Взломали сайт cyber-demons.com

[vovaray]

Добрый день. Есть сайт https://okupi.net/ , с утра его взломали, висит фраза K4RNOS WAS HERE! HACKED! WWW.CYBER-DEMONS.COM, доступ к админке есть, сайт стоит на официально купленном шаблоне shop-store 2. Ничего на него не заливалось. Восстановление вплоть до копии 2-х месячной давности не дает результатов, все остается по прежнему. 

 

Может есть какие либо подсказки, буду очень признателен и спасибо

[theRGD]

8 минут назад, vovaray сказал:

Может есть какие либо подсказки, буду очень признателен и спасибо

там сервер кеш не держит?

[markimax]

Пароль был

"admin / admin" ?
Бутфорсом

[ilm]

Самое простое. Попробуйте так, возможно поможет.

1. Забекапить все нынешние файлы и папки, базу данных.
2. Удалить файлы и очистить базу данных.

3. Восстановить из бекапа, который делали, когда все было хорошо.

[vovaray]

3 минуты назад, markimax сказал:

Пароль был

"admin / admin" ?
Бутфорсом

10 символов с буквами и цифрами, меняю каждые 2 недели

 

6 минут назад, theRGD сказал:

там сервер кеш не держит?

честно не знаю, но вы имеете ввиду что я поднимаю бекап но зараженный кеш может быть?

 

2 минуты назад, ilm сказал:

Самое простое. Попробуйте так, возможно поможет.

1. Забекапить все нынешние файлы и папки, базу данных.
2. Удалить файлы и очистить базу данных.

3. Восстановить из бекапа, который делали, когда все было хорошо.

идея понятна, спасибо большое

[markimax]

23 минуты назад, vovaray сказал:

10 символов с буквами и цифрами, меняю каждые 2 недели

 

 

На одном аккаунте много сайтов ?
 

[vovaray]

5 минут назад, markimax сказал:

На одном аккаунте много сайтов ?
 

да, 5 штук, у всех пароли и логины конечно же не повторяются

 

 

на данный момнет нашел у себя Базу Данных на компе. Восстановил и работает, зараза не в фаилах сайта. а именно в БД сидела

[Shureg]

33 минуты назад, vovaray сказал:

да, 5 штук, у всех пароли и логины конечно же не повторяются

 

 

на данный момнет нашел у себя Базу Данных на компе. Восстановил и работает, зараза не в фаилах сайта. а именно в БД сидела

Давно уже говорил, что ocmod  опенкарта - подарок для взломщика.

Мало того, что это безразмерная дырища - получил доступ к админке - считай, есть полный доступ ко всему сайту на уровне файлов. И не надо заморачиваться, обходные пути искать. (а, скажем, в ОС1.5 доступ к админке, при правильно настроенном хостинге, ничего особо-то и не дает)

Так это еще и эксклюзивная возможность прятать код в базе данных.

"Суслика видишь? Нет? - А он ЕСТЬ!"

Змінено 29 жовтня 2017 користувачем Shureg

[vovaray]

повторно взломали уже с новой заставкой http://joxi.ru/KAxLzoNC4Y8wYA 

 

при чем в этот раз сменили пароль от админки. Подозреваю, что когда я заходил в админку в момнет когда сайт был взломан, тогда пароль и украили. Сейчас то я его сменил и сайт бекапнул, но по факту уязвимость на данный момент осталась

Змінено 29 жовтня 2017 користувачем vovaray

[Tom]

С таким то статусом ......

[vovaray]

39 минут назад, Tom сказал:

С таким то статусом ......

отличный комментарий к теме разговора, но что бы не было вопросов, то да ставил пиратские версии до 2 опенкарта. Или Вы может в жизни совершенно все покупали и никогда не пользовались пиратским? Но теперь покупаю все легально, так что буду рад сообщениями по теме

[Tom]

Не нужно переживать за других пиратов... Комментарий больше , чем в тему. 5 сайтов на одном хостинге, заражён один, но здесь вся соль в том, что источник заразы может быть и не именно этот магазин. А дальше уже проблемы собственных предпочтений, что считать варезом и кого упрекать за то что он напоминает об этом, что варез  это как незащищённый секс, может и повезёт, а может и нет и тогда придётся ехать на курорт , где лечат грязями, что бы привыкнуть к земле... Как то так.

PS данный банер от турецко-иранских друзей я видел десятки раз и каждый раз его притащили с феофавано подобных ресурсов, считая что один раз это не так страшно.

[vovaray]

4 минуты назад, Tom сказал:

Не нужно переживать за других пиратов... Комментарий больше , чем в тему. 5 сайтов на одном хостинге, заражён один, но здесь вся соль в том, что источник заразы может быть и не именно этот магазин. А дальше уже проблемы собственных предпочтений, что считать варезом и кого упрекать за то что он напоминает об этом, что варез  это как незащищённый секс, может и повезёт, а может и нет и тогда придётся ехать на курорт , где лечат грязями, что бы привыкнуть к земле... Как то так.

PS данный банер от турецко-иранских друзей я видел десятки раз и каждый раз его притащили с феофавано подобных ресурсов, считая что один раз это не так страшно.

у меня нет ни на одном сайте ни одного нелегального шаблона или модуля. И да, для меня 1 раз страшно, потому что у меня все сайты стоят на одном шаблоне и если смогли взломать 1 сайт, значит могут и другие. Никого не упрекаю, имеете право писать, то что пожелаете - ваши слова, ваше право. Я и так благодарен каждому за помощь и буду рад любому комментарию, который поможет разрешить проблему.

[Tom]

Айболит в помощь. То что взлом был только через базу, мало похоже на правду. А вот то что зараза до сих пор в магазине, более реально.

И так Айболит 

https://revisium.com/ai/

[vovaray]

6 минут назад, Tom сказал:

Айболит в помощь. То что взлом был только через базу, мало похоже на правду. А вот то что зараза до сих пор в магазине, более реально.

И так Айболит 

https://revisium.com/ai/

большое спасибо!

[test2]

Помогло?