ATAK na sklep Internetowy

[dexter_78]

Atak na sklep internetowy:

Dziś znalazłem w opisie produktu zamiast opisu kod spamu . Nie wiem jak robiony jest ten atak. Kod strony jest ogromny. Mam backup i sobie przywrócę ale myśl, że ktoś włamał się na stronę nie daje mi spać. Zwłaszcza dlatego, że sklep jest dość dobrze zabezpieczony.

Zastanawiam się jaką metodą dokonano włamania i jak wykryć i się zabezpieczyć.

Czy to atak przez Ftp – Total commander i umieszczanie złośliwego kodu w jakimś z plików ?

Najgorsze jest to, że kod złośliwy wyświetla się losowo i nie wiadomo skąd jest atak.

Złośliwy kod ładuje się w opis produktu. W dodatku kod umieszcza linki na strony z cackami itd. Po odświeżeniu strony wszystko znowu jest ok. I tylko czekać aż za jakiś czasu po kolejnym którymś odwidzeniu strony znowu się załaduje to coś.

Spotkał się ktoś z takim atakiem ?

Już drugi raz coś przeżywam podobnego .

Szukam znaczników iframe i podejrzanych Java scripts ale to szukanie jak igły w stogu siana.

Jeśli to nie iframe to kod może być zamaskowany w Java scripts i nie mam pojęcia jak coś takiego znaleźć w tak obszernym kodzie.

A może to jeszcze inna forma ataku ?

Sklep na szyfrowanie ssl przy logowaniu do panelu admina i logowaniu klientów.

[mkr]

Żaden SSL na błędy w skrypcie nie pomoże.

Na jakim silniku/skrypcie stoi sklep i jakiej jego wersji?

Czy aktualna wersja?

Czy nie złamane zostało hasło admina?

Co mówią logi?

Kradzież haseł z klienta FTP - możliwa. Ale bardziej prawdopodobna luka w kodzie sklepu.

[dexter_78]

Na oscommerce pierwotnie. Ale wiele oficjalnych błędów i luk zostało porawionych .

Nie pozostaje mi nic innego jak zlecić audyt zabezpiszeczń i wdorżyć system wykrywania włamań.

[Maximus Marius]

LOG prawdę Ci powie

Wejscie przez ftp wymaga więcej pracy, włamanie przez blad oscommerce nie wymaga zadnej pracy trzeba tylko znać lukę.

[Xann]

Pisałem znacznie wcześniej juz o tym ale jak to mowią Polak mądry po szkodzie

osCommerce , Joomla + Virtuemart oraz Magento to po pierwsze DARMOWE platformy sklepów,

radzę nie używać ogólnie dostępnych kodów - bardzo łątwo wejść w taki kod jak ktoś się uprze, nikt się nie przejmuje ze mu shakują precla ale jak z sklepu wycieknie baza to już problem

[dexter_78]

To dziwne bo pojawiło się to w opisach. Ale opisy zostały napisane prawie od nowa . Oprócz mnie i kilku programistów nikt nie zna kodu. Więc dziwne to jest troszkę .

Jakiego typu dziury są w oscommerce i jakie metody ataków są przeprowadzane ?

- registry global wyłączyłem ,

- zabezpieczyłem kod przed próbą wpisania zapytania SQL do bazy danych w formularzach,

- blokady robotów

- ssl do panelu i przy logowaniu.

- kody z obrazków,

Co jeszcze trzeba zrobić ?

[perplexus]

Poprawiłeś oczywiste luki. Jednak takie darmówki składają się z wielu plików. Zapewne w jednym z nich jest coś, jakiś exploit, który inteligentny osobnik wykorzystuje do swoich celów.

Na tym forum nikt Ci nie powie: zmień "tą i tą linijkę", bo nikt nie ma w tym interesu. Trzeba przeanalizować kod, poświęcić czas, a tym samym pieniądze. Zleć to komuś, bo jeśli to sklep, a nie zapleczówka, to nie ma żartów.

Za chwilę może się okazać, że Twoi klienci dostaną maile z lekiem na impotencję...

Powodzenia

[Mion]

Na początku tego roku była fala włamań na FTP więc nie wykluczone, że tą drogą było też twoim wypadku. Co więcej, nowszej generacji program włamujący się rozpoznał zawartość plików jako oscommerce i dokonał stosownych modyfikacji po czym zmienione pliki wysłał ponownie na FTP

[dexter_78]

Ja cały czas analizuję .

Obługa serwera niczego się nie doszukała.

To jeden z linków, na który przekierwało

https://digg.com/software/Download_Adobe_Photoshop_CS3_2

Uwaga treść może być niebezpieczna.

[Mion]

Zapytaj czy mają logi od FTP jeśli tak to szukaj po IP

[Xann]

zainwestuj w nowy sklep, kupowanie ogolno dostępnych skryptów naraża cię na ciągłe ataki , orginalny skrypt daje ci tą możliwość ze minimalizuje do minimum atak na sklep

[Mion]

@dexter_78 odczytaj chmod zmodyfikowanych plików czy PHP ma prawa do zapisu do nich 777, lub 666

[dexter_78]

Wszystkie pliki mają chmod na 644 po za katalogiem z grafiką który ma 777.

Kilka plików ma 755 około 10 plików takich jest .

Zdecydowana większość to pliki z prawami 644 pliki.

Więc w ten sposób raczej się nikt nie dostanie.

zainwestuj w nowy sklep, kupowanie ogolno dostępnych skryptów naraża cię na ciągłe ataki , orginalny skrypt daje ci tą możliwość ze minimalizuje do minimum atak na sklep

Stary nawet nie wiesz ile przebudowa mnie kosztowała. To są nie są nawet tysiące tylko dziesiątki tysięcy zł.

[Mion]

Wiec jeśli nie mają prawa do zapisu to może właśnie świadczyć o ataku przez FTP.

Zmień hasła i łącz się bezpiecznym protokołem SFTP do którego polecam WinSCP

[dexter_78]

Sądzę że to może być atak xss wykorzystujacy luke w kodzie strony.

Kod strony jest czysty i był skanowany. Baza danych również była skanowana. Zero złośliwego kodu .

Szukam podejrzanych kodów typu iframe itd. i Java scritów. coś musi być .

Albo gdzieś jest dziura.