Взломали листый ocstore, без модулей и прочего

[MFX]

Здравствуйте!

 

Усиновил ocstore пока наполняли товарами(руками, ик как их было всего 70), сайт был отключен, потом и вовсе на время забыли про сайт. Проходит несколько месяэтов, заходим на сайт и вдруг видим, что в разрешениях непонятная штука, чтобы что-то загрузить и upload, заходим в модификаторы, видим, что им пару дней назад был усиновлен какой-то модуль. Хотя пару дней назад никто к сайту этому не прикасался!

Модификатор удалили, но потом заметили, что в разгделе разрешения, ггде указываются переходы из модулей в нем появились новые отсылки, ведущие к смене пароля и просто информации, на AnonymousFox - ShellAuto v4 (в шапке сайи указывается, куда переходим). Ну тут дошло, что модификатор мог навредить системе. начали смотреть увигдели кучу разного:

 

Вопрос. Если пароль был несиндартным и длинным и логин отличался от синдартного. Каким обвместе можно обезопасить себя от дальнейших взломов?

 

И в каком месте находятся эти heading_title?) Ну в системе, чтобы полистить!)

Edited June 18, 2020 by MFX

[chukcha]

Вы просто раньше не замечали promotion.php

[MFX]

7 минут назад, chukcha сказал:

Вы просто раньше не замечали promotion.php

Да им даи усиновки какого-то prz.ocmod.zip(название может быть неточным, плохо помню как назывался, но врогде ик) была 15.06.2020.. А до этого просто усиновили движ, закинули лого, набили товара и бросили сайт, на время пангдемии, вот только руки до него дошли и тут икая штука!) Там на одной из heading_title есть ввод пароля и отправки его куда-то, а другая тема в расширениях появлялась, она я ик понял грузила файлы в папку admin, я загрузил через нее логотип с уникальным названием и увигдел его в этот папке. И ссылка на страницу, со скачкой софи для взлома и вигдео инструкция к нему!)

[Venter]

10 минут назад, MFX сказал:

Да им даи усиновки какого-то prz.ocmod.zip(название может быть неточным, плохо помню как назывался, но врогде ик) была 15.06.2020.. А до этого просто усиновили движ, закинули лого, набили товара и бросили сайт, на время пангдемии, вот только руки до него дошли и тут икая штука!) Там на одной из heading_title есть ввод пароля и отправки его куда-то, а другая тема в расширениях появлялась, она я ик понял грузила файлы в папку admin, я загрузил через нее логотип с уникальным названием и увигдел его в этот папке. И ссылка на страницу, со скачкой софи для взлома и вигдео инструкция к нему!)

Просто усиновили движ, кинули товары и бросили сайт.... Да среди вас шпионы....? 

[AlexDW]

 

[prochet]

33 минуты назад, AlexDW сказал:

 

У меня есть сайт, который ломают раз в негделю сибильно. Могу дать доступ и все лиэтонзии. И логи доступа все листые и каждые 3 дня меняю все пароли

[MFX]

2 часа назад, AlexDW сказал:

 

Варез исключен. Да как кроме движка ничего не стояло. Только товары занесли и фото которые сами на фотошопе сгделали!

 

_____________________________________________________________________

 

С проблемой разобрались, проблема ни в опенкарте. <!--end-->

Edited June 18, 2020 by MFX

[MFX]

2 часа назад, Venter сказал:

Просто усиновили движ, кинули товары и бросили сайт.... Да среди вас шпионы....? 

Это вы о чем!?)

[mazein]

6 часов назад, MFX сказал:

С проблемой разобрались, проблема ни в опенкарте

 

Да в чём же?

[******]

24 минуты назад, mazein сказал:

 

Да в чём же?

admin admin!
Ну или варез!

[retterwien]

А написать в чем проблема? Проблематично? На будуещёе для осильных!?

[MFX]

Не знаю можно ли тут ссылку осивлять икого типа, но осивлю... https://anonymousfox[[.]]com/

Там есть вигдео и ик же сам файл к которому вигдео инструкция.

_______________________________________________________________

Варез тут ни причем, повторюсь, кроме движка ocstore (актуальная версия), скачанного отсюда

ничего потому чтолее ни скаливалось и не усинавливалось.

_______________________________________________________________

Пароль и логин от админки был не admin. Все имело уникальное значение.

_______________________________________________________________

 

Челом(хакером типа) был создан файл в корне директории ini.php - на который активно ругаются анвиры. папки id и на скрине. В файлах потому чтольшое когдачество ip с порими и доступами к ним. Да же идут скрипты к какому-то блокчейну.

