Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Взлом сайта


ActiveSync

Recommended Posts

Здравствуйте. Взломали сайт. Хостер сказал, что взлом был внутри. Я подозреваю, что ломали через папку download , т.к на ней почему то не стояли права 555. Так же есть подозрение, что взломали через сам лог сайта(error.txt), который тоже был доступен всем. Лога нет, т.к откатывали сайт. Есть тот, что от воскресенье. Какие действия мне нужно предпринять?

error.txt

Змінено користувачем ActiveSync
Надіслати
Поділитися на інших сайтах


Я подозреваю, что ломали через папку download

 

 

Так же есть подозрение, что взломали через сам лог сайта(error.txt)

 

 

 

Какие действия мне нужно предпринять?

 

 

Эти три пункта несовместимы.

 

Тем более нахрена нам показывать свой кривой лог ошибок. в 30метров

Надіслати
Поділитися на інших сайтах

Надо искать откуда взломали

А почему вы уверены что через opencart взломали ?! Хостер сказал? Они и не такую муть могут сказать для "отмазки"

 

Сломать opencart очень тяжело.

Кстати у вас есть какие нибудь модули во фронте которые разрешают закачивать файлы на сервер. Типа бесплатных отзывов с возможностью загрузки картинок и т п ?

 

 

FAQ ОТВЕТ: ПОЧЕМУ МОДУЛЬ НЕ ДАЕТ СТОРОННИМ ПОЛЬЗОВАТЕЛЯМ ЗАГРУЖАТЬ ИЗОБРАЖЕНИЯ И ФАЙЛЫ НА СЕРВЕР В ОТЗЫВАХ

http://habrahabr.ru/post/224351/

Цитата:

    Здесь на помощь строителям демократии приходят и проблемы с настройкой try_files в nginx,
    и обрезание строки с помощью %00, и даже банальный обход проверки MIME и загрузки *.php напрямую
    (но это совсем тяжёлый случай, движки, грешащие этим, скорее всего имеют ещё пару десятков других дыр).

Т.е. иногда, защита зависит даже не от безопасного кода модуля, а от настроек хостера.

 

Надіслати
Поділитися на інших сайтах

Надо искать откуда взломали

А почему вы уверены что через opencart взломали ?! Хостер сказал? Они и не такую муть могут сказать для "отмазки"

 

Сломать opencart очень тяжело.

Кстати у вас есть какие нибудь модули во фронте которые разрешают закачивать файлы на сервер. Типа бесплатных отзывов с возможностью загрузки картинок и т п ?

 

 

FAQ ОТВЕТ: ПОЧЕМУ МОДУЛЬ НЕ ДАЕТ СТОРОННИМ ПОЛЬЗОВАТЕЛЯМ ЗАГРУЖАТЬ ИЗОБРАЖЕНИЯ И ФАЙЛЫ НА СЕРВЕР В ОТЗЫВАХ

http://habrahabr.ru/post/224351/

Цитата:

    Здесь на помощь строителям демократии приходят и проблемы с настройкой try_files в nginx,

    и обрезание строки с помощью %00, и даже банальный обход проверки MIME и загрузки *.php напрямую

    (но это совсем тяжёлый случай, движки, грешащие этим, скорее всего имеют ещё пару десятков других дыр).

Т.е. иногда, защита зависит даже не от безопасного кода модуля, а от настроек хостера.

 

 

Так таковых нет, отзывы стоят с вашего модуля cms pro. Мы бы заметили. 

Недавно сменили шаблон сайта, в самом шаблоне сайта в комплекте были xml файлы. Возможно в этом дело? Когда стоял старый дизайн, сайт ниразу не ломали, с учетом даже уязвимости с error.txt.

 

Хостер сказал, что взлом был изнутри. Больше мне ничего не известно.

Змінено користувачем ActiveSync
Надіслати
Поділитися на інших сайтах


Так таковых нет, отзывы стоят с вашего модуля cms pro. Мы бы заметили. 

