Jump to content
MFX

Взломали чистый ocstore, без модулей и прочего

Recommended Posts

Posted (edited)

Здравствуйте!

 

Установил ocstore пока наполняли товарами(руками, так как их было всего 70), сайт был отключен, потом и вовсе на время забыли про сайт. Проходит несколько месяцев, заходим на сайт и вдруг видим, что в разрешениях непонятная штука, чтобы что-то загрузить и upload, заходим в модификаторы, видим, что там пару дней назад был установлен какой-то модуль. Хотя пару дней назад никто к сайту этому не прикасался!

Модификатор удалили, но потом заметили, что в разделе разрешения, где указываются переходы из модулей в нем появились новые отсылки, ведущие к смене пароля и просто информации, на AnonymousFox - ShellAuto v4 (в шапке сайта указывается, куда переходим). Ну тут дошло, что модификатор мог навредить системе. начали смотреть увидели кучу разного:
image.thumb.png.7140d24320038218b0741624b811091f.png

 

Вопрос. Если пароль был нестандартным и длинным и логин отличался от стандартного. Каким образом можно обезопасить себя от дальнейших взломов?

 

И в каком месте находятся эти heading_title?) Ну в системе, чтобы почистить!)

Edited by MFX

Share this post


Link to post
Share on other sites

Вы просто раньше не замечали promotion.php

  • +1 1

Share this post


Link to post
Share on other sites
7 минут назад, chukcha сказал:

Вы просто раньше не замечали promotion.php

Да там дата установки какого-то prz.ocmod.zip(название может быть неточным, плохо помню как назывался, но вроде так) была 15.06.2020.. А до этого просто установили движ, закинули лого, набили товара и бросили сайт, на время пандемии, вот только руки до него дошли и тут такая штука!) Там на одной из heading_title есть ввод пароля и отправки его куда-то, а другая тема в расширениях появлялась, она я так понял грузила файлы в папку admin, я загрузил через нее логотип с уникальным названием и увидел его в этой папке. И ссылка на страницу, со скачкой софта для взлома и видео инструкция к нему!)

Share this post


Link to post
Share on other sites
10 минут назад, MFX сказал:

Да там дата установки какого-то prz.ocmod.zip(название может быть неточным, плохо помню как назывался, но вроде так) была 15.06.2020.. А до этого просто установили движ, закинули лого, набили товара и бросили сайт, на время пандемии, вот только руки до него дошли и тут такая штука!) Там на одной из heading_title есть ввод пароля и отправки его куда-то, а другая тема в расширениях появлялась, она я так понял грузила файлы в папку admin, я загрузил через нее логотип с уникальным названием и увидел его в этой папке. И ссылка на страницу, со скачкой софта для взлома и видео инструкция к нему!)

Просто установили движ, кинули товары и бросили сайт.... Да среди вас шпионы....? 

Share this post


Link to post
Share on other sites

 

Share this post


Link to post
Share on other sites
33 минуты назад, AlexDW сказал:

 

У меня есть сайт, который ломают раз в неделю стабильно. Могу дать доступ и все лицензии. И логи доступа все чистые и каждые 3 дня меняю все пароли

Share this post


Link to post
Share on other sites
Posted (edited)
2 часа назад, AlexDW сказал:

 

Варез исключен. Так как кроме движка ничего не стояло. Только товары занесли и фото которые сами на фотошопе сделали!

 

_____________________________________________________________________

 

С проблемой разобрались, проблема ни в опенкарте. <!--end-->

Edited by MFX

Share this post


Link to post
Share on other sites
2 часа назад, Venter сказал:

Просто установили движ, кинули товары и бросили сайт.... Да среди вас шпионы....? 

Это вы о чем!?)

Share this post


Link to post
Share on other sites
6 часов назад, MFX сказал:

С проблемой разобрались, проблема ни в опенкарте

 

Так в чём же?

Share this post


Link to post
Share on other sites
24 минуты назад, mazein сказал:

 

Так в чём же?

admin admin!
Ну или варез!

