Под ударом магазины опенкарт (ocStore)

Четверг, 23 Янв 2014 16:49

 Под ударом магазины опенкарт (ocStore)  Под ударом магазины опенкарт (ocStore)

Всем привет!

Ещё не остыла клавиатура после того, как я закончил набирать сообщение про вирусы семейства Troj/JSRedir  и их разновидности, как тут же решил продолжить эту тему и написать про взлом магазинов на движке опенкарт, поскольку темы эти тесным образом взаимосвязаны между собой, пока ещё свежи воспоминания, ну и дальше в том же духе.

Строго говоря, были сломаны не сами магазины, а их официальные  сайты.  А ещё точнее, в результате атаки были заменены все ссылки для скачивания. И вредоносный код был залит в псевдо-официальные дистрибутивы, то есть тот, кто хотел скачать файлы с оф. сайта, устанавливал на свой хостинг уже зараженный магазин. Также были поражены и некоторые модули. Бекдоры продолжали находить и осенью и зимой, поэтому тема, думаю, будет ещё актуальна длительное время. Да и на их форуме этот топик живее всех живых.

Тот, кто думает, что это шутка, ошибается, это не шутка, вот вам пруфлинк:

«Ребята c 2 по 5 апреля были атакованы сайты http://opencartforum.ru и http://myopencart.ru/ и заменены ссылки для скачивания архива ocStore,  по адресу где лежал псевдо-дистрибутив ocStore в файл /system/library/response.php добавлен следующий код:

 

Который приводит к различным проблема в работе Вашего магазина или перенаправляет его на другие ресурсы. При нахождении такого кода замените файл оригинальным файлом с дистрибутива, соответственно Вашей версии opencart/octore

Архив версий ocStore находится здесь

В некоторые модуля на форуме в тот же период с  c 2 по 5 апреля были помещены эти файлы все что мы смогли найти мы устранили, если Вы встретили другие модуля которые содержат данный код или у вас в архивах лежат модуля с данным файлом, просьба сообщать мне. Вы все помните что после этого периода форум проходил долгое обновление и ужесточились правила модерирования дополнений, мы  следим за модулями в том числе и на проверку именно такого файла. Просьба всех проверить свои сайты на наличие этого файла, так как сейчас этот файл активно бегает по всему интернету и вы могли захватить его вместе с бесплатными и платными модулями на других и варезных сайтах».

Расшифровка этого зашифрованного кода дает следующий результат:

 

Как видим, здесь упоминается один очень интересный домен myopencart.net. Этот сайт является поддельным, фишинговым сайтом, и ничего общего с официальным сайтом “Опенкарт”, opencart.ru, он не имеет. Вышеуказанный код представляет собой бэкдор, черный ход на сайт, который позволяет управлять содержимым страницы пораженного сайта. Также наличие подобного кода на сайте может сулить его владельцу немало других проблем и трудностей – кроме управления содержимым страницы, злоумышленник получит возможность устанавливать посторонние ссылки, например для продажи на ссылочных биржах, таких как Сапа, установить java-script для редиректа трафика, и вплоть до воровства файлов cookies и других данных, позволяющих получить доступ к админ-панели. А также за счёт таких сайтов прокачать показатели фишингового сайта, поднять пузомерки, такие как PR и ТИЦ.

[original:seo-semki.ru]

В результате таких действий на зараженных сайтах появляется множество «левых» ссылок, которые очень трудно отследить и которые обычно отдаются поисковикам и посетителям с определенным реферером. Значительно замедляется время генерации страницы.

Также в футере встречался следующий код:

 

Расшифровать эту абракадабру мы сможем при помощи одного из бесчисленных онлайн-декодеров функции base64_decode. Я воспользовался следующим: opinionatedgeek.com/dotnet/tools/Base64Decode. И вот что у нас получилось:

 

Расшифровываем полученный результат второй раз и получаем домен, зарегистрированный злоумышленниками накануне взломов:

googlejavascript.com/api.php?server=

Также, как вариант, в файле .htaccess могло появиться следующее правило:

 

Данное правило  проверяет реферер  пользователей и перенаправляет всех из списка выше на страницу index_backup.php (здесь имя страницы может быть абсолютно любым).

