Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Сбрутфорсили пароль и залили шелл


pashast

Recommended Posts

Пришла жалоба от хостера что сайт рассылает спам. Сравнил с чистым бекапом, нашел пачку левых файлов. Попросил логи у поддержки, там такая картина

POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
всего около 600 попыток

GET /admin/index.php?route=common/home&token=c0a442f32a4e1dd9b271127131f1e99c HTTP/1.0
POST /admin/index.php?route=common/login HTTP/1.0
GET /admin/index.php?route=common/home&token=d3e9f9cba88cb7b201cbdd7d61a3a4a7 HTTP/1.0
POST /admin/index.php?route=catalog/download/upload&token=d3e9f9cba88cb7b201cbdd7d61a3a4a7 HTTP/1.0
POST /download/info.php.3e824d374174a7b9cd32efa62de4603f HTTP/1.0

Сменил пароль, поставил капчу на вход, вроде работает 

Вопрос в другом, как злоумышленик залил шелл через админку? Как этого можно избежать?

Надіслати
Поділитися на інших сайтах

Я не помню при каких условиях можно запустить файл с таким расширением (info.php.3e824d374174a7b9cd32efa62de4603f ). Смотрите настройки сервера. Файл туда можно загрузить еще и из витрины

 

Залить шелл имея доступ к админке OpenCart можно еще:

  • Через лог ошибок. переименовываешь лог в *.php/*.php5/*.phtml. Вызываешь нужную ошибку, в лог записывается <?php eval($_GET['a']);  ?> (не помню где именно ошибку вызывать, но не раз с таким сталкивался в OpenCart)
  • Через vqmod manager (если установлен), там можно исходники vqmod файлов редактировать. 
  • Через SQL Executor

Еще куча способов, зависит от набора модулей. Но это не главное - главное закрыть доступ к админке, чтобы вообще избежать таких ситуаций. Поставьте HTTP авторизацию и сложный пароль, чтобы не брутился. Думаю, будет достаточно.

Змінено користувачем halfhope
Надіслати
Поділитися на інших сайтах

ВКМенеджер не ставлю именно по этой причине.

 

И да, есть еще же модуль хтмл блок с возможностью заливки пхп кода.

Точно, возможностей масса.

 

Тогда пароли по 14 спецсимволов - лучшее решение ))

Змінено користувачем pashast
Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.