Сбрутфорсили пароль и залили шелл

[pashast]

Пришла жалоба от хостера что сайт рассылает спам. Сравнил с чистым бекапом, нашел пачку левых файлов. Попросил логи у поддержки, там такая картина

POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
всего около 600 попыток

GET /admin/index.php?route=common/home&token=c0a442f32a4e1dd9b271127131f1e99c HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
GET /admin/index.php?route=common/home&token=d3e9f9cba88cb7b201cbdd7d61a3a4a7 HTTP/1.0
POST /admin/index.php?route=catalog/download/upload&token=d3e9f9cba88cb7b201cbdd7d61a3a4a7 HTTP/1.0
POST /download/info.php.3e824d374174a7b9cd32efa62de4603f HTTP/1.0

Сменил пароль, поставил капчу на вход, вроде работает 

Вопрос в другом, как злоумышленик залил шелл через админку? Как этого можно избежать?

[halfhope]

Я не помню при каких условиях можно запустить файл с таким расширением (info.php.3e824d374174a7b9cd32efa62de4603f ). Смотрите настройки сервера. Файл туда можно загрузить еще и из витрины. 

 

Залить шелл имея доступ к админке OpenCart можно еще:

• Через лог ошибок. переименовываешь лог в *.php/*.php5/*.phtml. Вызываешь нужную ошибку, в лог записывается <?php eval($_GET['a']);  ?> (не помню где именно ошибку вызывать, но не раз с таким сталкивался в OpenCart)
• Через vqmod manager (если установлен), там можно исходники vqmod файлов редактировать. 
• Через SQL Executor

Еще куча способов, зависит от набора модулей. Но это не главное - главное закрыть доступ к админке, чтобы вообще избежать таких ситуаций. Поставьте HTTP авторизацию и сложный пароль, чтобы не брутился. Думаю, будет достаточно.

Змінено 20 травня 2015 користувачем halfhope

[pashast]

ВКМенеджер не ставлю именно по этой причине.

 

И да, есть еще же модуль хтмл блок с возможностью заливки пхп кода.

Точно, возможностей масса.

 

Тогда пароли по 14 спецсимволов - лучшее решение ))

Змінено 20 травня 2015 користувачем pashast