Share this post


Link to post
Share on other sites

А написать в чем проблема? Проблематично? На будущее для остальных!?

Share this post


Link to post
Share on other sites

Не знаю можно ли тут ссылку оставлять такого типа, но оставлю... https://anonymousfox[[.]]com/

Там есть видео и так же сам файл к которому видео инструкция.

_______________________________________________________________

Варез тут ни причем, повторюсь, кроме движка ocstore (актуальная версия), скачанного отсюда

ничего более ни скачивалось и не устанавливалось.

_______________________________________________________________

Пароль и логин от админки был не admin. Все имело уникальное значение.

_______________________________________________________________

 

Челом(хакером типа) был создан файл в корне директории ini.php - на который активно ругаются анвиры. папки id и на скрине. В файлах большое количество ip с портами и доступами к ним. Так же идут скрипты к какому-то блокчейну.

 

image.png.71c000ac6ee4fa6100bcdcd13840aa2c.png

 

В остальном вроде ничего ни тронуто, все с теми же размерами.

 

 

Но я так и не понял, как удалить то, что в самом первом вопросе heading_title которых штук 5 появилось!?)

Share this post


Link to post
Share on other sites

Чот так и не понял, как взломали то?)) 

На аккаунте, там где сайт лежит, других сайтов нету? На вордпресс к примеру? 

Share this post


Link to post
Share on other sites

взломали хостинг, причем тут опенкарт

Share this post


Link to post
Share on other sites
В 19.06.2020 в 17:57, trialon77 сказал:

Чот так и не понял, как взломали то?)) 

На аккаунте, там где сайт лежит, других сайтов нету? На вордпресс к примеру? 

cpanel взломали хостера, используя домен и порт, который вычислили через софт, как я понял! Мало того что хакнули, так еще и залили софтину какую-то(кучу файлов, различных), из-за которой проругались вообще все кто только мог, а https://publicdomainregistry.com/ вообще заблокировали домен, то есть он есть и не заблокирован в личном кабинете whois.com, ns адреса для домена направлены на хостинг, хостинг сказали домен резолвят, а вот остальные уже никто не видит его.

 

nslookup ****** 8.8.8.8
Server: dns.google
Address: 8.8.8.8

*** dns.google can't find *******: Non-existent domain  |  *** служба DNS.google не может найти *********: несуществующий домен

 

Тем самым они не просто хакнули хостера, но еще и насрали с блокировкой домена.

 

Ладно еще ничего не успели сделать толком. Понадобилось лишь бэкапнуть базу данных и приобрести новый домен, куда залили чистый ocstore и залили базу данных с изображениями, чтобы восстановить все на новом домене...

 

______________________________________________________

Один вопрос остался, при заливке базы данных, эта хрень все еще осталась:

image.thumb.png.010ed761a24914d3ffa7ad546a9bbcd8.png

 

Где ее убрать!? Куда глядеть!?

Share this post


Link to post
Share on other sites
Posted (edited)

в файлах, admin/controller/extension

сравни с оригинальной папкой, и удали лишние

 

если модули/расширения не добавлял вообще можешь удалить (заархивируй перед удалением) папку и залить из дистрибутива чистую

Edited by lexxkrt

Share this post


Link to post
Share on other sites
2 часа назад, lexxkrt сказал:

в файлах, admin/controller/extension

сравни с оригинальной папкой, и удали лишние

 

если модули/расширения не добавлял вообще можешь удалить (заархивируй перед удалением) папку и залить из дистрибутива чистую

Спасибо!)

 

По пути admin/controller/extension/extension - находились файлы которые пропустил, они то как раз и выводились тут!) Спасибо за помощь!)

Share this post


Link to post
Share on other sites
В 18.06.2020 в 20:57, prochet сказал:

У меня есть сайт, который ломают раз в неделю стабильно. Могу дать доступ и все лицензии. И логи доступа все чистые и каждые 3 дня меняю все пароли

Так смотри логи, я нашел адрес школьника который в чате обзывался на меня, он успакоился сразу и перестал обзыватся

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.