[Сборка] maxystore взломали

Тема в разделе "OpenCart", создана пользователем blessed, 30 апр 2013.

  1. blessed

    blessed

    Регистрация:
    29 апр 2013
    Сообщения:
    23
    Симпатии:
    6
    утром на сайт а вместо сайта, какая то фигня арабская..
    зайдя на фтп увидел, что подменили файл index на это:

    сайт стоит на maxystore 1.5.4.1
    подскажите как могли взломать и как закрыть уязвимость
     
  2. Platinumhost

    Platinumhost

    Регистрация:
    22 дек 2012
    Сообщения:
    50
    Симпатии:
    5
    ассе лог покажи
     
  3. blessed

    blessed

    Регистрация:
    29 апр 2013
    Сообщения:
    23
    Симпатии:
    6
    а где лог лежит ?

    зашел в довнлоадс а там появился файл omar1.php.6d90c3a62f1ee1dfbb0b4221fbf0d5a6
     
  4. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.581
    Симпатии:
    1.482
    blessed, могли по разному. нужно анализировать access.log

    1. через соседей
    2. через баги в php, apache, ftp и т.д.
    3. плохой пароль к фтп
     
  5. rwa

    rwa

    Регистрация:
    3 дек 2012
    Сообщения:
    14
    Симпатии:
    2
    найди access лог от Апачи (если он у тебя стот, расположение зависит от Оси) в нем по имени файла: omar1.php.6d90c3a62f1ee1dfbb0b4221fbf0d5a6
    найди IP и время взлома, а там в обратном порядке по IP восстановишь картину
     
  6. seregha

    seregha

    Регистрация:
    8 апр 2013
    Сообщения:
    81
    Симпатии:
    17
    не храни пароли в программах типа (total commander). Это раз. А во-вторых почисти все страницы от кодов типа <iframe> и <script>. Посмотри где что подозрительно выглядит и удаляй. Это обычный вирус. Ничего особенного.
    А еще лучше создавать файлы типа .passwrd на ftp. Подробности есть в FAQ по OPENCART
     
  7. blackfm

    blackfm

    Регистрация:
    29 янв 2013
    Сообщения:
    182
    Симпатии:
    35
    дважды ломали сайты заказчиков - в обоих случаях - сохраненные пароли к фтп в менеджере
     
  8. Florenco

    Florenco

    Регистрация:
    3 мар 2013
    Сообщения:
    220
    Симпатии:
    102
    Один из путей вторжения - вирусы на компьютере. После исправления поставьте на файлы index.php и .htaccess в корне и в папке admin права 444
     
  9. cezarj92

    cezarj92

    Регистрация:
    17 дек 2012
    Сообщения:
    44
    Симпатии:
    52
    Для начало: Меняем путь в админку, закрываем файлы ошибок через хтаццес, ставим сложный пароль, не сохраняем пароли в блокноты, любые текст файлы, не сохраняем в разных программах и ставим пароль в админку такой, чтоб больше он нигде не использовался, не забываем делать резервные копии( ну на всякий пожарный) и радуемся жизни))) Ах да, и с умом ставим стороннии модули))
     
  10. Florenco

    Florenco

    Регистрация:
    3 мар 2013
    Сообщения:
    220
    Симпатии:
    102
    cezarj92 Достаточно в папке admin htaccess положить с доступом по одному ip
     
  11. fedia

    fedia

    Регистрация:
    4 авг 2013
    Сообщения:
    104
    Симпатии:
    13
    OpenCart не использует какой-либо защиты от CSRF в панели пользователя. Уязвимость присутствует вплоть до последней версии CMS. не думаю что maxystore исключение http://atsec.ru/csrf-v-paneli-polzovatelya-opencart/
     
  12. Eksin

    Eksin Динозавр :)

    Регистрация:
    20 авг 2013
    Сообщения:
    111
    Симпатии:
    27
    ёк макарёк , отЭц... а ну-ка залейся через csrf .... :wink:)

    зы. не писал бы уже бред... или не набивал бы посты...

    зыы. дядюшка $id дело сказал, в своём посте...
     
  13. Alexandr

    Alexandr

    Регистрация:
    6 ноя 2012
    Сообщения:
    179
    Симпатии:
    52
    Если у человека есть доступ к ftp никакие .pwd на /admin не помогут.
     
  14. Baco

    Baco Антихронофаг Команда форума

    Регистрация:
    9 окт 2012
    Сообщения:
    803
    Симпатии:
    399
    Глянул статью, могу сказать "Миф развенчан"...
    Для смены пароля, в пользовательском интерфейсе использйется функция:
    PHP:
    $this->model_account_customer->editPassword($this->customer->getEmail(), $this->request->post['password']);
    Теперь резонный вопрос, где в той форме, берётся идентификатор емей-ла ? (если с сессии - то сменится пароль залогиненного пользователя) иначе - false.