Взломали чистый ocstore, без модулей и прочего

[MFX]

Здравствуйте!

 

Установил ocstore пока наполняли товарами(руками, так как их было всего 70), сайт был отключен, потом и вовсе на время забыли про сайт. Проходит несколько месяцев, заходим на сайт и вдруг видим, что в разрешениях непонятная штука, чтобы что-то загрузить и upload, заходим в модификаторы, видим, что там пару дней назад был установлен какой-то модуль. Хотя пару дней назад никто к сайту этому не прикасался!

Модификатор удалили, но потом заметили, что в разделе разрешения, где указываются переходы из модулей в нем появились новые отсылки, ведущие к смене пароля и просто информации, на AnonymousFox - ShellAuto v4 (в шапке сайта указывается, куда переходим). Ну тут дошло, что модификатор мог навредить системе. начали смотреть увидели кучу разного:

 

Вопрос. Если пароль был нестандартным и длинным и логин отличался от стандартного. Каким образом можно обезопасить себя от дальнейших взломов?

 

И в каком месте находятся эти heading_title?) Ну в системе, чтобы почистить!)

Змінено 18 червня 2020 користувачем MFX

[chukcha]

Вы просто раньше не замечали promotion.php

[MFX]

7 минут назад, chukcha сказал:

Вы просто раньше не замечали promotion.php

Да там дата установки какого-то prz.ocmod.zip(название может быть неточным, плохо помню как назывался, но вроде так) была 15.06.2020.. А до этого просто установили движ, закинули лого, набили товара и бросили сайт, на время пандемии, вот только руки до него дошли и тут такая штука!) Там на одной из heading_title есть ввод пароля и отправки его куда-то, а другая тема в расширениях появлялась, она я так понял грузила файлы в папку admin, я загрузил через нее логотип с уникальным названием и увидел его в этой папке. И ссылка на страницу, со скачкой софта для взлома и видео инструкция к нему!)

[Venter]

10 минут назад, MFX сказал:

Да там дата установки какого-то prz.ocmod.zip(название может быть неточным, плохо помню как назывался, но вроде так) была 15.06.2020.. А до этого просто установили движ, закинули лого, набили товара и бросили сайт, на время пандемии, вот только руки до него дошли и тут такая штука!) Там на одной из heading_title есть ввод пароля и отправки его куда-то, а другая тема в расширениях появлялась, она я так понял грузила файлы в папку admin, я загрузил через нее логотип с уникальным названием и увидел его в этой папке. И ссылка на страницу, со скачкой софта для взлома и видео инструкция к нему!)

Просто установили движ, кинули товары и бросили сайт.... Да среди вас шпионы....? 

[AlexDW]

 

[prochet]

33 минуты назад, AlexDW сказал:

 

У меня есть сайт, который ломают раз в неделю стабильно. Могу дать доступ и все лицензии. И логи доступа все чистые и каждые 3 дня меняю все пароли

[MFX]

2 часа назад, AlexDW сказал:

 

Варез исключен. Так как кроме движка ничего не стояло. Только товары занесли и фото которые сами на фотошопе сделали!

 

_____________________________________________________________________

 

С проблемой разобрались, проблема ни в опенкарте. <!--end-->

Змінено 18 червня 2020 користувачем MFX

[MFX]

2 часа назад, Venter сказал:

Просто установили движ, кинули товары и бросили сайт.... Да среди вас шпионы....? 

Это вы о чем!?)

[mazein]

6 часов назад, MFX сказал:

С проблемой разобрались, проблема ни в опенкарте

 

Так в чём же?

[Yoda]

24 минуты назад, mazein сказал:

 

Так в чём же?

admin admin!
Ну или варез!

[retterwien]

А написать в чем проблема? Проблематично? На будущее для остальных!?

[MFX]

Не знаю можно ли тут ссылку оставлять такого типа, но оставлю... https://anonymousfox[[.]]com/

Там есть видео и так же сам файл к которому видео инструкция.

_______________________________________________________________

Варез тут ни причем, повторюсь, кроме движка ocstore (актуальная версия), скачанного отсюда

ничего более ни скачивалось и не устанавливалось.

_______________________________________________________________

Пароль и логин от админки был не admin. Все имело уникальное значение.

_______________________________________________________________

 

Челом(хакером типа) был создан файл в корне директории ini.php - на который активно ругаются анвиры. папки id и на скрине. В файлах большое количество ip с портами и доступами к ним. Так же идут скрипты к какому-то блокчейну.

