hacker by hobolo //Массовый взлом сайтов на OC

[Otvet]

1 час назад, MFX сказал:

Otvet, не смотрел там!) Да и где там смотреть!?) Но судя по тому, что я по ошибке залил базу данных на другой сайт(перепутал базы), там все отобразилось без глюков и нареканий и без вируса. Наверняка с ней тоже все ровно!!!

 

Какой еще файл может отвечать за загрузку на старте открытия сайта!? Я прям все файлы прошерстил, не могу ничего найти, разными анвирами протыкал, кроме той трояшки небыло ничего. Весь день тыкаюсь, не могу понять где и че и как! Но явно в файлах, так как когда переношу в другие места их, сирануш появляется эта заставка(с прикольной песенкой)..)

 

архив можно сюда

[ArtemPitov]

@buslikdrev это объявления и у нас есть, оно не связано с хостером, там дыра в модуле была 

[ArtemPitov]

Только что, buslikdrev сказал:

В платном?

это уже давно закрыто и модуль сняты с продаж, да в платном 

[Meikel]

18 часов назад, MFX сказал:

Забейте в гугле или яндексе(тут больше всего)   xxmrtt   можно посмотреть сколько сайтов взломали турки, заодно и что показывается на взломанных сайтах там и там!) (картинки, как и музыка в некоторых местах разная)

 

кстати, их магазин, если вдруг интересно https://www.ayyildiztim.com.tr/

 

а тут они прям понтуются, кого взломали и в какой стране https://www.ayyildiz.org/

 

Не знаю зачем я это скидываю, но вдруг будет интересно!))))

 

У меня вот этот трек на главной играл 

 

 

Логотип другой был... Я в первом посте тоже киснул ссылку на гугл, сколько так сайтов легло.

 

[MFX]

markimax, проблема в том, что модулей то там нет никаких! Там вообще ничего нет толком, один бесплатный шаблон, с данного форума и все, вообще все, больше вообще ничего нет!))) Человек просо размещал там товары, не придираясь к внешнему виду сайта, так как ему это было вообще не важно. И Сайт больше был для звонков, так как по его теме тупо все звонили...) Хостер тоже сказал: У нас все ровно, никаких косяков, если только вас непосредственно как-то взломали через движ.

 

Хостер отпадает, соседи(я сам себе сосед и все ровно на остальных), вот бутфорс вообще не исключено(хотя пароль из 10 символов состоял), про модули я молчу(их тупо там небыло), маркетплейса тоже небыло, возможности загрузки файлов тоже отключено. Скорее всего тупо взломали админку, так как когда я восстановил доступ, там просто местами текст в настройках был изменен(название магазина и т.д.) и удалены логотип, сменена почта на контакт с ними и т.д. Все остально ровно и без всяких проблем...

 

Otvet, Я в итоге все снес, сохранив базу данных и картинки и просто залил опенкарт по новой и загрузил картинки и импортировал базу данных, все стало работать как прежде... Все остальное удалил...

 

Meikel, Да, да, у меня тоже эта песенка, прям даже понравилась она!)))

Змінено 3 серпня 2017 користувачем MFX

[mpn2005]

Указанный файл index.html безобиден.

 

Сегодня было обращение с похожей проблемой. В итоге беглый просмотр лога выявил быстрый подбор пароля в админку.

Или не быстрый, но с перебором за несколько суток до этого или больше.

Потом было залито OCMOD расширение, и тут же подтёрто.

В итоге в админке никаких следов.

 

Не очень хорошая штука - установка исполняемого кода через админку.

В ОС1.5 с vqmod было всё же правильнее, с точки зрения безопасности.

 

[Dotrox]

В 02.08.2017 в 14:16, MFX сказал:

он оказался в самом движке, не в дополнениях и прочем, а именно в движке, по пути:

 

ocStore-2.1.0.2\upload\admin\view\javascript\jquery\flot\examples\series-toggle\index.html  антивирус его определил как virus.js.qexvmc.1065

Это не движок - это сторонняя js библиотека. При чём даже не сама она, а файл с примером использования, который был в комплекте с ней.

 

 

В 02.08.2017 в 15:12, MFX сказал:

прошел с компа по пути и запустил файл, он выдал ту же табличку с инфой!

Включите мозги - это библиотека для построений графиков и что удивительного, что в папке examples у неё пример графика, пусть и странной тематики.

Вот этот файл на Гитхабе самой библиотеки - https://github.com/flot/flot/blob/master/examples/series-toggle/index.html

И вот демо с тем же графиком - http://www.flotcharts.org/flot/examples/series-toggle/index.html

 

А вот результат проверки файла с Гитхаба - https://www.virustotal.com/en/url/46c57e09600d5f2ed838f345b470549f1452f6ee53a8375b74732ced924dc707/analysis/1502139261/

Можете там же проверить свой, не думаю, что результат будет отличаться.

Десктопные антивирусы малопригодны для поиска вирусов на сайтах.

[MFX]

@Dotrox Я же согласился, что вероятнее всего был обычный подбор пароля.) Еще на той неделе!))

 

@mpn2005 Да, аналогичная ситуация и тут была, просто подобрали пароли. А потом творили че хотели и изменив пароль слились. По итогам просто ocmod залили с корректировками в tpl, что изменило внешний вид страниц, сами же страницы под этой открывались и все работало как обычно, просто с первого раза непонятно было. Они ничего не делали такого, что могло испортить сам сайт или как-то занести вирус на него, надо было лишь удалить исполняемый файл(о чем они сами написали в коде, когда раскрываешь файл правой кнопкой(которую они тоже отключили, но если ее включить, то в коде есть инфа по удалению заглушки этой. Просто спам!)