Информация Уязвимость шаблона Warehouse для Presta
- Автор темы marvinz
- Дата начала
hadahan
Постоялец
- Регистрация
- 21 Фев 2008
- Сообщения
- 70
- Реакции
- 98
Как я "замотался" отбиваться от этих хакеров, теперь не беру шаблоны из открытых источников (не считая Nulled 
), а то обжегся на темах для WordPress, пару месяцев назад, в очередной раз переделал по новой все сайты, шаблоны стандартные из WP, а для PrestaShop тут Warehouse последние годы брал.
Вот опять взломали, теперь через Warehouse, хорошо, что меня взламывали уже 3-4 раза, я каждый раз учусь чему-то новому.
Начал восстанавливать бэкапы, взломали меня где-то месяц назад, только сейчас Presta выдала ошибку 500 и я начал выяснять почему, сразу в глаза бросились левые файлы в каталоге prestashop.
Проверил ай-болит'ом, заметил что в simpleslideshow много вирусняка, поковырявшись в файлах, выяснил, что это какой-то исламский хакер поддерживающий терроризм
.
Начал удалять simpleslideshow, у меня всего 1 слайд был так что я вставил его в модуль textbanners - у него нет функции закачки файлов, думаю его не взломают.
Сейчас все семь модулей, что тут описывали раньше - удалил т.к. не используются.
Так же теперь всегда меняю порт SSH, т.к. начинали брут-форс атаку - подбор пароля и север начинал тормозить и виснуть.
Делаете cron задание и допустим раз в 30 мин проверку всех файлов на сервере, требует настройки, например что бы не приходили уведомления об изменении в папках типа "cache" их можно исключить.
Автор сделал его как дополнение для DLE, но он работает с любыми CMS. (прикреплю на всякий случай)
), а то обжегся на темах для WordPress, пару месяцев назад, в очередной раз переделал по новой все сайты, шаблоны стандартные из WP, а для PrestaShop тут Warehouse последние годы брал.Вот опять взломали, теперь через Warehouse, хорошо, что меня взламывали уже 3-4 раза, я каждый раз учусь чему-то новому.
Начал восстанавливать бэкапы, взломали меня где-то месяц назад, только сейчас Presta выдала ошибку 500 и я начал выяснять почему, сразу в глаза бросились левые файлы в каталоге prestashop.
Проверил ай-болит'ом, заметил что в simpleslideshow много вирусняка, поковырявшись в файлах, выяснил, что это какой-то исламский хакер поддерживающий терроризм
.Начал удалять simpleslideshow, у меня всего 1 слайд был так что я вставил его в модуль textbanners - у него нет функции закачки файлов, думаю его не взломают.
Сейчас все семь модулей, что тут описывали раньше - удалил т.к. не используются.
Так же теперь всегда меняю порт SSH, т.к. начинали брут-форс атаку - подбор пароля и север начинал тормозить и виснуть.
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
Еще установил ZEOS Antivirus - прикольная штука, ее мне и не хватало для оперативного реагирования, не сложная утилита, делает отпечаток всех ваших файлов на сервере, если что то изменилось или было удалено, вам придет уведомление с указанием файлов и что с ними произошло.Делаете cron задание и допустим раз в 30 мин проверку всех файлов на сервере, требует настройки, например что бы не приходили уведомления об изменении в папках типа "cache" их можно исключить.
Автор сделал его как дополнение для DLE, но он работает с любыми CMS. (прикреплю на всякий случай)
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
Буду надеяться что дыр не осталось 
marvinz
Гуру форума
- Регистрация
- 7 Апр 2009
- Сообщения
- 164
- Реакции
- 85
- Автор темы
- #103
Для просмотра ссылки Войди или Зарегистрируйся, хочу уточнить - а варехаус последний доступный стоял или нет?
hadahan
Постоялец
- Регистрация
- 21 Фев 2008
- Сообщения
- 70
- Реакции
- 98
Warehouse 3.7.4 обновленный до 3.7.5.
hadahan
Постоялец
- Регистрация
- 21 Фев 2008
- Сообщения
- 70
- Реакции
- 98
Опять до меня доковырялся кто то, не знаю на сколько опытный т.к. я забанил его по IP.
Уже несколько дней была нагрузка на процессор в среднем 80%, все работало, но с подтормаживаниями.
В логах плохо разбираюсь, в поддержке сказали что идут обращения к wp-login.php одного из моих сайтов на WordPress, установил модули для защиты нагрузка не прекратилась.