Страница содержит следующий закодированный код:

 

В связи с измененными хакерами файлами упоминается также домен blinko-mobile.com, перенаправляющий пользователей на левые сайты – как я описывал в статье «Взлом сайтов на DLE»,   и предлагающие скачать обновления для мобильного браузера.

Также встречался такой код шелла (код обрезан):

и

 

 

Скриншот подобного шелла:

скриншот шелла на опенкарт

Все изображения кликабельны, нажмите на них для увеличения.

А вот ещё парочка примеров подобного рода, вредоносный код, размещаемый злоумышленниками на магазинах под управлением системы «Опенкарт»:

 

Если внимательно присмотреться, то в самом низу можно увидеть почти готовую гиперссылку, на которую будет ругаться антивирус. Вот она в собранном виде:

http://xelyk.pp.ua/15a8d3d93274fc002f39650922bae60015a8d3d93274fc002f39650922bae60015a8d3d9

Такие ссылки могут крыться в абсолютно любых файлах движка, например, в

/admin/model/sale/serserim.js

/catalog/controller/checkout/metall.js и так далее.

Вот ещё один подобный пример. Вредоносный код

 

В самом низу можно разглядеть фишинговый домен komibl.pp.ua. Ссылка в готовом варианте:

 

Кроме того, злоумышленники могут засунуть на ваш сайт следующий код:

 

 

В третьей строчке тут замаскирован скрытый eval(POST[v2]), позволяющий выполнить произвольный код. Ещё один вариант бэкдора. Подробно об этом в статье «Как защитить сайт от взлома».

А вот ещё некоторые полезные хитрости, которые могут пригодиться для защиты веб-сайтов.

Чтобы запретить выполнение php-кода в определенных папках, можно добавить в них файл .htaccess, содержащий следующую запись:

 

Об этом я подробно писал в статье «Уязвимость крылась на хостинге».

Не знаете, как определить, какой движок установлен на сайте? В этом вам поможет сервис http://builtwith.com. С его помощью можно узнать не только CMS, на которой работает веб-сайт, но также  определить версию веб-сервера, фреймворки и множество других любопытных вещей.

Кстати, опенкарт это ещё что, а слышали ли вы, как были взломаны сервера компании Adobe и украден дамп на 10 Гб?

Вот это была новость! В результате хакерской атаки была слита база данных всех пользователей, содержащая конфиденциальные сведения о них, такие как Фамилия, Имя, номер банковской карточки и пароль на сервисе  «Адоб». Причём пароли были зашифрованы с использованием устаревшего метода шифрования без использования «соли», что, по крайней мере, несолидно для всемирно известной компании. Поэтому большинство паролей почти сразу были расшифрованы, всего же было скомпрометировано свыше 130 миллионов (!) учётных записей, что является своеобразным рекордом в этой области.

[original:seо-sеmki.ru]

В базе также содержались исходники основных продуктов компании.

Так что, как видите, от взлома не застрахован никто – ни ваш маленький домашний сайт, ни одна из крупнейших компаний с мировым именем.

Что же делать для того, чтобы защитить сайт от взлома? Об этом я писал пару дней назад, ссылка выше. Что касается непосредственно интернет-магазинов на движке Opencart/ocstore, то кроме основных мер безопасности вы должны обратить внимание на следующее – время загрузки страницы.

Время создания страницы должно составлять десятые доли секунды. Если же страница загружается слишком долго – это главный признак того, что на сайте появился вредоносный код, который тормозит её загрузку. Конечно, тут могут быть разные причины, но в первую очередь вы должны проверить не модули, плагины и т. п. вещи, а именно файлы движка на наличие постороннего кода. Именно об этом упоминали все те, кто своими силами нашёл чужой код на сайте.

ПС. Когда верстался номер.

Решил проверить, как работают другие сайты в национальных доменных зонах, связанные с Opencart и онлайн-магазином  ocStore.