Недавно сменили шаблон сайта, в самом шаблоне сайта в комплекте были xml файлы. Возможно в этом дело? Когда стоял старый дизайн, сайт ниразу не ломали, с учетом даже уязвимости с error.txt.

 

Не думаю что взломали именно opencart

Путь хостер (если он такой "умный") предоставит доказательства своих слов, что взломали "изнутри"

 

Я подозреваю в 99% виноват хостер.

Opencart очень тяжело сломать, у него точка входа единая и все параметры проверяются.

 

Какая версия opencart у вас ?

Надіслати
Поділитися на інших сайтах

Версия opencart 1.5.5.1.

В этой версии не видел пробоев.

 

99% как я и писал - хостер виноват

Надіслати
Поділитися на інших сайтах

В этой версии не видел пробоев.

 

99% как я и писал - хостер виноват

есть...  сравните downloadы

Надіслати
Поділитися на інших сайтах

Нужно еще в админке отключить проверку на запись в эту папку.

как это сделать "правильно", дабы мои клешки не напартачили и без этого поломаный сайт)

Надіслати
Поділитися на інших сайтах


Получил переписку от хостера, цитирую:

 

Был найден шелл: http://labs.sucuri.net/signatures/backdoor-phpfilesman02
За месяц больше не увидел вставок (я мог что-то пропустить), вполне возможно что они в базе. 

Сейчас сайт страдает от таких запросов в базу: 

| 161768551 | mebel-24 | localhost:50036 | mebel-24 | Query | 6399 | Waiting for table metadata lock | SELECT * FROM oc_length_class mc LEFT JOIN oc_length_class_description mcd ON (mc.length_class_id = mcd.length_class_id) WHERE mcd.language_id = '2'

 

Перешлите, пожалуйста, это письмо разработчикам сайта. "

 

Что хостер хотел этим сказать? Походу был взлом через download.

Змінено користувачем ActiveSync
Надіслати
Поділитися на інших сайтах


пока что закрыл дыру с помощью .htaccess в папке download

 

SetHandler send-as-is

 

Если уж и загонят вредоносный файл, то не смогут выполнить его, а будут скачивать его.

Надіслати
Поділитися на інших сайтах


Получил переписку от хостера, цитирую:

 

Был найден шелл: http://labs.sucuri.net/signatures/backdoor-phpfilesman02

За месяц больше не увидел вставок (я мог что-то пропустить), вполне возможно что они в базе. 

Сейчас сайт страдает от таких запросов в базу: 

| 161768551 | mebel-24 | localhost:50036 | mebel-24 | Query | 6399 | Waiting for table metadata lock | SELECT * FROM oc_length_class mc LEFT JOIN oc_length_class_description mcd ON (mc.length_class_id = mcd.length_class_id) WHERE mcd.language_id = '2'

 

Перешлите, пожалуйста, это письмо разработчикам сайта. "

 

Что хостер хотел этим сказать? Походу был взлом через download.

 

Ну и причем здесь opencart к обнаруженному шеллу,, который могли залить взломав предварительно ХОСТЕРА

И причем здесь этот запрос ?!

Надіслати
Поділитися на інших сайтах

Ну и причем здесь opencart к обнаруженному шеллу,, который могли залить взломав предварительно ХОСТЕРА

И причем здесь этот запрос ?!

 

Понятия не имею. Хостеры они такие, могут вешать, и в больших количествах.

Надіслати
Поділитися на інших сайтах


имеется два сайта на хостинге, но взломали только opencart.

может, как раз через те два и взломали, просто вы не в курсе либо их пока не трогают

 

взлом-то в чем выражается?

Надіслати
Поділитися на інших сайтах

может, как раз через те два и взломали, просто вы не в курсе либо их пока не трогают

 

взлом-то в чем выражается?

И в какую папку шелл залили ?

В opencart так просто не зальешь файл

Скорее всего получили доступы (логины пароли) через WP Joomla и т п к  FTP и просто залили к вам.

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.