 

 

В остальном вроде ничего ни тронуто, все с теми же размерами.

 

 

Но я так и не понял, как удалить то, что в самом первом вопросе heading_title которых штук 5 появилось!?)

[trialon77]

Чот так и не понял, как взломали то?)) 

На аккаунте, там где сайт лежит, других сайтов нету? На вордпресс к примеру? 

[lexxkrt]

взломали хостинг, причем тут опенкарт

[MFX]

В 19.06.2020 в 17:57, trialon77 сказал:

Чот так и не понял, как взломали то?)) 

На аккаунте, там где сайт лежит, других сайтов нету? На вордпресс к примеру? 

cpanel взломали хостера, используя домен и порт, который вычислили через софт, как я понял! Мало того что хакнули, так еще и залили софтину какую-то(кучу файлов, различных), из-за которой проругались вообще все кто только мог, а https://publicdomainregistry.com/ вообще заблокировали домен, то есть он есть и не заблокирован в личном кабинете whois.com, ns адреса для домена направлены на хостинг, хостинг сказали домен резолвят, а вот остальные уже никто не видит его.

 

nslookup ****** 8.8.8.8
Server: dns.google
Address: 8.8.8.8

*** dns.google can't find *******: Non-existent domain  |  *** служба DNS.google не может найти *********: несуществующий домен

 

Тем самым они не просто хакнули хостера, но еще и насрали с блокировкой домена.

 

Ладно еще ничего не успели сделать толком. Понадобилось лишь бэкапнуть базу данных и приобрести новый домен, куда залили чистый ocstore и залили базу данных с изображениями, чтобы восстановить все на новом домене...

 

______________________________________________________

Один вопрос остался, при заливке базы данных, эта хрень все еще осталась:

 

Где ее убрать!? Куда глядеть!?

[lexxkrt]

в файлах, admin/controller/extension

сравни с оригинальной папкой, и удали лишние

 

если модули/расширения не добавлял вообще можешь удалить (заархивируй перед удалением) папку и залить из дистрибутива чистую

Змінено 22 червня 2020 користувачем lexxkrt

[MFX]

2 часа назад, lexxkrt сказал:

в файлах, admin/controller/extension

сравни с оригинальной папкой, и удали лишние

 

если модули/расширения не добавлял вообще можешь удалить (заархивируй перед удалением) папку и залить из дистрибутива чистую

Спасибо!)

 

По пути admin/controller/extension/extension - находились файлы которые пропустил, они то как раз и выводились тут!) Спасибо за помощь!)

[sanya94]

В 18.06.2020 в 20:57, prochet сказал:

У меня есть сайт, который ломают раз в неделю стабильно. Могу дать доступ и все лицензии. И логи доступа все чистые и каждые 3 дня меняю все пароли

Так смотри логи, я нашел адрес школьника который в чате обзывался на меня, он успакоился сразу и перестал обзыватся

[Vova2701]

В 19.06.2020 в 16:00, MFX сказал:

Не знаю можно ли тут ссылку оставлять такого типа, но оставлю... https://anonymousfox[[.]]com/

Там есть видео и так же сам файл к которому видео инструкция.

_______________________________________________________________

Варез тут ни причем, повторюсь, кроме движка ocstore (актуальная версия), скачанного отсюда

ничего более ни скачивалось и не устанавливалось.

_______________________________________________________________

Пароль и логин от админки был не admin. Все имело уникальное значение.

_______________________________________________________________

 

Челом(хакером типа) был создан файл в корне директории ini.php - на который активно ругаются анвиры. папки id и на скрине. В файлах большое количество ip с портами и доступами к ним. Так же идут скрипты к какому-то блокчейну.

 

 

В остальном вроде ничего ни тронуто, все с теми же размерами.

 

 

Но я так и не понял, как удалить то, что в самом первом вопросе heading_title которых штук 5 появилось!?)

это по какому пути находится? или сразу в корне сайта?

[MFX]

6 часов назад, Vova2701 сказал:

это по какому пути находится? или сразу в корне сайта?

сразу в корне сайта!) Там просто доппапка!

[Vova2701]

В 15.12.2021 в 16:22, MFX сказал:

сразу в корне сайта!) Там просто доппапка!

все перекопал, нигде ничего нет нового, во всех папках последние изменения были год назад и ранее, но день через день логин меняется на AnonymousFox_svu..., антивирусы ничего не видят, как и хостер)