Jump to content
Sign in to follow this  
pashast

Сбрутфорсили пароль и залили шелл

Recommended Posts

Пришла жалоба от хостера что сайт рассылает спам. Сравнил с чистым бекапом, нашел пачку левых файлов. Попросил логи у поддержки, там такая картина

POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
всего около 600 попыток

GET /admin/index.php?route=common/home&token=c0a442f32a4e1dd9b271127131f1e99c HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
GET /admin/index.php?route=common/home&token=d3e9f9cba88cb7b201cbdd7d61a3a4a7 HTTP/1.0
POST /admin/index.php?route=catalog/download/upload&token=d3e9f9cba88cb7b201cbdd7d61a3a4a7 HTTP/1.0
POST /download/info.php.3e824d374174a7b9cd32efa62de4603f HTTP/1.0

Сменил пароль, поставил капчу на вход, вроде работает 

Вопрос в другом, как злоумышленик залил шелл через админку? Как этого можно избежать?

Share this post


Link to post
Share on other sites

Я не помню при каких условиях можно запустить файл с таким расширением (info.php.3e824d374174a7b9cd32efa62de4603f ). Смотрите настройки сервера. Файл туда можно загрузить еще и из витрины

 

Залить шелл имея доступ к админке OpenCart можно еще:

  • Через лог ошибок. переименовываешь лог в *.php/*.php5/*.phtml. Вызываешь нужную ошибку, в лог записывается <?php eval($_GET['a']);  ?> (не помню где именно ошибку вызывать, но не раз с таким сталкивался в OpenCart)
  • Через vqmod manager (если установлен), там можно исходники vqmod файлов редактировать. 
  • Через SQL Executor

Еще куча способов, зависит от набора модулей. Но это не главное - главное закрыть доступ к админке, чтобы вообще избежать таких ситуаций. Поставьте HTTP авторизацию и сложный пароль, чтобы не брутился. Думаю, будет достаточно.

Edited by halfhope

Share this post


Link to post
Share on other sites

ВКМенеджер не ставлю именно по этой причине.

 

И да, есть еще же модуль хтмл блок с возможностью заливки пхп кода.

Точно, возможностей масса.

 

Тогда пароли по 14 спецсимволов - лучшее решение ))

Edited by pashast

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By Miriam76
      После переноса сайта с локалки на хостинг сайт не пускает в админку. Сброс пароля всеми описанными на форуме способами не работает. В базе все меняется, пароль перепрописывается. Но войти с новым паролем нельзя. Ошибки не выдает, просто не работают кнопки входа и сброса.Самое интересное, на локалке после архивации и экспорта базы тоже не пускает в админку. Что можно сделать в этой ситуации?
    • By ocdroid
      View File


      Show/Hide pass**** | Показать скрыть пароль
      На странице авторизации добавляет кнопку показать/скрыть пароль.
      Распространяется as is
      Тестировалось на 2.3
      Submitter ocdroid Submitted 02/11/2019 Category Design & Navigation Системные требования Сайт разработчика Старая цена Метод активации Без активации Ioncube Loader Нет OpenCart 2.3 ocStore 2.3 OpenCart.Pro, ocShop Не проверялось Get request to server of developer Нет  
    • By ocdroid
      На странице авторизации добавляет кнопку показать/скрыть пароль.
      Распространяется as is
      Тестировалось на 2.3
    • By ArtemPitov
      Модуль позволит обезопасить ваш интернет-магазин на базе OpenCart 2.х от взлома, обеспечит надежную защиту административной части магазина. Даже если вы случайно попались на уловки мошенников или злоумышленник получил данные для входа - не проблема! Модуль обеспечит надежную защиту, просто настройте модуль и можете забыть о проблемах с безопасностью!
       

       
      Модуль умеет :
      Открывать доступ к административной части магазина по секретному ключу. Пример: www.site.com/admin?my_secret_key. Видео: http://take.ms/NgocS Открывать доступ для разрешенных IP адресов  Добавлять капчу reCaptcha от google при авторизации. Капча усложняет процесс перебора паролей (брута)  
      В планах:
      Добавить 2х этапную авторизацию от google. Усложнить процесс создания секретного ключа  Добавить возможность задавать ссылку для переадресации   
      Лицензия:
      Модуль продается с лицензией на один сайт, одна покупка = один домен Покупая копию модуля вы получаете право только на использование. Распространяя модуль платно или бесплатно вы нарушает лицензию - это грозит обнулением покупки, а так же уголовной ответственность предусмотренной статей 146 УК РФ (Нарушение авторских и смежных прав)  Автор оставляет за собой право изменят условия предоставления лицензии, цену и строк продления дополнения. Все доработки и изменения функционала не входят в стоимость и оплачиваются отдельно. Модуль официально продается только через площадку opencartforum, другое получения дополнения считается не легальным.  
      Тип распространения:
      as is (как есть)  
      Установка:
      Загрузить через стандартный установщик Opencart После установки в настройках магазина появится пункт "Защита админ панели" Важно! Чтобы работала reCaptcha нужно настроить модуль "Дополнения → Captcha → reCaptcha"  Важно! Если у вас переименованная папка admin модуль не будет работать  
    • By ArtemPitov
      498.00 руб
      Скачать/Купить дополнение


      Защита от вирусов и хакеров
       
      Модуль позволит обезопасить ваш интернет-магазин на базе OpenCart 2.х от взлома, обеспечит надежную защиту административной части магазина. Даже если вы случайно попались на уловки мошенников или злоумышленник получил данные для входа - не проблема! Модуль обеспечит надежную защиту, просто настройте модуль и можете забыть о проблемах с безопасностью!
       

       
      Модуль умеет :
      Открывать доступ к административной части магазина по секретному ключу. Пример: www.site.com/admin?my_secret_key. Видео: http://take.ms/NgocS Открывать доступ для разрешенных IP адресов  Добавлять капчу reCaptcha от google при авторизации. Капча усложняет процесс перебора паролей (брута)  
      В планах:
      Добавить 2х этапную авторизацию от google. Усложнить процесс создания секретного ключа  Добавить возможность задавать ссылку для переадресации   
      Лицензия:
      Модуль продается с лицензией на один сайт, одна покупка = один домен Покупая копию модуля вы получаете право только на использование. Распространяя модуль платно или бесплатно вы нарушает лицензию - это грозит обнулением покупки, а так же уголовной ответственность предусмотренной статей 146 УК РФ (Нарушение авторских и смежных прав)  Автор оставляет за собой право изменят условия предоставления лицензии, цену и строк продления дополнения. Все доработки и изменения функционала не входят в стоимость и оплачиваются отдельно. Модуль официально продается только через площадку opencartforum, другое получения дополнения считается не легальным.  
      Тип распространения:
      as is (как есть)  
      Установка:
      Загрузить через стандартный установщик Opencart После установки в настройках магазина появится пункт "Защита админ панели" Важно! Чтобы работала reCaptcha нужно настроить модуль "Дополнения → Captcha → reCaptcha"  Важно! Если у вас переименованная папка admin модуль не будет работать  
      Добавил ArtemPitov Добавлено 14.01.2018 Категория Модули Системные требования PHP 5.4 и выше Сайт разработчика https://pitov.pro Старая цена 1190 Метод активации Без активации Ioncube Loader Нет OpenCart 2.3
      2.2
      2.1
      2.0 ocStore 2.3
      2.2
      2.1 OpenCart.Pro, ocShop Opencart.pro 2.3
      Opencart.pro 2.1
      OcShop 2.0.3.х
      Не проверялось Обращение к серверу разработчика  
  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.