Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

hacker by hobolo //Массовый взлом сайтов на OC

Meikel

Автор: ,
в Питання безпеки

 Share

Recommended Posts

Meikel Newbie

Meikel

Опубліковано:
Опубліковано:

Собственно ломанули сайт, загуглил — проблема не только у меня... за июль куча сайтов слегло от какого то обезьяна с интернетом.

Были у кого проблемы со взломом за последние несколько месяцев? Есть инфа через какую уязвимость ломают сайт?

Надіслати
Поділитися на інших сайтах

Meikel Newbie

Meikel

Опубліковано:
  • Автор
Опубліковано:
1 час назад, buslikdrev сказал:

Какой апаче установлен, какой варез установлен и какие ещё движке на вашем хостинге?

Движек онли OC

Апач позже уточню... 

Хостер ник.ру (никому не советую, в тех. подержке - тпшки), но дело не в хостере, а в CMS, потому как все ломаные сайты на OC.

35 минут назад, chukcha сказал:

admin admin

Умничаешь или сообщения набиваешь?

Надіслати
Поділитися на інших сайтах

markimax Grand Master

markimax

Опубліковано:
Опубліковано:
1 минуту назад, Meikel сказал:

Движек онли OC

Апач позже уточню... 

Хостер ник.ру (никому не советую, в тех. подержке - тпшки), но дело не в хостере, а в CMS, потому как все ломаные сайты на OC.

Умничаешь или сообщения набиваешь?

Версия OC -уточняйте

Надіслати
Поділитися на інших сайтах
1
1

chukcha Grand Master

chukcha

Опубліковано:
Опубліковано:
1 минуту назад, Meikel сказал:

Движек онли OC

Апач позже уточню... 

Хостер ник.ру (никому не советую, в тех. подержке - тпшки), но дело не в хостере, а в CMS, потому как все ломаные сайты на OC.

Умничаешь или сообщения набиваешь?

И умничаю и набиваю

Наличие логина admin - 50% взлома а пароля admin - 100% взлома.
 

  • +1 1
Надіслати
Поділитися на інших сайтах
1
1
1

MFX Experienced

MFX

Опубліковано:
Опубліковано:

Может не по теме, начал проверять сайт, после взлома, турки на днях взломали сайт, поменяли все и пароль от админки и главную страницу(кстати музыка прикольная у них), начал интересоваться, тоже хакнули исключительно опенкарт, на сотнях сайтов(разные сайты, разные шаблоны, разный функционал на них, вне зависимости от модулей(тоже все разное), на сайте моего клиента вообще ничего не было, кроме плюшевого шаблона(ни модулей, нихрена ничего), тупо человек выкладывал инфу, что продает и все на этом. Однако сайт взломали(принт главной во вложении)

 

Самое что интересное, ни одного нового файла(кроме пары файлов в логах), никаких изменений в файлах, ничего не произведено. По файлам сайт такой же как есть обычный опенкарт. При этом чтобы ты не делал, но именно главная страница показывает это сообщение и музыку(напомню, прикольную, чуваки сами о себе поют)

 

После того, как мне предоставили доступ к хостингу, я скачал файлы для проверки и обнаружил, что антивирус показал, что там есть вирус. Я подумал человек чего накосячил или что. Я прошел по пути вируса и был немного удивлен, так как он оказался в самом движке, не в дополнениях и прочем, а именно в движке, по пути:

 

ocStore-2.1.0.2\upload\admin\view\javascript\jquery\flot\examples\series-toggle\index.html  антивирус его определил как virus.js.qexvmc.1065

 

я пошел дальше и скачал след движ и опять по тому же самому пути

\ocStore-2.3.0.2.1\upload\admin\view\javascript\jquery\flot\examples\series-toggle\index.html  антивирус его определил как virus.js.qexvmc.1065

 

 

В итоге, при правильном использовании мы имеем полный доступ к админке и похеру вообще, есть у тебя варез или нет! Вирус в движке!!!

