Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

hacker by hobolo //Массовый взлом сайтов на OC


Meikel

Recommended Posts

1 час назад, MFX сказал:

Otvet, не смотрел там!) Да и где там смотреть!?) Но судя по тому, что я по ошибке залил базу данных на другой сайт(перепутал базы), там все отобразилось без глюков и нареканий и без вируса. Наверняка с ней тоже все ровно!!!

 

Какой еще файл может отвечать за загрузку на старте открытия сайта!? Я прям все файлы прошерстил, не могу ничего найти, разными анвирами протыкал, кроме той трояшки небыло ничего. Весь день тыкаюсь, не могу понять где и че и как! Но явно в файлах, так как когда переношу в другие места их, сирануш появляется эта заставка(с прикольной песенкой)..)

 

архив можно сюда

Надіслати
Поділитися на інших сайтах

@buslikdrev это объявления и у нас есть, оно не связано с хостером, там дыра в модуле была 

Надіслати
Поділитися на інших сайтах

Только что, buslikdrev сказал:

В платном?

это уже давно закрыто и модуль сняты с продаж, да в платном 

  • +1 1
Надіслати
Поділитися на інших сайтах

18 часов назад, MFX сказал:

Забейте в гугле или яндексе(тут больше всего)   xxmrtt   можно посмотреть сколько сайтов взломали турки, заодно и что показывается на взломанных сайтах там и там!) (картинки, как и музыка в некоторых местах разная)

 

кстати, их магазин, если вдруг интересно https://www.ayyildiztim.com.tr/

 

а тут они прям понтуются, кого взломали и в какой стране https://www.ayyildiz.org/

 

Не знаю зачем я это скидываю, но вдруг будет интересно!))))

 

У меня вот этот трек на главной играл 

 

 

Логотип другой был... Я в первом посте тоже киснул ссылку на гугл, сколько так сайтов легло.

 

Надіслати
Поділитися на інших сайтах


markimax, проблема в том, что модулей то там нет никаких! Там вообще ничего нет толком, один бесплатный шаблон, с данного форума и все, вообще все, больше вообще ничего нет!))) Человек просо размещал там товары, не придираясь к внешнему виду сайта, так как ему это было вообще не важно. И Сайт больше был для звонков, так как по его теме тупо все звонили...) Хостер тоже сказал: У нас все ровно, никаких косяков, если только вас непосредственно как-то взломали через движ.

 

Хостер отпадает, соседи(я сам себе сосед и все ровно на остальных), вот бутфорс вообще не исключено(хотя пароль из 10 символов состоял), про модули я молчу(их тупо там небыло), маркетплейса тоже небыло, возможности загрузки файлов тоже отключено. Скорее всего тупо взломали админку, так как когда я восстановил доступ, там просто местами текст в настройках был изменен(название магазина и т.д.) и удалены логотип, сменена почта на контакт с ними и т.д. Все остально ровно и без всяких проблем...

 

Otvet, Я в итоге все снес, сохранив базу данных и картинки и просто залил опенкарт по новой и загрузил картинки и импортировал базу данных, все стало работать как прежде... Все остальное удалил...

 

Meikel, Да, да, у меня тоже эта песенка, прям даже понравилась она!)))

Змінено користувачем MFX
Надіслати
Поділитися на інших сайтах


Указанный файл index.html безобиден.

 

Сегодня было обращение с похожей проблемой. В итоге беглый просмотр лога выявил быстрый подбор пароля в админку.

Или не быстрый, но с перебором за несколько суток до этого или больше.

Потом было залито OCMOD расширение, и тут же подтёрто.

В итоге в админке никаких следов.

 

Не очень хорошая штука - установка исполняемого кода через админку.

В ОС1.5 с vqmod было всё же правильнее, с точки зрения безопасности.

 

Надіслати
Поділитися на інших сайтах

В 02.08.2017 в 14:16, MFX сказал:

он оказался в самом движке, не в дополнениях и прочем, а именно в движке, по пути:

 

ocStore-2.1.0.2\upload\admin\view\javascript\jquery\flot\examples\series-toggle\index.html  антивирус его определил как virus.js.qexvmc.1065

Это не движок - это сторонняя js библиотека. При чём даже не сама она, а файл с примером использования, который был в комплекте с ней.

 

 

В 02.08.2017 в 15:12, MFX сказал:

прошел с компа по пути и запустил файл, он выдал ту же табличку с инфой!

Включите мозги - это библиотека для построений графиков и что удивительного, что в папке examples у неё пример графика, пусть и странной тематики.

Вот этот файл на Гитхабе самой библиотеки - https://github.com/flot/flot/blob/master/examples/series-toggle/index.html

И вот демо с тем же графиком - http://www.flotcharts.org/flot/examples/series-toggle/index.html

 

А вот результат проверки файла с Гитхаба - https://www.virustotal.com/en/url/46c57e09600d5f2ed838f345b470549f1452f6ee53a8375b74732ced924dc707/analysis/1502139261/

Можете там же проверить свой, не думаю, что результат будет отличаться.

Десктопные антивирусы малопригодны для поиска вирусов на сайтах.

Надіслати
Поділитися на інших сайтах


@Dotrox Я же согласился, что вероятнее всего был обычный подбор пароля.) Еще на той неделе!))

 

@mpn2005 Да, аналогичная ситуация и тут была, просто подобрали пароли. А потом творили че хотели и изменив пароль слились. По итогам просто ocmod залили с корректировками в tpl, что изменило внешний вид страниц, сами же страницы под этой открывались и все работало как обычно, просто с первого раза непонятно было. Они ничего не делали такого, что могло испортить сам сайт или как-то занести вирус на него, надо было лишь удалить исполняемый файл(о чем они сами написали в коде, когда раскрываешь файл правой кнопкой(которую они тоже отключили, но если ее включить, то в коде есть инфа по удалению заглушки этой. Просто спам!)

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.