Jump to content
snejzel

взлом через папку logs

Recommended Posts

Здравствуйте, подскажите такая проблема, версия сайта 1.5.5.1.2, в папке /system/logs появляется файл error.php, с содержанием http://prntscr.com/hlr8xg и далее не спешно начинается подгрузка левых зашифрованных файлов http://prntscr.com/hlr950 с непонятными названиями, например 6a7xtaf3.php, их может быть 2-3 и более, происходить это может в течении нескольких дней, если эти файлы не удалить, то в какой то момент все сайты на хостинге словят одинаковый вирус с мобильной рекламой и прочей гадостью. Как поподробнее понять что за дара, и как пофиксить, так как на хостинге есть еще магазин такой же версии, но у такой проблемы нету.

Share this post


Link to post
Share on other sites

Обычно такой взлом происходит через админку. Сам шелл заливается через встроенную систему Бэкап-Восстановление, вызывает преднамеренно ошибку которая записывается в логе, в момент импорта переписывает тип лога ошибок в тот самый error.php, а там уже дело за малым, так как сам файл это простецкий загрузчик.

На форуме полно спецов по лечению.Я бы как минимум рекомендовал менять все доступы, а саму возможность Бэкап/Восстановление вообще отключить , отключив к примеру контроллер.....

  • +1 1

Share this post


Link to post
Share on other sites

Дед с чашкой прав, я со своей стороны посоветовал админку вообще выносить на поддомен и ограничивать доступ только через подсеть. 

system тоже надо выносить в другое место, не держать в основном разделе.

Share this post


Link to post
Share on other sites
2 минуты назад, koras сказал:

Дед с чашкой прав,

:-D

Исчо бы.

  • +1 1

Share this post


Link to post
Share on other sites
44 минуты назад, koras сказал:

Дед с чашкой прав, я со своей стороны посоветовал админку вообще выносить на поддомен и ограничивать доступ только через подсеть. 

system тоже надо выносить в другое место, не держать в основном разделе.

Не надо ничего выносить на поддомен. достаточно в корне проекта разметстить исполняемые файлы а все остальное вынести на уровень выше и закрыть доступ к админке или по ip или через htpass

  • +1 1

Share this post


Link to post
Share on other sites

Админку взломали. Подобрали пароль. Рекомендую использовать сложные пароли и следить за изменениями в файлах, а так же поставить HTTP авторизацию на административный раздел.

 

На правах рекламы - "Помогу разобраться с последствиями. Гарантия 1 год."

Share this post


Link to post
Share on other sites
Цитата

Дед с чашкой

А я думал что это Джеф Бриджес, сыгравший великого большого Лебовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

Share this post


Link to post
Share on other sites
Только что, zlatoff сказал:

А я думал что это Джеф Бриджес, сыгравший великого большого Лебовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

Не помогает переименовывание!
Так как этот метод подразумевает автоматический подключение ботом в админку со взломанным паролем.
Изменение названия лога на .php, который может соответственно выполниться.
Лучший способ защиты от этой атаки - это закрывать админку и удалять весь контроллер export/import.
Так как по сути этот функционал неявная дыра, позволяющая выполнить в базу запрос.

  • +1 4

Share this post


Link to post
Share on other sites

Хоть вы и дуете на палец, но вы открыли мне глаза! Это логично.

Share this post


Link to post
Share on other sites

Всем спасибо за ответы, попробую сделать, надеюсь поможет) 

Share this post


Link to post
Share on other sites
8 часов назад, zlatoff сказал:

Хоть вы и дуете на палец, но вы открыли мне глаза! Это логично.

Очень жаль, что вопрос пальцев вас больше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы включили логично, а чтобы читатели топика имели правильное понимание. А тут вот еще вскрылось, что вы дикий шалун-фантазер и у вам видятся пальцы. Не тяжело так жить?

Share this post


Link to post
Share on other sites
13 часов назад, snastik сказал:

Очень жаль, что вопрос пальцев вас больше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы включили логично, а чтобы читатели топика имели правильное понимание. А тут вот еще вскрылось, что вы дикий шалун-фантазер и у вам видятся пальцы. Не тяжело так жить?

Вообщето предполагал, что при наличии такой авы у вас все в порядке с чувством юмора. Увы, то же иногда ошибаюсь.

  • +1 1

Share this post


Link to post
Share on other sites
В 11.12.2017 в 08:31, snastik сказал:

Не помогает переименовывание!
Так как этот метод подразумевает автоматический подключение ботом в админку со взломанным паролем.
Изменение названия лога на .php, который может соответственно выполниться.
Лучший способ защиты от этой атаки - это закрывать админку и удалять весь контроллер export/import.
Так как по сути этот функционал неявная дыра, позволяющая выполнить в базу запрос.

А просто изменить адрес админки не прокатит ??

Share this post


Link to post
Share on other sites
16 часов назад, sanya94 сказал:

А просто изменить адрес админки не прокатит ??

Если хотите получить кучу проблем с установкой расширений - переименовывайте

Share this post


Link to post
Share on other sites

Тфу тьфу не разу не видел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со всякими апи тоже пока никто не отменял. А по опыту гораздо большую опасность представляют неквалифицированные сотрудники пароли которых находишь где-нибудь на bit(.)li

Share this post


Link to post
Share on other sites
1 час назад, vlad007 сказал:

Тфу тьфу не разу не видел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со всякими апи тоже пока никто не отменял. А по опыту гораздо большую опасность представляют неквалифицированные сотрудники пароли которых находишь где-нибудь на bit(.)li

https://www.google.com/search?q=opencartforum+взлом+site:opencartforum.com&newwindow=1&sxsrf=ALeKk01aLlnmhxhfF3OIi2z6vqgvjjeCmQ:1593629117386&sa=X&ved=2ahUKEwj22MeL26zqAhWDxosKHS27C74QrQIoBDAAegQIARAO&biw=1920&bih=1040

Share this post


Link to post
Share on other sites
В 01.07.2020 в 20:29, vlad007 сказал:

Тфу тьфу не разу не видел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со всякими апи тоже пока никто не отменял. А по опыту гораздо большую опасность представляют неквалифицированные сотрудники пароли которых находишь где-нибудь на bit(.)li

На меня боты нападают, я их айпи блокирую, приходят снова, в секунду 1000 открытий страницы и ошибка на пол секунды, потом уходят 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.