Безымянный3.png

Надіслати
Поділитися на інших сайтах

MFX Experienced

MFX

Опубліковано:
Опубліковано:

Ради прикола скачал сейчас движок через форум с https://myopencart.com/downloads

И оказалось что там тоже этот же файл лежит!!!(во вложении скрин)

Версия Дата релиза Скачать
2.3.0.2.3 12 июня 2017 [Скачать]

Безымянный3.png

Надіслати
Поділитися на інших сайтах

chukcha Grand Master

chukcha

Опубліковано:
Опубліковано:
13 минут назад, MFX сказал:

В итоге, при правильном использовании мы имеем полный доступ к админке

Каким образом?

 

Надіслати
Поділитися на інших сайтах
1
1
1

Shureg Grand Master

Shureg

Опубліковано:
Опубліковано: (змінено)
Скрытый текст 

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
	<title>Flot Examples: Toggling Series</title>
	<link href="../examples.css" rel="stylesheet" type="text/css">
	<!--[if lte IE 8]><script language="javascript" type="text/javascript" src="../../excanvas.min.js"></script><![endif]-->
	<script language="javascript" type="text/javascript" src="../../jquery.js"></script>
	<script language="javascript" type="text/javascript" src="../../jquery.flot.js"></script>
	<script type="text/javascript">

	$(function() {

		var datasets = {
			"usa": {
				label: "USA",
				data: [[1988, 483994], [1989, 479060], [1990, 457648], [1991, 401949], [1992, 424705], [1993, 402375], [1994, 377867], [1995, 357382], [1996, 337946], [1997, 336185], [1998, 328611], [1999, 329421], [2000, 342172], [2001, 344932], [2002, 387303], [2003, 440813], [2004, 480451], [2005, 504638], [2006, 528692]]
			},        
			"russia": {
				label: "Russia",
				data: [[1988, 218000], [1989, 203000], [1990, 171000], [1992, 42500], [1993, 37600], [1994, 36600], [1995, 21700], [1996, 19200], [1997, 21300], [1998, 13600], [1999, 14000], [2000, 19100], [2001, 21300], [2002, 23600], [2003, 25100], [2004, 26100], [2005, 31100], [2006, 34700]]
			},
			"uk": {
				label: "UK",
				data: [[1988, 62982], [1989, 62027], [1990, 60696], [1991, 62348], [1992, 58560], [1993, 56393], [1994, 54579], [1995, 50818], [1996, 50554], [1997, 48276], [1998, 47691], [1999, 47529], [2000, 47778], [2001, 48760], [2002, 50949], [2003, 57452], [2004, 60234], [2005, 60076], [2006, 59213]]
			},
			"germany": {
				label: "Germany",
				data: [[1988, 55627], [1989, 55475], [1990, 58464], [1991, 55134], [1992, 52436], [1993, 47139], [1994, 43962], [1995, 43238], [1996, 42395], [1997, 40854], [1998, 40993], [1999, 41822], [2000, 41147], [2001, 40474], [2002, 40604], [2003, 40044], [2004, 38816], [2005, 38060], [2006, 36984]]
			},
			"denmark": {
				label: "Denmark",
				data: [[1988, 3813], [1989, 3719], [1990, 3722], [1991, 3789], [1992, 3720], [1993, 3730], [1994, 3636], [1995, 3598], [1996, 3610], [1997, 3655], [1998, 3695], [1999, 3673], [2000, 3553], [2001, 3774], [2002, 3728], [2003, 3618], [2004, 3638], [2005, 3467], [2006, 3770]]
			},
			"sweden": {
				label: "Sweden",
				data: [[1988, 6402], [1989, 6474], [1990, 6605], [1991, 6209], [1992, 6035], [1993, 6020], [1994, 6000], [1995, 6018], [1996, 3958], [1997, 5780], [1998, 5954], [1999, 6178], [2000, 6411], [2001, 5993], [2002, 5833], [2003, 5791], [2004, 5450], [2005, 5521], [2006, 5271]]
			},
			"norway": {
				label: "Norway",
				data: [[1988, 4382], [1989, 4498], [1990, 4535], [1991, 4398], [1992, 4766], [1993, 4441], [1994, 4670], [1995, 4217], [1996, 4275], [1997, 4203], [1998, 4482], [1999, 4506], [2000, 4358], [2001, 4385], [2002, 5269], [2003, 5066], [2004, 5194], [2005, 4887], [2006, 4891]]
			}
		};

