Взлом сайта

[ActiveSync]

Здравствуйте. Взломали сайт. Хостер сказал, что взлом был внутри. Я подозреваю, что ломали через папку download , т.к на ней почему то не стояли права 555. Так же есть подозрение, что взломали через сам лог сайта(error.txt), который тоже был доступен всем. Лога нет, т.к откатывали сайт. Есть тот, что от воскресенье. Какие действия мне нужно предпринять?

error.txt

Змінено 24 лютого 2016 користувачем ActiveSync

[chukcha]

Я подозреваю, что ломали через папку download

 

 

Так же есть подозрение, что взломали через сам лог сайта(error.txt)

 

 

 

Какие действия мне нужно предпринять?

 

 

Эти три пункта несовместимы.

 

Тем более нахрена нам показывать свой кривой лог ошибок. в 30метров

[markimax]

Надо искать откуда взломали

А почему вы уверены что через opencart взломали ?! Хостер сказал? Они и не такую муть могут сказать для "отмазки"

 

Сломать opencart очень тяжело.

Кстати у вас есть какие нибудь модули во фронте которые разрешают закачивать файлы на сервер. Типа бесплатных отзывов с возможностью загрузки картинок и т п ?

 

 

FAQ ОТВЕТ: ПОЧЕМУ МОДУЛЬ НЕ ДАЕТ СТОРОННИМ ПОЛЬЗОВАТЕЛЯМ ЗАГРУЖАТЬ ИЗОБРАЖЕНИЯ И ФАЙЛЫ НА СЕРВЕР В ОТЗЫВАХ

http://habrahabr.ru/post/224351/

Цитата:

    Здесь на помощь строителям демократии приходят и проблемы с настройкой try_files в nginx,
    и обрезание строки с помощью %00, и даже банальный обход проверки MIME и загрузки *.php напрямую
    (но это совсем тяжёлый случай, движки, грешащие этим, скорее всего имеют ещё пару десятков других дыр).

Т.е. иногда, защита зависит даже не от безопасного кода модуля, а от настроек хостера.

 

[ActiveSync]

Надо искать откуда взломали

А почему вы уверены что через opencart взломали ?! Хостер сказал? Они и не такую муть могут сказать для "отмазки"

 

Сломать opencart очень тяжело.

Кстати у вас есть какие нибудь модули во фронте которые разрешают закачивать файлы на сервер. Типа бесплатных отзывов с возможностью загрузки картинок и т п ?

 

 

FAQ ОТВЕТ: ПОЧЕМУ МОДУЛЬ НЕ ДАЕТ СТОРОННИМ ПОЛЬЗОВАТЕЛЯМ ЗАГРУЖАТЬ ИЗОБРАЖЕНИЯ И ФАЙЛЫ НА СЕРВЕР В ОТЗЫВАХ

http://habrahabr.ru/post/224351/

Цитата:

    Здесь на помощь строителям демократии приходят и проблемы с настройкой try_files в nginx,

    и обрезание строки с помощью %00, и даже банальный обход проверки MIME и загрузки *.php напрямую

    (но это совсем тяжёлый случай, движки, грешащие этим, скорее всего имеют ещё пару десятков других дыр).

Т.е. иногда, защита зависит даже не от безопасного кода модуля, а от настроек хостера.

 

 

Так таковых нет, отзывы стоят с вашего модуля cms pro. Мы бы заметили. 

Недавно сменили шаблон сайта, в самом шаблоне сайта в комплекте были xml файлы. Возможно в этом дело? Когда стоял старый дизайн, сайт ниразу не ломали, с учетом даже уязвимости с error.txt.

 

Хостер сказал, что взлом был изнутри. Больше мне ничего не известно.

Змінено 24 лютого 2016 користувачем ActiveSync

[markimax]

Так таковых нет, отзывы стоят с вашего модуля cms pro. Мы бы заметили. 

Недавно сменили шаблон сайта, в самом шаблоне сайта в комплекте были xml файлы. Возможно в этом дело? Когда стоял старый дизайн, сайт ниразу не ломали, с учетом даже уязвимости с error.txt.