Взял все файлы Prestashop и переместил в подкаталог и наблюдал за статистикой через SSH с командой top, нагрузка упала, так я понял, что опять кто то доковырялся до магазина.
Установил server-status, сразу мне не понравилась повторяющаяся строка:
5.231.208.237 shop.jesti.in:8080 GET /blog?sb_category=novosti'+and+if(((/*!SelEcT*/+conv(substr - кто-нибудь знает что это за запрос?!
"novosti" - это единственная категория в моем blog for prestashop, я отключил все модули blog for prestashop, нагрузка не прекратилась.
Отчаявшись решил забанить IP: 5.231.208.237, с которого идет обращение, дабы убедиться, что это он грузит.
Где-то нашел ссылку на сервис, там вводишь необходимые для бана IP, а он выдает то, что нужно вставить в .htaccess файл
Вот мне стало интересно, есть ли какое то готовое решение для автоматического бана по IP если с него грузит сервер?!
Уже несколько дней была нагрузка на процессор в среднем 80%, все работало, но с подтормаживаниями.
В логах плохо разбираюсь, в поддержке сказали что идут обращения к wp-login.php одного из моих сайтов на WordPress, установил модули для защиты нагрузка не прекратилась.
Взял все файлы Prestashop и переместил в подкаталог и наблюдал за статистикой через SSH с командой top, нагрузка упала, так я понял, что опять кто то доковырялся до магазина.
Установил server-status, сразу мне не понравилась повторяющаяся строка:
5.231.208.237 shop.jesti.in:8080 GET /blog?sb_category=novosti'+and+if(((/*!SelEcT*/+conv(substr - кто-нибудь знает что это за запрос?!
"novosti" - это единственная категория в моем blog for prestashop, я отключил все модули blog for prestashop, нагрузка не прекратилась.
Отчаявшись решил забанить IP: 5.231.208.237, с которого идет обращение, дабы убедиться, что это он грузит.
Где-то нашел ссылку на сервис, там вводишь необходимые для бана IP, а он выдает то, что нужно вставить в .htaccess файл
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
После этого нагрузка спала до минимума.Вот мне стало интересно, есть ли какое то готовое решение для автоматического бана по IP если с него грузит сервер?!
Последнее редактирование:
marvinz
Гуру форума
- Регистрация
- 7 Апр 2009
- Сообщения
- 164
- Реакции
- 85
- Автор темы
- #106
Для просмотра ссылки Войди или Зарегистрируйся, похоже на попытку SQL инжекта в таблицу базы данных. самое интересное в этом запросе то что дальше в скобках там вы найдете таблицу куда он пытался влезть. для защиты от ддос можно использовать Для просмотра ссылки Войди или Зарегистрируйся например, но совсем точно как настроить лично я пока не скажу - не пользовался.
Для автоматического бана решение не встречал, а вот без сервиса и ручного редактирования .htaccess файла
может банить Для просмотра ссылки Войди
Jarhead
Постоялец
- Регистрация
- 17 Июн 2011
- Сообщения
- 415
- Реакции
- 169
У меня один клиент секс игрушки на Украине продает и вот тоже самое что и у тебя, запарился уже сайт чистить, одно поправишь, в другом месте выскакивает, тоже вот думаю, дался им этот сайт блин..
hadahan
Постоялец
- Регистрация
- 21 Фев 2008
- Сообщения
- 70
- Реакции
- 98
Вроде все дыры закрыты, для WP шаблоны стандартные и модули только через сам WP ставлю (поменял страницу wp-login.php, т.к. "Автоботы" будут доковыриваться, с другой стророны у меня стоял Google ReCAPCHA, нагрузки сильной не было), с Prestashop больше ничего не делал, пока что, вроде не взломали и брутфорс атак нет, надеюсь прекратили они свои нападки. (или я так хорошо закрылся)
НО! Теперь есть много обращений с 404 ошибками, и например Гуглу не нравится, что на мой сайт идет много запросов с ошибками 404.
На страницы типа:
/8508/3944sphenethmoilprmninrerning/sjm/16676-ylfee/gn
Можно что то с этим сделать?!
p.s. Хакеры если не взломают так поднасрут с обращениями к несуществующим страницам (это скорее всего бывшие зараженные страницы).
Jame
Постоялец
- Регистрация
- 16 Июл 2012
- Сообщения
- 369
- Реакции
- 196
Забить, если страница была в индексе и боты ломятся на нее с поисковика то она скоро выпадет из индекса и запросы прекратятся.