		// hard-code color indices to prevent them from shifting as
		// countries are turned on/off

		var i = 0;
		$.each(datasets, function(key, val) {
			val.color = i;
			++i;
		});

		// insert checkboxes 
		var choiceContainer = $("#choices");
		$.each(datasets, function(key, val) {
			choiceContainer.append("<br/><input type='checkbox' name='" + key +
				"' checked='checked' id='id" + key + "'></input>" +
				"<label for='id" + key + "'>"
				+ val.label + "</label>");
		});

		choiceContainer.find("input").click(plotAccordingToChoices);

		function plotAccordingToChoices() {

			var data = [];

			choiceContainer.find("input:checked").each(function () {
				var key = $(this).attr("name");
				if (key && datasets[key]) {
					data.push(datasets[key]);
				}
			});

			if (data.length > 0) {
				$.plot("#placeholder", data, {
					yaxis: {
						min: 0
					},
					xaxis: {
						tickDecimals: 0
					}
				});
			}
		}

		plotAccordingToChoices();

		// Add the Flot version string to the footer

		$("#footer").prepend("Flot " + $.plot.version + " – ");
	});

	</script>
</head>
<body>

	<div id="header">
		<h2>Toggling Series</h2>
	</div>

	<div id="content">

		<div class="demo-container">
			<div id="placeholder" class="demo-placeholder" style="float:left; width:675px;"></div>
			<p id="choices" style="float:right; width:135px;"></p>
		</div>

		<p>This example shows military budgets for various countries in constant (2005) million US dollars (source: <a href="http://www.sipri.org/">SIPRI</a>).</p>

		<p>Since all data is available client-side, it's pretty easy to make the plot interactive. Try turning countries on and off with the checkboxes next to the plot.</p>

	</div>

	<div id="footer">
		Copyright © 2007 - 2013 IOLA and Ole Laursen
	</div>

</body>
</html>

 

Здесь даже намеков на вирус нет. Безобидный пример скрипта. Убейте ваш анивирус

Змінено користувачем Shureg
Надіслати
Поділитися на інших сайтах

whiteblue Grand Master

whiteblue

Опубліковано:
Опубліковано: (змінено)

Моих клиентов тоже хакнули... все сайты на аккаунте ... По логам определил, что используют различные скрипты взлома.. Вломали как раз вордпрес со слабым паролем, а досталось всем...

Змінено користувачем whiteblue
Надіслати
Поділитися на інших сайтах
1

MFX Experienced

MFX

Опубліковано:
Опубліковано: (змінено)

chukcha, ну это я так, предположения!))) так как два анвира сказали иди лесом и удалили файлы и потом с сайтов virustotal.com  показал тоже что эти файлы заражены... Я и предположил, что вдруг в них дело!

 

 

Shureg, так не только он определяет его как троян...

 

 

Змінено користувачем MFX
Надіслати
Поділитися на інших сайтах

MFX Experienced

MFX

Опубліковано:
Опубліковано: (змінено)

chukcha, чисто что именно?

 

Вот только скачал опять, уже просто опенкарт 2.1.0.2 (с opencart.com)

 

прошел с компа по пути и запустил файл, он выдал ту же табличку с инфой!