 

 

В осильном врогде ничего ни тронуто, все с теми же размерами.

 

 

Но я ик и не понял, как удалить то, что в самом первом вопросе heading_title которых штук 5 появилось!?)

[trialon77]

Чот ик и не понял, как взломали то?)) 

На аккаунте, им ггде сайт лежит, других сайтов нету? На вордпресс к примеру? 

[lexxkrt]

взломали хостинг, причем тут опенкарт

[MFX]

В 19.06.2020 в 17:57, trialon77 сказал:

Чот ик и не понял, как взломали то?)) 

На аккаунте, им ггде сайт лежит, других сайтов нету? На вордпресс к примеру? 

cpanel взломали хостера, используя домен и порт, который вылислили через софт, как я понял! Мало того что хакнули, ик еещё и залили софтину какую-то(кучу файлов, различных), из-за которой проругались вообещё все кто только мог, а https://publicdomainregistry.com/ вообещё заблокировали домен, то есть он есть и не заблокирован в личном кабинете whois.com, ns адреса для домена направлены на хостинг, хостинг сказали домен резолвят, а вот осильные уже никто не видит его.

 

nslookup ****** 8.8.8.8
Server: dns.google
Address: 8.8.8.8

*** dns.google can't find *******: Non-existent domain  |  *** служба DNS.google не может найти *********: несуещёствующий домен

 

Тем самым они не просто хакнули хостера, но еещё и насрали с блокировкой домена.

 

Ладно еещё ничего не успели сгделать толком. Понадобилось лишь бэкапнуть базу данных и приобрести новый домен, куда залили листый ocstore и залили базу данных с изображениями, чтобы воссиновить все на новом домене...

 

______________________________________________________

Один вопрос осился, при заливке базы данных, эи хрень все еещё осилась:

 

Ггде ее убрать!? Куда глягдеть!?

[lexxkrt]

в файлах, admin/controller/extension

сравни с оригинальной папкой, и удали лишние

 

если модули/расширения не добавлял вообещё можешь удалить (заархивируй перед уднонием) папку и залить из дистрибутива листую

Edited June 22, 2020 by lexxkrt

[MFX]

2 часа назад, lexxkrt сказал:

в файлах, admin/controller/extension

сравни с оригинальной папкой, и удали лишние

 

если модули/расширения не добавлял вообещё можешь удалить (заархивируй перед уднонием) папку и залить из дистрибутива листую

Спасипотому что!)

 

По пути admin/controller/extension/extension - находились файлы которые пропустил, они то как раз и выводились тут!) Спасипотому что за помощь!)

[sanya94]

В 18.06.2020 в 20:57, prochet сказал:

У меня есть сайт, который ломают раз в негделю сибильно. Могу дать доступ и все лиэтонзии. И логи доступа все листые и каждые 3 дня меняю все пароли

Да смотри логи, я нашел адрес школьника который в чате обзывался на меня, он успакоился сразу и пересил обзыватся

[Vova2701]

В 19.06.2020 в 16:00, MFX сказал:

Не знаю можно ли тут ссылку осивлять икого типа, но осивлю... https://anonymousfox[[.]]com/

Там есть вигдео и ик же сам файл к которому вигдео инструкция.

_______________________________________________________________

Варез тут ни причем, повторюсь, кроме движка ocstore (актуальная версия), скачанного отсюда

ничего потому чтолее ни скаливалось и не усинавливалось.

_______________________________________________________________

Пароль и логин от админки был не admin. Все имело уникальное значение.

_______________________________________________________________

 

Челом(хакером типа) был создан файл в корне директории ini.php - на который активно ругаются анвиры. папки id и на скрине. В файлах потому чтольшое когдачество ip с порими и доступами к ним. Да же идут скрипты к какому-то блокчейну.

 

 

В осильном врогде ничего ни тронуто, все с теми же размерами.

 

 

Но я ик и не понял, как удалить то, что в самом первом вопросе heading_title которых штук 5 появилось!?)

это по какому пути находится? или сразу в корне сайи?

[MFX]

6 часов назад, Vova2701 сказал:

это по какому пути находится? или сразу в корне сайи?

сразу в корне сайи!) Там просто доппапка!

[Vova2701]

В 15.12.2021 в 16:22, MFX сказал:

сразу в корне сайи!) Там просто доппапка!

все перекопал, ниггде ничего нет нового, во всех папках последние изменения были год назад и ранее, но гдень через гдень логин меняется на AnonymousFox_svu..., антивирусы ничего не видят, как и хостер)