название может быть неточным, плохо помню как назывался, но вроде так) была 15.06.2020.. А до этого просто установили движ, закинули лого, набили товара и бросили сайт, на время пандемии, вот только руки до него дошли и тут такая штука!) Там на одной из heading_title есть ввод пароля и отправки его куда-то, а другая тема в расширениях появлялась, она я так понял грузила файлы в папку admin, я загрузил через нее логотип с уникальным названием и увидел его в этой папке. И ссылка на страницу, со скачкой софта для взлома и видео инструкция к нему!)

Надіслати
Поділитися на інших сайтах


10 минут назад, MFX сказал:

Да там дата установки какого-то prz.ocmod.zip(название может быть неточным, плохо помню как назывался, но вроде так) была 15.06.2020.. А до этого просто установили движ, закинули лого, набили товара и бросили сайт, на время пандемии, вот только руки до него дошли и тут такая штука!) Там на одной из heading_title есть ввод пароля и отправки его куда-то, а другая тема в расширениях появлялась, она я так понял грузила файлы в папку admin, я загрузил через нее логотип с уникальным названием и увидел его в этой папке. И ссылка на страницу, со скачкой софта для взлома и видео инструкция к нему!)

Просто установили движ, кинули товары и бросили сайт.... Да среди вас шпионы....? 

Надіслати
Поділитися на інших сайтах

33 минуты назад, AlexDW сказал:

 

У меня есть сайт, который ломают раз в неделю стабильно. Могу дать доступ и все лицензии. И логи доступа все чистые и каждые 3 дня меняю все пароли

Надіслати
Поділитися на інших сайтах


2 часа назад, AlexDW сказал:

 

Варез исключен. Так как кроме движка ничего не стояло. Только товары занесли и фото которые сами на фотошопе сделали!

 

_____________________________________________________________________

 

С проблемой разобрались, проблема ни в опенкарте. <!--end-->

Змінено користувачем MFX
Надіслати
Поділитися на інших сайтах


6 часов назад, MFX сказал:

С проблемой разобрались, проблема ни в опенкарте

 

Так в чём же?

Надіслати
Поділитися на інших сайтах

А написать в чем проблема? Проблематично? На будущее для остальных!?

Надіслати
Поділитися на інших сайтах


Не знаю можно ли тут ссылку оставлять такого типа, но оставлю... https://anonymousfox[[.]]com/

Там есть видео и так же сам файл к которому видео инструкция.

_______________________________________________________________

Варез тут ни причем, повторюсь, кроме движка ocstore (актуальная версия), скачанного отсюда

ничего более ни скачивалось и не устанавливалось.

_______________________________________________________________

Пароль и логин от админки был не admin. Все имело уникальное значение.

_______________________________________________________________

 

Челом(хакером типа) был создан файл в корне директории ini.php - на который активно ругаются анвиры. папки id и на скрине. В файлах большое количество ip с портами и доступами к ним. Так же идут скрипты к какому-то блокчейну.

 

image.png.71c000ac6ee4fa6100bcdcd13840aa2c.png

 

В остальном вроде ничего ни тронуто, все с теми же размерами.

 

 

Но я так и не понял, как удалить то, что в самом первом вопросе heading_title которых штук 5 появилось!?)

Надіслати
Поділитися на інших сайтах


В 19.06.2020 в 17:57, trialon77 сказал:

Чот так и не понял, как взломали то?)) 

На аккаунте, там где сайт лежит, других сайтов нету? На вордпресс к примеру? 

cpanel взломали хостера, используя домен и порт, который вычислили через софт, как я понял! Мало того что хакнули, так еще и залили софтину какую-то(кучу файлов, различных), из-за которой проругались вообще все кто только мог, а https://publicdomainregistry.com/ вообще заблокировали домен, то есть он есть и не заблокирован в личном кабинете whois.com, ns адреса для домена направлены на хостинг, хостинг сказали домен резолвят, а вот остальные уже никто не видит его.

 

nslookup ****** 8.8.8.8
Server: dns.google
Address: 8.8.8.8

*** dns.google can't find *******: Non-existent domain  |  *** служба DNS.google не может найти *********: несуществующий домен

 

Тем самым они не просто хакнули хостера, но еще и насрали с блокировкой домена.

 

Ладно еще ничего не успели сделать толком. Понадобилось лишь бэкапнуть базу данных и приобрести новый домен, куда залили чистый ocstore и залили базу данных с изображениями, чтобы восстановить все на новом домене...

 

______________________________________________________

Один вопрос остался, при заливке базы данных, эта хрень все еще осталась:

image.thumb.png.010ed761a24914d3ffa7ad546a9bbcd8.png

 

Где ее убрать!? Куда глядеть!?

Надіслати
Поділитися на інших сайтах


в файлах, admin/controller/extension

сравни с оригинальной папкой, и удали лишние

 

если модули/расширения не добавлял вообще можешь удалить (заархивируй перед удалением) папку и залить из дистрибутива чистую

Змінено користувачем lexxkrt
Надіслати
Поділитися на інших сайтах


2 часа назад, lexxkrt сказал:

в файлах, admin/controller/extension

сравни с оригинальной папкой, и удали лишние

 

если модули/расширения не добавлял вообще можешь удалить (заархивируй перед удалением) папку и залить из дистрибутива чистую

Спасибо!)

 

По пути admin/controller/extension/extension - находились файлы которые пропустил, они то как раз и выводились тут!) Спасибо за помощь!)

Надіслати
Поділитися на інших сайтах


  • 2 weeks later...
В 18.06.2020 в 20:57, prochet сказал:

У меня есть сайт, который ломают раз в неделю стабильно. Могу дать доступ и все лицензии. И логи доступа все чистые и каждые 3 дня меняю все пароли

Так смотри логи, я нашел адрес школьника который в чате обзывался на меня, он успакоился сразу и перестал обзыватся

Надіслати
Поділитися на інших сайтах


  • 1 year later...
В 19.06.2020 в 16:00, MFX сказал:

Не знаю можно ли тут ссылку оставлять такого типа, но оставлю... https://anonymousfox[[.]]com/

Там есть видео и так же сам файл к которому видео инструкция.

_______________________________________________________________

Варез тут ни причем, повторюсь, кроме движка ocstore (актуальная версия), скачанного отсюда

ничего более ни скачивалось и не устанавливалось.

_______________________________________________________________

Пароль и логин от админки был не admin. Все имело уникальное значение.

_______________________________________________________________

 

Челом(хакером типа) был создан файл в корне директории ini.php - на который активно ругаются анвиры. папки id и на скрине. В файлах большое количество ip с портами и доступами к ним. Так же идут скрипты к какому-то блокчейну.

 

image.png.71c000ac6ee4fa6100bcdcd13840aa2c.png

 

В остальном вроде ничего ни тронуто, все с теми же размерами.

 

 

Но я так и не понял, как удалить то, что в самом первом вопросе heading_title которых штук 5 появилось!?)

это по какому пути находится? или сразу в корне сайта?

Надіслати
Поділитися на інших сайтах


В 15.12.2021 в 16:22, MFX сказал:

сразу в корне сайта!) Там просто доппапка!

все перекопал, нигде ничего нет нового, во всех папках последние изменения были год назад и ранее, но день через день логин меняется на AnonymousFox_svu..., антивирусы ничего не видят, как и хостер)

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.