 

Не думаю что взломали именно opencart

Путь хостер (если он такой "умный") предоставит доказательства своих слов, что взломали "изнутри"

 

Я подозреваю в 99% виноват хостер.

Opencart очень тяжело сломать, у него точка входа единая и все параметры проверяются.

 

Какая версия opencart у вас ?

[ActiveSync]

Версия opencart 1.5.5.1.

[markimax]

Версия opencart 1.5.5.1.

В этой версии не видел пробоев.

 

99% как я и писал - хостер виноват

[ActiveSync]

буду тогда добывать у хостера информацию.

[chukcha]

В этой версии не видел пробоев.

 

99% как я и писал - хостер виноват

есть...  сравните downloadы

[ActiveSync]

есть...  сравните downloadы

 

хватает ли установки прав 555 на папку download?

[chukcha]

Нужно еще в админке отключить проверку на запись в эту папку.

[ActiveSync]

Нужно еще в админке отключить проверку на запись в эту папку.

как это сделать "правильно", дабы мои клешки не напартачили и без этого поломаный сайт)

[ActiveSync]

Получил переписку от хостера, цитирую:

 

Был найден шелл: http://labs.sucuri.net/signatures/backdoor-phpfilesman02
За месяц больше не увидел вставок (я мог что-то пропустить), вполне возможно что они в базе. 

Сейчас сайт страдает от таких запросов в базу: 

| 161768551 | mebel-24 | localhost:50036 | mebel-24 | Query | 6399 | Waiting for table metadata lock | SELECT * FROM oc_length_class mc LEFT JOIN oc_length_class_description mcd ON (mc.length_class_id = mcd.length_class_id) WHERE mcd.language_id = '2'

 

Перешлите, пожалуйста, это письмо разработчикам сайта. "

 

Что хостер хотел этим сказать? Походу был взлом через download.

Змінено 24 лютого 2016 користувачем ActiveSync

[ActiveSync]

пока что закрыл дыру с помощью .htaccess в папке download

 

SetHandler send-as-is

 

Если уж и загонят вредоносный файл, то не смогут выполнить его, а будут скачивать его.

[markimax]

Получил переписку от хостера, цитирую:

 

Был найден шелл: http://labs.sucuri.net/signatures/backdoor-phpfilesman02

За месяц больше не увидел вставок (я мог что-то пропустить), вполне возможно что они в базе. 

Сейчас сайт страдает от таких запросов в базу: 

| 161768551 | mebel-24 | localhost:50036 | mebel-24 | Query | 6399 | Waiting for table metadata lock | SELECT * FROM oc_length_class mc LEFT JOIN oc_length_class_description mcd ON (mc.length_class_id = mcd.length_class_id) WHERE mcd.language_id = '2'

 

Перешлите, пожалуйста, это письмо разработчикам сайта. "

 

Что хостер хотел этим сказать? Походу был взлом через download.

 

Ну и причем здесь opencart к обнаруженному шеллу,, который могли залить взломав предварительно ХОСТЕРА

И причем здесь этот запрос ?!

[ActiveSync]

Ну и причем здесь opencart к обнаруженному шеллу,, который могли залить взломав предварительно ХОСТЕРА

И причем здесь этот запрос ?!

 

Понятия не имею. Хостеры они такие, могут вешать, и в больших количествах.

[markimax]

Affecting: Any web site (often through outdated WordPress, Joomla, osCommerce and stolen passwords)

[ActiveSync]

имеется два сайта на хостинге, но взломали только opencart.

[AlexDW]

имеется два сайта на хостинге, но взломали только opencart.

может, как раз через те два и взломали, просто вы не в курсе либо их пока не трогают

 

взлом-то в чем выражается?

[markimax]

может, как раз через те два и взломали, просто вы не в курсе либо их пока не трогают

 

взлом-то в чем выражается?

И в какую папку шелл залили ?

В opencart так просто не зальешь файл

Скорее всего получили доступы (логины пароли) через WP Joomla и т п к  FTP и просто залили к вам.

[halfhope]

Обращайтесь если что. 

Змінено 24 лютого 2016 користувачем halfhope