Hm, tak mně už také napadli e-shop www.rodinkov.cz - nedostanu se do něj vůbec. :o((((

A říkala jsem si, že nějak často se mi tam objevují IP adresy s konečnou .nl a .hu :o((((

Tož doufám, že se to rychle vyřeší. A důležitý poznatek večer předtím se nám také na PC objevil trojan a pak další celý den až do odpoledne, když už jsem se do adminu nedostala.

Teď už vím, že to s tím má souvislost, jenže pozdě bycha honit.

Doporucuji alespon toto v .htaccess

RewriteEngine on
# spamrobots
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR]
RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR]
RewriteCond %{HTTP_USER_AGENT} ^attach [OR]
RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus
RewriteRule ^.* - [F,L]

v adresari kde jsou obrazky take v .htaccess
php_value engine off

take se vyplati upravy .htaccess nejlip od korene webu v zavislosti na povaze shopu

RedirectMatch (.*)\.cgi$ http://FAKE__URL__ADRESA

<Limit POST PUT>
order deny,allow
deny from all
Allow from IP_WEBOVE_ADMINISTRACE
Allow from IP_ADMINA
</Limit>
<Files .htaccess>
order allow,deny
deny from all
</Files>

/ upravy samozrejme po zaloze a pokud vite co delate /

DURAZNE doporucuju take udelat bezpecnostni patche viz http://www.zen-cart.com/forum/showthread.php?t=130161

Dale si skontrolovat tabulky record_companies atd jestli se tam neukladaji nejaka nezvykla data, pripadne je rovnou smazat, pokud je nevyuzivate

Samozrejmosti je pokud ste byli napadeni, proverit dukladne PC, zmenit hesla do admina, FTP a zmenu adresare minimalne pro administraci.

mozna este do application_top.php pridat na zacatek

$paramsToCheck = array('main_page', 'cPath', 'products_id', 'language', 'currency', 'action', 'manufacturers_id', 'pID', 'pid',
'reviews_id', 'filter_id', 'zenid', 'sort', 'number_of_uploads', 'notify', 'page_holder', 'chapter', 'alpha_filter_id', 'typefilter',
'disp_order', 'id', 'key', 'music_genre_id', 'record_company_id', 'set_session_login', 'faq_item', 'edit', 'delete',
'search_in_description', 'dfrom', 'pfrom', 'dto', 'pto', 'inc_subcat', 'payment_error', 'order', 'gv_no', 'pos', 'addr', 'error', 'count',
'error_message', 'info_message', 'cID', 'page');
$contaminated = false;
foreach($paramsToCheck as $key) {
if (isset($_GET[$key]) && substr($_GET[$key], 0, 4) == 'http') {
$contaminated = true;
break;
}
if (isset($_GET[$key]) && strlen($_GET[$key]) > 43) {
$contaminated = true;
}
}
if ($contaminated || isset($_GET['autoLoadConfig']) || isset($_GET['mosConfig_absolute_path']) || isset($_FILES['GLOBALS']) || isset($_REQUEST['GLOBALS']) )
{
header('HTTP/1.1 406 Not Acceptable');
exit(0);
}

No dlouho jsem shop nekontroloval , tak jsem to ted cele prolizal - v images jsem nasel 2 podivne soubory .php pojmenovane jako :
img31648516.php
img48926750.php


Zkousel jsem je projet nodem , ale hlasi ze jsou v poradku - jsou nejake zakodovane - no poslal jsem je nodu na analyzu, sem to radsi davat nebudu

jinak na shopu jsem zkousel hledat iframe , income , viagra, i+f+r+a+m, ......

Soubory tam byly vlozeny pred vic nez 3 mesicama , tak snad to nenapachalo zadne skody a podchytil jsem to ve spanku .

Nevíte, někdo? Patří do Zencartu soubory typu core13551.php třeba ve www/cache core14191.php ve www/images atd.?
a noskinoskieskimoski.php uloženo ve www/images?
Díky moc
Lenka

Jinak kyk děkujeme za rady. Patch jsme stáhli, změnili veškeré přístupy. Asi potřetí kontrolujeme disky, tak snad to už pomůže.

Citát:

Pochybuji, že jsou to soubory Zencartu. Já je mazal.

Hm, mi se také zdají být divné, zvlášť když se do nich kouknu a mají tam plno nicneříkajících písmen :o((

Jo, a pořád si nechtějí dát pokoj. Koukají se na stránky, kde je index.php atd.
Tak jsem zvědavá, zda naše ochrana obstojí, nebo ne.

Do adresare Images nepatří nic než obrázky (standardních formátů) a htaccess. (případně podadresáře)

Jakékoliv jiné formáty obrázků - filtrovat na úrovni upload scriptu případně mezi židlou a klávesnicí.

Zaznamenali jsme i útoky Python scripty, pokusy o volání stránek ktere neexistuji
/1387969215/text/includes/templates/silverfish/css/includes/templates/silverfish/css/stylesheet_wgs.css

prozvaneni...
/callto:+420603xxxxxx HTTP/1.1" 200 65709 "-" "Java/1.6.0_15"

hlavně doporučuju skouknout v db tabulky jak jsem psal výš, u nás tam byly uloženy cesty k škodlivým souborům. Nakonec jsme tabulky s prefixem record_ smazali, pač je nevyužíváme.
Doporučuju také se důkladně zamyslet nad tím, kde použít CHMOD 777 a kde nižší úroveň

No tak ty dva php soubory jak jsem o nich psal , tak ty se tam dostaly přes ty nahrávací společnosti - tak jak psal kyk
( asi bych to uplně vymázl - stačí jen v v admnu, nebo musím i v databázi ???? )



jinak dnes jsem zaznamenal uplně novej druh útoku a to pře pool manager ( ankety ) . A to přes vložení komentáře do neexistující ankety - vůbec nechápu jak e jim to mohlo povést, došel jsem na to více méně náhodou, díval jsem se na které stránce skončil zákazník a vyhodilo me to na stránce s tím komentářem - jen jsem nedošel na to jak se zákazník na tu stránku dostal - já to zkoušel různě, ale prostě dostat se mě na komentář neexistující ankety mě nijak nešlo ????
No zatím nevím jak tomu zabránit ( protože si ani nejsem jist jak se tam dostali ) ale aspoň jsem uplně vypl komentáře a pro jistotu je ještě nastavil jen pro registrované uživatele a ještě souhlas ke komentářům - ale to fakt nevím jestli pomůže .

pro představu přidávám print scr.

Připojit soubor:

---

  Hack.JPG (128.65 KB)


  Hack2.JPG (135.96 KB)

Tak jak tak koukám tak jsem v tom nebyl sám. Také jsem měl nějaké scryptu upravené v index.php a přidaných hafec .php souborů. Odstranil jsem všechny nově vytvořené soubory ty staré upravené jsem překopíroval ze zálohy. Změnil hesla tak snad bude klid, ale je to verbeš to vám povim. Hlavně, že se bavej.