Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Sign Up

взлом через папку logs


Recommended Posts

Здравствуйте, подскажите такая проблема, версия сайта 1.5.5.1.2, в папке /system/logs появляется файл error.php, с содержанием http://prntscr.com/hlr8xg и далее не спешно начинается подгрузка левых зашифрованных файлов http://prntscr.com/hlr950 с непонятными названиями, например 6a7xtaf3.php, их может быть 2-3 и более, происходить это может в течении нескольких дней, если эти файлы не удалить, то в какой то момент все сайты на хостинге словят одинаковый вирус с мобильной рекламой и прочей гадостью. Как поподробнее понять что за дара, и как пофиксить, так как на хостинге есть еще магазин такой же версии, но у такой проблемы нету.

Link to post
Share on other sites

Обычно такой взлом происходит через админку. Сам шелл заливается через встроенную систему Бэкап-Восстановление, вызывает преднамеренно ошибку которая записывается в логе, в момент импорта переписывает тип лога ошибок в тот самый error.php, а там уже дело за малым, так как сам файл это простецкий загрузчик.

На форуме полно спецов по лечению.Я бы как минимум рекомендовал менять все доступы, а саму возможность Бэкап/Восстановление вообще отключить , отключив к примеру контроллер.....

  • +1 1
Link to post
Share on other sites

Дед с чашкой прав, я со своей стороны посоветовал админку вообще выносить на поддомен и ограничивать доступ только через подсеть. 

system тоже надо выносить в другое место, не держать в основном разделе.

Link to post
Share on other sites
44 минуты назад, koras сказал:

Дед с чашкой прав, я со своей стороны посоветовал админку вообще выносить на поддомен и ограничивать доступ только через подсеть. 

system тоже надо выносить в другое место, не держать в основном разделе.

Не надо ничего выносить на поддомен. достаточно в корне проекта разметстить исполняемые файлы а все остальное вынести на уровень выше и закрыть доступ к админке или по ip или через htpass

  • +1 1
Link to post
Share on other sites

Админку взломали. Подобрали пароль. Рекомендую использовать сложные пароли и следить за изменениями в файлах, а так же поставить HTTP авторизацию на административный раздел.

 

На правах рекламы - "Помогу разобраться с последствиями. Гарантия 1 год."

Link to post
Share on other sites
Цитата

Дед с чашкой

А я думал что это Джеф Бриджес, сыгравший великого большого Лебовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

Link to post
Share on other sites

Только что, zlatoff сказал:

А я думал что это Джеф Бриджес, сыгравший великого большого Лебовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

Не помогает переименовывание!
Так как этот метод подразумевает автоматический подключение ботом в админку со взломанным паролем.
Изменение названия лога на .php, который может соответственно выполниться.
Лучший способ защиты от этой атаки - это закрывать админку и удалять весь контроллер export/import.
Так как по сути этот функционал неявная дыра, позволяющая выполнить в базу запрос.

  • +1 4
Link to post
Share on other sites

Хоть вы и дуете на палец, но вы открыли мне глаза! Это логично.

Link to post
Share on other sites

Всем спасибо за ответы, попробую сделать, надеюсь поможет) 

Link to post
Share on other sites

8 часов назад, zlatoff сказал:

Хоть вы и дуете на палец, но вы открыли мне глаза! Это логично.

Очень жаль, что вопрос пальцев вас больше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы включили логично, а чтобы читатели топика имели правильное понимание. А тут вот еще вскрылось, что вы дикий шалун-фантазер и у вам видятся пальцы. Не тяжело так жить?

Link to post
Share on other sites
13 часов назад, snastik сказал:

Очень жаль, что вопрос пальцев вас больше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы включили логично, а чтобы читатели топика имели правильное понимание. А тут вот еще вскрылось, что вы дикий шалун-фантазер и у вам видятся пальцы. Не тяжело так жить?

Вообщето предполагал, что при наличии такой авы у вас все в порядке с чувством юмора. Увы, то же иногда ошибаюсь.

  • +1 1
Link to post
Share on other sites

  • 2 years later...
В 11.12.2017 в 08:31, snastik сказал:

Не помогает переименовывание!
Так как этот метод подразумевает автоматический подключение ботом в админку со взломанным паролем.
Изменение названия лога на .php, который может соответственно выполниться.
Лучший способ защиты от этой атаки - это закрывать админку и удалять весь контроллер export/import.
Так как по сути этот функционал неявная дыра, позволяющая выполнить в базу запрос.

А просто изменить адрес админки не прокатит ??

Link to post
Share on other sites

16 часов назад, sanya94 сказал:

А просто изменить адрес админки не прокатит ??

Если хотите получить кучу проблем с установкой расширений - переименовывайте

Link to post
Share on other sites

Тфу тьфу не разу не видел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со всякими апи тоже пока никто не отменял. А по опыту гораздо большую опасность представляют неквалифицированные сотрудники пароли которых находишь где-нибудь на bit(.)li

Link to post
Share on other sites

1 час назад, vlad007 сказал:

Тфу тьфу не разу не видел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со всякими апи тоже пока никто не отменял. А по опыту гораздо большую опасность представляют неквалифицированные сотрудники пароли которых находишь где-нибудь на bit(.)li

https://www.google.com/search?q=opencartforum+взлом+site:opencartforum.com&newwindow=1&sxsrf=ALeKk01aLlnmhxhfF3OIi2z6vqgvjjeCmQ:1593629117386&sa=X&ved=2ahUKEwj22MeL26zqAhWDxosKHS27C74QrQIoBDAAegQIARAO&biw=1920&bih=1040

Link to post
Share on other sites
В 01.07.2020 в 20:29, vlad007 сказал:

Тфу тьфу не разу не видел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со всякими апи тоже пока никто не отменял. А по опыту гораздо большую опасность представляют неквалифицированные сотрудники пароли которых находишь где-нибудь на bit(.)li

На меня боты нападают, я их айпи блокирую, приходят снова, в секунду 1000 открытий страницы и ошибка на пол секунды, потом уходят 

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.