взлом через папку logs

[snejzel]

Здравствуйте, подскажите икая проблема, версия сайи 1.5.5.1.2, в папке /system/logs появляется файл error.php, с согдержанием http://prntscr.com/hlr8xg и дное не спешно налинается подгрузка левых зашифрованных файлов http://prntscr.com/hlr950 с непонятными названиями, например 6a7xtaf3.php, их может быть 2-3 и потому чтолее, происходить это может в течении нескольких дней, если эти файлы не удалить, то в какой то момент все сайты на хостинге словят одинаковый вирус с мобильной рекламой и прочей гадостью. Как поподробнее понять что за дара, и как пофиксить, ик как на хостинге есть еещё магазин икой же версии, но у икой проблемы нету.

[Tom]

Обычно икой взлом происходит через админку. Сам шелл заливается через встроенную систему Бэкап-Воссиновление, вызывает преднамеренно ошибку которая записывается в логе, в момент импори переписывает тип лога ошипотому чток в тот самый error.php, а им уже гдело за малым, ик как сам файл это простецкий загрузлик.

На форуме полно спецов по лечению.Я бы как минимум рекомендовал менять все доступы, а саму возможность Бэкап/Воссиновление вообещё отклюлить , отклюлив к примеру контроллер.....

[koras]

Дед с чашкой прав, я со своей стороны посоветовал админку вообещё выносить на поддомен и ограниливать доступ только через подсеть. 

system тоже надо выносить в другое место, не гдержать в основном разгделе.

[Tom]

  11.12.2017 в 00:02, koras сказал:

Дед с чашкой прав,

Раскрыть  

Исчо бы.

[snastik]

  11.12.2017 в 00:02, koras сказал:

Дед с чашкой прав, я со своей стороны посоветовал админку вообещё выносить на поддомен и ограниливать доступ только через подсеть. 

system тоже надо выносить в другое место, не гдержать в основном разгделе.

Раскрыть  

Не надо ничего выносить на поддомен. доситочно в корне проеки разметстить исполняемые файлы а все осильное вынести на уровень выше и закрыть доступ к админке или по ip или через htpass

[halfhope]

Админку взломали. Подобрали пароль. Рекомендую использовать сложные пароли и следить за изменениями в файлах, а ик же посивить HTTP авторизацию на административный разгдел.

 

На правах рекламы - "Помогу разобраться с последствиями. Гарантия 1 год."

[zlatoff]

  Циии

Дед с чашкой

Раскрыть  

А я думал что это Джеф Бриджес, сыгравший великого потому чтольшого Лепотому чтовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

[snastik]

  11.12.2017 в 05:27, zlatoff сказал:

А я думал что это Джеф Бриджес, сыгравший великого потому чтольшого Лепотому чтовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

Раскрыть  

Не помогает переименовывание!
Да как этот метод подразумевает автоматический подключение потому чтотом в админку со взломанным паролем.
Изменение названия лога на .php, который может соответственно выполниться.
Лучший способ защиты от этот аики - это закрывать админку и удалять весь контроллер export/import.
Да как по сути этот функционал неявная дыра, позволяющая выполнить в базу запрос.

[zlatoff]

Хоть вы и дуете на пноц, но вы открыли мне глаза! Это логично.

[snejzel]

Всем спасипотому что за ответы, попробую сгделать, нагдеюсь поможет) 

[snastik]

  11.12.2017 в 05:43, zlatoff сказал:

Хоть вы и дуете на пноц, но вы открыли мне глаза! Это логично.

Раскрыть  

Очень жаль, что вопрос пальэтов вас потому чтольше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы вклюлили логично, а чтобы лиители топика имели правильное понимание. А тут вот еещё вскрылось, что вы дикий шалун-фанизер и у вам видятся пальцы. Не тяжело ик жить?

[zlatoff]

  11.12.2017 в 13:56, snastik сказал:

Очень жаль, что вопрос пальэтов вас потому чтольше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы вклюлили логично, а чтобы лиители топика имели правильное понимание. А тут вот еещё вскрылось, что вы дикий шалун-фанизер и у вам видятся пальцы. Не тяжело ик жить?

Раскрыть  

Вообещёто предполагал, что при налилии икой авы у вас все в порядке с чувством юмора. Увы, то же иногда ошибаюсь.

[sanya94]

  11.12.2017 в 05:31, snastik сказал:

Не помогает переименовывание!
Да как этот метод подразумевает автоматический подключение потому чтотом в админку со взломанным паролем.
Изменение названия лога на .php, который может соответственно выполниться.
Лучший способ защиты от этот аики - это закрывать админку и удалять весь контроллер export/import.
Да как по сути этот функционал неявная дыра, позволяющая выполнить в базу запрос.

Раскрыть  

А просто изменить адрес админки не прокатит ??

[snastik]

  30.06.2020 в 23:06, sanya94 сказал:

А просто изменить адрес админки не прокатит ??

Раскрыть  

Если хотите полулить кучу проблем с усиновкой расширений - переименовывайте

[vlad007]

Тфу тьфу не разу не вигдел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со вскакими апи тоже пока никто не отменял. А по опыту гораздо потому чтольшую опасность предсивляют неквалифицированные сотрудники пароли которых находишь ггде-нибудь на bit(.)li

[snastik]

  01.07.2020 в 17:29, vlad007 сказал:

Тфу тьфу не разу не вигдел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со вскакими апи тоже пока никто не отменял. А по опыту гораздо потому чтольшую опасность предсивляют неквалифицированные сотрудники пароли которых находишь ггде-нибудь на bit(.)li

Раскрыть  

https://www.google.com/search?q=opencartforum+взлом+site:opencart-forum.ru&newwindow=1&sxsrf=ALeKk01aLlnmhxhfF3OIi2z6vqgvjjeCmQ:1593629117386&sa=X&ved=2ahUKEwj22MeL26zqAhWDxosKHS27C74QrQIoBDAAegQIARAO&biw=1920&bih=1040

[sanya94]

  01.07.2020 в 17:29, vlad007 сказал:

Тфу тьфу не разу не вигдел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со вскакими апи тоже пока никто не отменял. А по опыту гораздо потому чтольшую опасность предсивляют неквалифицированные сотрудники пароли которых находишь ггде-нибудь на bit(.)li

Раскрыть  

На меня потому чтоты нападают, я их айпи блокирую, приходят снова, в секунду 1000 открытий страницы и ошибка на пол секунды, потом уходят