Результаты не впечатлили:

Сайт http://myopencart.ru/ –

«На данный момент ресурс находится на реконструкции»

домен myopencart.ru на реконструкции

Национальный домен Украины  opencart.ua  редиректит на адрес http://opencart-ukraine.tumblr.com/

Белорусский домен http://opencart.by/ также не работает:

«Обслуживание сайта временно приостановлено»

сайт opencart.by  не работает

Домен Казахстана http://opencart.kz/  напоминает о скорой пятнице:

«Hello world!

Welcome to WordPress. This is your first post. Edit or delete it, then start blogging!»

Ссылка в твиттере гласит: «Пиратская партия Казахстана – Pirate party of Kazakhstan, pirateparty.kz».

домен опенкарт opencart.kz в казахстане

Обратите внимание на дату создания первой записи: Январь 23, 2014.smile

И напоследок традиционный анекдот, почти в тему, про сисадмина и начальника.

«У системного администратора спрашивают:

– Почему ты такой грустный?

– Да вот, с  работы выгнали.

– За что?!

– Да сказал начальнику: «Ты, ламер глюкавый, пингуй по роутингу, пока я тебя не пропатчил!»smile

Понравилась статья, не забудьте поделиться ею с другими, нажав на кнопочки социальных сетей слева. И берегите ваши сайты.;)

 

    Подпишитесь на комментарии, чтобы не пропустить
    важный ответ:



подписка на rss RSS - подписка
    подписка twitter Twitter - подписка

Вы можете оставить отзыв или трекбек со своего сайта.

Отзывов: 6 на «Под ударом магазины опенкарт (ocStore)»

  1. Ваня пишет:

    09 Фев 2014 в 19:37

    А хули, какому начальнику понравиться, когда его щас патчить будут))

    [Ответить]

    seo Reply:

    Это точно, никакому :lol:

    [Ответить]

  2. Сергей пишет:

    06 Мар 2014 в 12:46

    у меня на форуме phpBB в директории /forum/adm/style/ появился “левый файл” planner.js, а ссылка на него была дописана последней строчкой в JQuery.js
    document.write(“”);
    Так что как видите, ломают не толко магазины опенКарт, но и форумы пыхи))

    [Ответить]

    seo Reply:

    Естественно, особенно когда еще и хостинг уязвимый ;)

    [Ответить]

  3. zade пишет:

    07 Мар 2014 в 17:59

    Всё воруют, что плохо лежит, всё ломают, что можно сломать (это я так сымпровизировал) http://seo-semki.ru/icons/wpml_wacko.gif

    [Ответить]

  4. Красивая нумерация страниц в блогах Вордпресс | SEO-semki пишет:

    21 Мар 2014 в 15:02

    […] Но внимание, если браузер начинает долго загружать страницы сайта, но секунд через 10 всё-таки их загружает, то дело тут заключается, скорее всего, не в конфликте плагинов, а в вирусах и вредоносном коде, появившемся на сайте, особенно если он создан при помощи движка opencart/ocStore. […]

Ваш отзыв

http://seo-semki.ru/icons/wpml_bye.gif 
:bye:
http://seo-semki.ru/icons/wpml_good.gif 
:good:
http://seo-semki.ru/icons/wpml_negative.gif 
:negative:
http://seo-semki.ru/icons/wpml_scratch.gif 
:scratch:
http://seo-semki.ru/icons/wpml_wacko.gif 
:wacko:
http://seo-semki.ru/icons/wpml_yahoo.gif 
:yahoo:
http://seo-semki.ru/icons/wpml_cool.gif 
B-)
http://seo-semki.ru/icons/wpml_heart.gif 
:heart:
http://seo-semki.ru/icons/wpml_rose.gif 
:rose:
http://seo-semki.ru/icons/wpml_smile.gif 
:-)
http://seo-semki.ru/icons/wpml_whistle3.gif 
:whistle:
http://seo-semki.ru/icons/wpml_yes.gif 
:yes:
http://seo-semki.ru/icons/wpml_cry.gif 
:cry:
http://seo-semki.ru/icons/wpml_mail.gif 
:mail:
http://seo-semki.ru/icons/wpml_sad.gif 
:-(
http://seo-semki.ru/icons/wpml_unsure.gif 
:unsure:
http://seo-semki.ru/icons/wpml_wink.gif 
;-)