Взломали сайт

[Eretik]

В гугле сайт видно вот так

showa 『名入れ:リピート用』抗菌レザー調スリッパ(前開きタイプ) x 10足(1 ...

veloforma.net/

Перевести эту страницу

Возможно, этот сайт был взломан.

こちらの商品はメーカー直送のためとなります。。『名入れ:リピート用』抗菌レザー調スリッパ(前開きタイプ) x 10足(1足:895円-印刷代込み!) 7色からお選びください! 『※こちら ...

 

Гугл сообщил о проблеме 17го числа.

Пытался восстановить сайт из бекапа от 14го числа.

Не помогло.

После восстановления, заказы, сделанные после этого числа, не пропали - это нормально?

Как это лечить?

 

версия ос сторе от 1.5.5.1.2

 

[Eldaeron]

Eretik, Под пытался восстановить сайт из бекапа что подразумеваете? Только файлы, то да. Если базу mysql востанавливали бы, то заказов бы небыло.

 

Варезные модули есть? Пароль администратора сложный?

[Eretik]

Выбрал на хостинге "Восстановить резервную копию"

Пароль от хостинга, вроде бы, сложный, от админки магаза - не особо

Модули Симпла, Доставка+, Управление ценами, куплены здесь, и ещё модуль Блог, куплен на ливопенкарте. и пара модудель оплаты от Аддиста, но в виду их корявой работы, выключил их.

[wprizzz]

15 минут назад, Eretik сказал:

Выбрал на хостинге "Восстановить резервную копию"

Пароль от хостинга, вроде бы, сложный, от админки магаза - не особо

Модули Симпла, Доставка+, Управление ценами, куплены здесь, и ещё модуль Блог, куплен на ливопенкарте. и пара модудель оплаты от Аддиста, но в виду их корявой работы, выключил их.

Цитата

 

Для тех кто ничего не понимает в программировании, объясню на пальцах:
1. Код позволяет на вашем сервере выполнить любую команду при помощи функции eval(). Грубо говоря, если у вас стоит дополнение Addist, то получить ftp вашего магазина — это 5 секунд времени.

 

 

Почитайте это

http://ocshop.info/u-lukomorya-dub-zelenyj/
http://ocshop.info/so-dna-postuchali-ili-novaya-oooochen-kritichnaya-uyazvimost-v-dopolneniyax/

Змінено 30 березня 2017 користувачем wprizzz

[Raensul]

17 минут назад, Eretik сказал:

выключил их

не значит, что удалил

[Eretik]

Спасибо, почитаю

Некоторое время назад в почту приходиа расcылка с этой ссылкой http://ocshop.info/testmyshop.html

по которой уязвимость не обнаруживалась. В виду того, что автора модулей в рассылке не упоминали, а проверка прошла, я и не беспокоился.

Сейчас, кстати, проверку тоже проходит

 

Как, в таком случае, лечить? Удалить модули аддиста, если дело в них, из админки, как я понимаю, будет недостаточно.

Делать восстановление из более раннего бекапа, а потом как-то полноценно чистить?

Змінено 30 березня 2017 користувачем Eretik

[agefremov]

В лечении и восстановлении очень много нюансов. Если критично и хочется чтоб гарантии были, то лучше к специалистам обратиться. Здесь, на форуме,  хорошо помогает Halfhope

[vise]

Не из-за аддиста у ТС было

[trialon77]

58 минут назад, vise сказал:

Не из-за аддиста у ТС было

озвучьте причину. Дабы не наступать на теже грабли)

[vise]

6 минут назад, trialon77 сказал:

озвучьте причину. Дабы не наступать на теже грабли)

Это частный случай с обновлением и переносом, причину захочешь не найдешь. Могу лишь посоветовать поставить какой-нибудь скрипт проверки файлов и раз в неделю его кроном запускать. Тогда любой трипер на сайте можно выловить со 100% вероятностью

[sitecreator]

@Eretik , папки с правами 777 есть?

 

момент взлома зафиксировали? Т. е. точное его время.  Можно определить (с определенной степенью точности) по времени появления/изменения новых файлов.

Ну и смотреть логи для этого периода.

Смотреть кто куда ломился кроме обычных пользователей.

 

У вас под одним пользователем (unix) сайт один или несколько?

 

В 30.03.2017 в 18:15, Eretik сказал:

После восстановления, заказы, сделанные после этого числа, не пропали - это нормально?

 

БД вы не восстановили.  Зловредный код и в ней может быть. даже и формально не зловредный, а просто доступы к вашему магазину сторонних людей могут быть прописаны.

 

4 часа назад, vise сказал:

Тогда любой трипер на сайте можно выловить со 100% вероятностью

 

если код в БД, то никаких 100%.  Так, чисто один из вариантов подстраховки.

но в большинстве случаев зловредный код таки находится в файлах.

 

[markimax]

Эти японцы могли взломать соседей по серверу (99% вероятность)
Не думаю что это сломали opencart у вас.