Перейти к содержанию

Рекомендуемые сообщения

Всем доброго дня.

Столкнулся с такой проблемой. Установил двиг и купил шаблон вот этот (*) 

Все бы ничего, как нанял человека, просто ради интереса проверить на уязвимость сайт. И оказалось, что сайт уязвим! Я перед эти специально сменил пароль от акк админки. Сменил пароль БД на подобее такого (G&*G7gYGty) ну как бы фиг подберешь. А он быстро очень хакнул. Кто подскажет, как обезопасить теперь сайт? Или только нанимать специалиста?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, Frenzo сказал:

А он быстро очень хакнул. Кто подскажет, как обезопасить теперь сайт?

так пусть огласит уязвимости

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

какую версию движка ставил? права на папки менял с изначально установленных 755 или 777?

Изменено пользователем h3adhunt3r

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Версия движка OpenCart Версия 2.1.0.1

 

Цитаты из переписки:

Цитата

Это ошибки в коде.

Т.е через код, вы получаете доступ к админку?

Путём ввода кода SQL я получаю доступ к базе данных.

Если я сменю в бд пароль и поставлю там 20 значный?

Это не поможет.

Пароль не подбирается !

По сути доступ даёт ваш же сайт.

То есть уже введённый вами пароль мне даёт доступ для дальнейших изменений.

Чтобы получить доступ к панели администратора мне не обязательно знать ваши пароли.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Версия движка OpenCart Версия 2.1.0.1

https://github.com/opencart/opencart/commit/303fa88fe664ded4bf8753b997abd916f0a3c03f

https://github.com/opencart/opencart/issues/3721

https://www.netsparker.com/web-applications-advisories/cve-2015-4671-xss-vulnerability-identified-in-opencart/

если ето то надо просто поменять на 2.1.0.2 - или пофиксит файли

https://github.com/opencart/opencart/commit/33642ba18dc2645396dd35a0434964d7721d5eb3

если уязвимост другая не надо ее публиковать здесь.

Quote

Use the contact form on OpenCart: http://www.opencart.com/index.php?route=support/contact

https://support.opencart.com/hc/en-us

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Возможно, есть лазейка.

Пример лазейки: 

Авторизация ssh по ключу. Смена пароля не поможет. Нужно удалять содержимое файла ~/.ssh/authorized_keys

Это одна из версий как можно оставить лазейку на сервер.

Другой вариант, на сайте был оставлен phpshell или другой эксплойт.

Готов помочь в усилении безопасности сайта. Подробности пишите в личку.

 

Изменено пользователем unixweb

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.