 

 

Безымянный3.png

Змінено користувачем MFX
Надіслати
Поділитися на інших сайтах

chukcha Grand Master

chukcha

Опубліковано:
Опубліковано:
16 минут назад, MFX сказал:

чисто что именно?

индекс файл из вашего примера

Возможно, что там есть некая похожая сигнатура

Надіслати
Поділитися на інших сайтах
1
1
1

MFX Experienced

MFX

Опубліковано:
Опубліковано:

Забейте в гугле или яндексе(тут больше всего)   xxmrtt   можно посмотреть сколько сайтов взломали турки, заодно и что показывается на взломанных сайтах там и там!) (картинки, как и музыка в некоторых местах разная)

 

кстати, их магазин, если вдруг интересно https://www.ayyildiztim.com.tr/

 

а тут они прям понтуются, кого взломали и в какой стране https://www.ayyildiz.org/

 

Не знаю зачем я это скидываю, но вдруг будет интересно!))))

Надіслати
Поділитися на інших сайтах

Otvet Grand Master

Otvet

Опубліковано:
Опубліковано:
1 час назад, MFX сказал:

Самое что интересное, ни одного нового файла(кроме пары файлов в логах), никаких изменений в файлах, ничего не произведено.

а в БД?

Надіслати
Поділитися на інших сайтах
1

ocdev_pro Grand Master

ocdev_pro

Опубліковано:
Опубліковано:

Да удалите вообще папку examples - она вообще там не за что не отвечает. Что вы начали мусолить то где нету не малейшего намека на вирус... Это просто хлам который по умолчанию идет со скриптом flot.js

Надіслати
Поділитися на інших сайтах
1
1

MFX Experienced

MFX

Опубліковано:
Опубліковано:

Otvet, не смотрел там!) Да и где там смотреть!?) Но судя по тому, что я по ошибке залил базу данных на другой сайт(перепутал базы), там все отобразилось без глюков и нареканий и без вируса. Наверняка с ней тоже все ровно!!!

 

Какой еще файл может отвечать за загрузку на старте открытия сайта!? Я прям все файлы прошерстил, не могу ничего найти, разными анвирами протыкал, кроме той трояшки небыло ничего. Весь день тыкаюсь, не могу понять где и че и как! Но явно в файлах, так как когда переношу в другие места их, сирануш появляется эта заставка(с прикольной песенкой)..)

 

Waha, да, протыкав каждую страницу, тоже понял, что она по идее в целом не нужна вообще!)

 

markimax, да у меня он тоже так показывает.

 

 

Я просто о том, что хакнули сайты, надо найти дыру. Ведь она явно есть!

 

 

Надіслати
Поділитися на інших сайтах

markimax Grand Master

markimax

Опубліковано:
Опубліковано:
1 минуту назад, MFX сказал:

Я просто о том, что хакнули сайты, надо найти дыру. Ведь она явно есть!

99.99% хакнули через хостера, соседей, бутфорсом, "бесплатных" модулей (бесплатно == безответственно), варезных модулей
И даже если платные! Но квалификация авторов не позволяет понять что это безответственно с точки зрения безопасности
К примеру при свидетелях коллегах с форума
Я всегда писал что нельзя допускать любую загрузку файлов на сервер, будь то хоть даже изображения
Я протестировал ВСЕ самые популярные ПЛАТНЫЕ модули на маркетплейс opencart.com с возможностью загрузки изображений пользователями
И ВСЕМ на их демо залил шелл (учитывайте что я не профессиональный хакер, а разработчик, а представялете что может сделать с этим говнокодом профи хакер)
Всё при свидетелях, ссылки на шеллы показывал коллегам

Т е проблемы могут быть не с самим oipencart а с говномодулями

 

Надіслати
Поділитися на інших сайтах
1
1

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
 Share
Перейти до списку тем

  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

Покупцям

Розробникам

Корисна інформація

Останні розширення

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.

  Я даю згоду