Post by benpet » Mon Apr 12, 2010 5:36 am

Ahoj,
dnes vecer pri pripojeni na muj eshop se mi pokusil dostat do pocitace virus. Konkretne slo o VBS/TrojanDownloader.Psyme.NGJ. Na webu jsem objevil v popisu obchodu, ze u nekterych ceskych znaku chybi diakritika a je nahrazena otazniky. Kdyz jsem si zobrazil zdrojovy kod, nasel jsem iframe, ktery pravdepodobne spustil stahovani trojskeho kone.
Nedavno jsem aktualizoval opencart na verzi 1.3.4.
Ted otazka, myslite si, ze mohlo dojit k napadeni databaze hostingu? Podpora mi tvrdi, ze k nicemu takovemu nedoslo a ze bude chyba u me, coz zase ja vylucuju.
Nemuze mit opencart nekde zadni vratka nebo chybu, ktera dovoli zmenu obsahu webu i bez znalosti hesla databaze?
Utok sel totiz cilene na presny klic v tabulce databaze, kde se nachazi popis obchodu a ne na treba sablonu.

Newbie

Posts

Joined
Wed Jul 01, 2009 7:32 pm

Post by Pot'a » Mon Apr 12, 2010 6:35 pm

Tohle není chyba OC ani tvého hostingu.

Tyto JS se nahrávají na server skrze FTP protokol. Tedy buď máš příliš jednoduché přístupové údaje na server nebo máš přístupové údaje uložené ve svém OS a ten má v sobě nějakou havěť v podobě viru nebo co to všechno pro Windows existuje.

Má rada:
- změnit přístupové údaje na server (FTP protokol)
- přístupové údaje neukládat v FTP klientovi
- opravit soubory (obvykle index)

Čeština (v1.3.x, v1.4.x) | IČ a DIČ zákazníka (v1.3.x, v1.4.x) | XML feed zbozi.cz


Active Member

Posts

Joined
Tue Sep 01, 2009 1:48 pm
Location - Prague [CZE]

Post by benpet » Mon Apr 12, 2010 7:49 pm

No na podpore mi rekli neco podobneho. Je fakt, ze jsem nezmenil defaultni heslo, co mi pridelil hosting, ale zase bylo slozene z osmi znaku velka, mala pismena a cisla. Admin heslo do administrace ma 20 znaku.
Hesla si neukladam, respektive mam je ulozena v programu keypassword pod master heslem. Proti haveti me chrani na jednom pocitaci Eset a na druhem McAfee, oba legalni a aktualizovane, takze na havet v pocitaci taky nesazim.
Me se zda divne, ze sel ten utok primo na konkretni tabulku, jako by byl na miru Opencart. Veskere sablony jsou v poradku.
Hnedka jsem zmenil vsechny hesla do administrace, ftp, databaze, ...

Diky za rady.

Newbie

Posts

Joined
Wed Jul 01, 2009 7:32 pm

Post by Pot'a » Mon Apr 12, 2010 9:24 pm

Já nejsem expert na OS Windows, pouze vím jak to chodí - virus, keylogger,atd.

On byl ten JS vložen v databázi nebo v některém ze souborů (.php, .html)?

Čeština (v1.3.x, v1.4.x) | IČ a DIČ zákazníka (v1.3.x, v1.4.x) | XML feed zbozi.cz


Active Member

Posts

Joined
Tue Sep 01, 2009 1:48 pm
Location - Prague [CZE]

Post by muflon » Mon Apr 12, 2010 9:32 pm

Treba vymzat dompdf kniznicu je to bezpecnostne riziko opencartu riesi sa to na fore. Opencart tuto kniznicu nevyuziva ale ma ju system/helper/dompdf/ vymazte tuto zlozku!

New member

Posts

Joined
Mon Aug 24, 2009 2:43 pm

Post by Pot'a » Mon Apr 12, 2010 10:02 pm

muflon wrote:Treba vymzat dompdf kniznicu je to bezpecnostne riziko opencartu riesi sa to na fore. Opencart tuto kniznicu nevyuziva ale ma ju system/helper/dompdf/ vymazte tuto zlozku!
Pěkné! To jsem ani nevěděl. Díky za tip :)

Čeština (v1.3.x, v1.4.x) | IČ a DIČ zákazníka (v1.3.x, v1.4.x) | XML feed zbozi.cz


Active Member

Posts

Joined
Tue Sep 01, 2009 1:48 pm
Location - Prague [CZE]

Post by benpet » Mon Apr 12, 2010 10:47 pm

Pot'a wrote:Já nejsem expert na OS Windows, pouze vím jak to chodí - virus, keylogger,atd.

On byl ten JS vložen v databázi nebo v některém ze souborů (.php, .html)?
Slo o iframe a byl primo v databazi - klic config_welcome_1 v tabulce eshop_setting.
Kdybych chtel nejaky skodlivy kod umistit do opencartu, dam ho do paticky, aby se spustil na jakekoliv strance a ne jen na indexu. ;-) Muzu poskytnout i zdroj, mam ho zkopirovanej. Jen nevim, jestli ho sem muzu dat :-D
muflon wrote:Treba vymzat dompdf kniznicu je to bezpecnostne riziko opencartu riesi sa to na fore. Opencart tuto kniznicu nevyuziva ale ma ju system/helper/dompdf/ vymazte tuto zlozku!
Diky! Ted uz snad budu klidnejsi.

Newbie

Posts

Joined
Wed Jul 01, 2009 7:32 pm

Post by muflon » Mon Apr 12, 2010 11:13 pm

bolo by zaujimave zistit ako sa dostali do tvojej databazy skus pozriet logy ci niekto nepristupoval k tejto kniznici alebo nejakemu zvlastnemu suboru. Priamo opencart je tazke heknut lebo pri pristupe do databazy ma osetrene vstupy ale moze sa stat ze Daniel na nieco zabudol. Aj pripady co sa riesili na fore boli vecsinou sposobene slabymi heslami alebo slabym zabezpecenim zo strany hostingu (cpanel...)

New member

Posts

Joined
Mon Aug 24, 2009 2:43 pm

Post by benpet » Tue Apr 13, 2010 1:17 pm

muflon wrote:
K logum se asi nedostanu, respektive podpora me nabidla nekolik giga logu.
ve statistikach navstevnosti jsem nasel tyto "stopy"

Code: Select all

mojedomena.cz/%27%20+%20$(%27	2	4.35 KB
mojedomena.cz/admin/view/javascript/fckeditor/editor/filemanager/connectors/php/upload.php 1	4.35 KB
mojedomena.cz/system/helper/dompdf/dompdf.php	1	31 Bytů
Taky se mi tam objevily 2 navstevy z ruska - investelektrosviaz ltd. - mozna je to jen proxyna

Muzu neco najit v databazi nebo nekde v opencart?
Nemuze nekdo zneuzit ten upload.php?

Myslim, ze se stalo presne tohle http://forum.opencart.com/viewtopic.php ... pdf#p65460

Newbie

Posts

Joined
Wed Jul 01, 2009 7:32 pm
Who is online

Users browsing this forum: Google [Bot] and 2 guests