Zdravím,

stali jsme se v poslední době již 3x obětí útoku Hackerů, shop zmizí a místo hlavní stranky je nápis "HACKED BY ANONYMOUS". Řešili jsme nahráním zálohy a úpravy atributá u souborů, ale nějak nefunguje. Máte s tím někdo zkušenost? Co s tím? Díky za odpověď.

PS: Přiložen snímek obrazovky.

Příloha mi nejde přiložit... .

Žádné informace - verze obchodu, na jakém hostingu běží, verze php? MySQL ..... ???

Při identifikaci tohoto útoku musíš zjistit, kam se ti útočník dostal a co konkrétně provedl.

Vypadá to, že se ti někdo dostal do databáze a do zboží ti přidal nějaké přesměrovací skripty - to by mohlo být první vodítko. Prověř si tabulky, kde jsou informace o zboží a v polích hledej nějaký přesměrovávací skript, nebo odkaz. - zkus to přes administraci - do té by ses měl dostat a pokud tě to v některých nastaveních (výpis položek obchodu ,.....) bude přehazovat někam jinam, tak jsi na dobré cestě .....

Dále zkus prověřit, zda někde v kořenovém adresáři se skriptem, nebo ve vnořených adresářích nemáš upravený skript s přesměrováním

Podle mě to ale vypadá, že ti někdo (asi přes SQL injection) poslal do databáze SQL příkazy, které do položek shopu nahrály přesměrovací skripty. Řešení - aktualizovat ne nejnovější verzi.

Aby se ale dalo konkrétně poradit, tak je napřed potřeba znát, co konkrétně ten šmejd provedl

No mě přepsali jeden web kde jsem zapomněl na práva 777 :( Tak jsem nahrál zálohu a ok.
Týden na to se stalo u jedné galerie to samé, ale u souborů, které měly práva nastavená dobře. Byly přepsány soubory index.php a také obrázky.
Galerie se instalovala z instalace kterou jsem přenesl na hosting a ty práva nastavil server..prej. Tomu moc nerozumím.
Takže jsem opět nakopčil zálohu a nechal nastavit práva souborům, abych je mohl upravovat přes ftp.Teď čekám jak to dopadne.

Zkus si prohledat ty soubory co máš zálohované a také soubor databáze jestli se ti někde objeví ten nápis.

Problem byl s nastavenim CHMOD na hostingu. Bohuzel z neznamych duvodu doslo ke zmene na 777 (nevi se jak) a nasledne byl shop hacknut. Pokdu se nahraje zaloha ze strany hostingu, tak to bezi, ale cert vi kdy se co zase stane. S databazi to nema spolecneho nic, s administraci take ne - ta bezi v poradku.

Pokud máš na hostingu upravený index.php, nebo jiný soubor (doplněný kód s přesměrováním), mění se ti bez příčiny CHMOD u adresářů nebo jiná nastavení na hostingu, tak si ihned změň přístupová hesla k administrace hostingu, FTP a vším, přes co hosting obsluhuješ. A dále si projeď comp nějakým dobrým antivirem, jestli na něm nemáš nějaký exploit.

Nedávno jsem na nějaké diskusi narazil na způsob útoku na webové stránky - zkráceně se jedná o to, že na compu máš nějaký keylogger, který odesílá hesla - a mezi nimi i login do administrace tvého webu, takže potenciální útočník může získat přístup do administrace. To je pak využíváno k modifikaci index.php, nebo jiný skript, kdy je spouštěn skript odesílající spamy, viry, nebo podobnou havěť, či blokující weby a požadující preněžní částku za jejich odblokování, či něco podobného.

Na phpBB fóru jsme to několikrát řešili a vždy šlo o úpravu nějakého PHP skriptu - v několika případech byl děravý přímo hosting a někdy se skutečně jednalo jen o ukradená přístupová hesla. Takže při pátrání bych šel tímto směrem.

Pokud máš na hostingu upravený index.php, nebo jiný soubor (doplněný kód s přesměrováním), mění se ti bez příčiny CHMOD u adresářů nebo jiná nastavení na hostingu, tak si ihned změň přístupová hesla k administrace hostingu, FTP a vším, přes co hosting obsluhuješ. A dále si projeď comp nějakým dobrým antivirem, jestli na něm nemáš nějaký exploit.

Nedávno jsem na nějaké diskusi narazil na způsob útoku na webové stránky - zkráceně se jedná o to, že na compu máš nějaký keylogger, který odesílá hesla - a mezi nimi i login do administrace tvého webu, takže potenciální útočník může získat přístup do administrace. To je pak využíváno k modifikaci index.php, nebo jiný skript, kdy je spouštěn skript odesílající spamy, viry, nebo podobnou havěť, či blokující weby a požadující preněžní částku za jejich odblokování, či něco podobného.

Na phpBB fóru jsme to několikrát řešili a vždy šlo o úpravu nějakého PHP skriptu - v několika případech byl děravý přímo hosting a někdy se skutečně jednalo jen o ukradená přístupová hesla. Takže při pátrání bych šel tímto směrem.

Jen doplňuji, že jde o Zlatý hosting na isol.cz .

Zdravim, nejaky k... mi stale hackuje stranku, da sa zistit kto to je? Ako mozem zabranit tomu? Napr.:vymazal mi vsetky obrazky a ine subory. Vymazal len to co bolo povolene na upravu vsetkym. Mohol sa k tomu dostat aj bez hesiel k stranke?

Ano, mohl se tam dostat a není to ani moc složité. Stačí znát díry, které zencart má. Jako prevence by mohlo (pro začátek) stačit nenechávat práva souborů na 777 tam kde to není nutné.