взлом через папку logs

[snejzel]

Здравствуйте, подскажите такая проблема, версия сайта 1.5.5.1.2, в папке /system/logs появляется файл error.php, с содержанием http://prntscr.com/hlr8xg и далее не спешно начинается подгрузка левых зашифрованных файлов http://prntscr.com/hlr950 с непонятными названиями, например 6a7xtaf3.php, их может быть 2-3 и более, происходить это может в течении нескольких дней, если эти файлы не удалить, то в какой то момент все сайты на хостинге словят одинаковый вирус с мобильной рекламой и прочей гадостью. Как поподробнее понять что за дара, и как пофиксить, так как на хостинге есть еще магазин такой же версии, но у такой проблемы нету.

[Tom]

Обычно такой взлом происходит через админку. Сам шелл заливается через встроенную систему Бэкап-Восстановление, вызывает преднамеренно ошибку которая записывается в логе, в момент импорта переписывает тип лога ошибок в тот самый error.php, а там уже дело за малым, так как сам файл это простецкий загрузчик.

На форуме полно спецов по лечению.Я бы как минимум рекомендовал менять все доступы, а саму возможность Бэкап/Восстановление вообще отключить , отключив к примеру контроллер.....

[koras]

Дед с чашкой прав, я со своей стороны посоветовал админку вообще выносить на поддомен и ограничивать доступ только через подсеть. 

system тоже надо выносить в другое место, не держать в основном разделе.

[Tom]

2 минуты назад, koras сказал:

Дед с чашкой прав,

Исчо бы.

[snastik]

44 минуты назад, koras сказал:

Дед с чашкой прав, я со своей стороны посоветовал админку вообще выносить на поддомен и ограничивать доступ только через подсеть. 

system тоже надо выносить в другое место, не держать в основном разделе.

Не надо ничего выносить на поддомен. достаточно в корне проекта разметстить исполняемые файлы а все остальное вынести на уровень выше и закрыть доступ к админке или по ip или через htpass

[halfhope]

Админку взломали. Подобрали пароль. Рекомендую использовать сложные пароли и следить за изменениями в файлах, а так же поставить HTTP авторизацию на административный раздел.

 

На правах рекламы - "Помогу разобраться с последствиями. Гарантия 1 год."

[zlatoff]

Цитата

Дед с чашкой

А я думал что это Джеф Бриджес, сыгравший великого большого Лебовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

[snastik]

Только что, zlatoff сказал:

А я думал что это Джеф Бриджес, сыгравший великого большого Лебовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

Не помогает переименовывание!
Так как этот метод подразумевает автоматический подключение ботом в админку со взломанным паролем.
Изменение названия лога на .php, который может соответственно выполниться.
Лучший способ защиты от этой атаки - это закрывать админку и удалять весь контроллер export/import.
Так как по сути этот функционал неявная дыра, позволяющая выполнить в базу запрос.

[zlatoff]

Хоть вы и дуете на палец, но вы открыли мне глаза! Это логично.

[snejzel]

Всем спасибо за ответы, попробую сделать, надеюсь поможет) 

[snastik]

8 часов назад, zlatoff сказал:

Хоть вы и дуете на палец, но вы открыли мне глаза! Это логично.

Очень жаль, что вопрос пальцев вас больше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы включили логично, а чтобы читатели топика имели правильное понимание. А тут вот еще вскрылось, что вы дикий шалун-фантазер и у вам видятся пальцы. Не тяжело так жить?

[zlatoff]

13 часов назад, snastik сказал:

Очень жаль, что вопрос пальцев вас больше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы включили логично, а чтобы читатели топика имели правильное понимание. А тут вот еще вскрылось, что вы дикий шалун-фантазер и у вам видятся пальцы. Не тяжело так жить?

Вообщето предполагал, что при наличии такой авы у вас все в порядке с чувством юмора. Увы, то же иногда ошибаюсь.

[sanya94]

В 11.12.2017 в 08:31, snastik сказал:

Не помогает переименовывание!
Так как этот метод подразумевает автоматический подключение ботом в админку со взломанным паролем.
Изменение названия лога на .php, который может соответственно выполниться.
Лучший способ защиты от этой атаки - это закрывать админку и удалять весь контроллер export/import.
Так как по сути этот функционал неявная дыра, позволяющая выполнить в базу запрос.

А просто изменить адрес админки не прокатит ??

[snastik]

16 часов назад, sanya94 сказал:

А просто изменить адрес админки не прокатит ??

Если хотите получить кучу проблем с установкой расширений - переименовывайте

[vlad007]

Тфу тьфу не разу не видел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со всякими апи тоже пока никто не отменял. А по опыту гораздо большую опасность представляют неквалифицированные сотрудники пароли которых находишь где-нибудь на bit(.)li

[snastik]

1 час назад, vlad007 сказал:

Тфу тьфу не разу не видел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со всякими апи тоже пока никто не отменял. А по опыту гораздо большую опасность представляют неквалифицированные сотрудники пароли которых находишь где-нибудь на bit(.)li

https://www.google.com/search?q=opencartforum+взлом+site:opencart-forum.ru&newwindow=1&sxsrf=ALeKk01aLlnmhxhfF3OIi2z6vqgvjjeCmQ:1593629117386&sa=X&ved=2ahUKEwj22MeL26zqAhWDxosKHS27C74QrQIoBDAAegQIARAO&biw=1920&bih=1040

[sanya94]

В 01.07.2020 в 20:29, vlad007 сказал:

Тфу тьфу не разу не видел чтобы кто то ломился в oc. Обычно в настройках сервера сразу обрубаешь концы. Иногда конечно приходится выбирать между "польза"-"вред" интеграции со всякими апи тоже пока никто не отменял. А по опыту гораздо большую опасность представляют неквалифицированные сотрудники пароли которых находишь где-нибудь на bit(.)li

На меня боты нападают, я их айпи блокирую, приходят снова, в секунду 1000 открытий страницы и ошибка на пол секунды, потом уходят