Инфо Уязвимость шаблона Warehouse для Presta

Тема в разделе "PrestaShop", создана пользователем marvinz, 22 июн 2016.

Информация :
Приветствую гость, обрати внимание! Темы которые закреплены в разделах, в скором времени будут откреплены. Правила раздела PrestaShop

(Не актуальные темы) Каталоги:Модули PrestaShop 1.7Модули PrestaShop 1.5 - 1.6Шаблоны PrestaShop 1.7Шаблоны PrestaShop 1.5 - 1.6
(Не актуальные темы) Поиск / Запросы:Модули PrestaShop 1.7Модули PrestaShop 1.5 - 1.6Шаблоны PrestaShop 1.7Шаблоны PrestaShop 1.5 - 1.6
Полезная информация:Поддержка и помощь c PrestaShopУбираем ПрестаТраст, стучалки и прочую рекламуСовместные покупки модулей и шаблоновПеревод Prestashop и модулей
Модераторы: trace
  1. Pirate

    Pirate

    Регистр.:
    6 дек 2012
    Сообщения:
    268
    Симпатии:
    26
    Да это всё было сделано. Но по датам - это от лукавого, т.к. даты подделывают. Ладно, будем рыть логи.
     
  2. hadahan

    hadahan Постоялец

    Регистр.:
    21 фев 2008
    Сообщения:
    61
    Симпатии:
    77
    Как я "замотался" отбиваться от этих хакеров, теперь не беру шаблоны из открытых источников (не считая Nulled :D), а то обжегся на темах для WordPress, пару месяцев назад, в очередной раз переделал по новой все сайты, шаблоны стандартные из WP, а для PrestaShop тут Warehouse последние годы брал.
    Вот опять взломали, теперь через Warehouse, хорошо, что меня взламывали уже 3-4 раза, я каждый раз учусь чему-то новому.
    Начал восстанавливать бэкапы, взломали меня где-то месяц назад, только сейчас Presta выдала ошибку 500 и я начал выяснять почему, сразу в глаза бросились левые файлы в каталоге prestashop.
    Проверил ай-болит'ом, заметил что в simpleslideshow много вирусняка, поковырявшись в файлах, выяснил, что это какой-то исламский хакер поддерживающий терроризм :dead:.
    Начал удалять simpleslideshow, у меня всего 1 слайд был так что я вставил его в модуль textbanners - у него нет функции закачки файлов, думаю его не взломают.
    Сейчас все семь модулей, что тут описывали раньше - удалил т.к. не используются.
    warehouse_DbIPKN.png
    Так же теперь всегда меняю порт SSH, т.к. начинали брут-форс атаку - подбор пароля и север начинал тормозить и виснуть.
    Еще установил ZEOS Antivirus - прикольная штука, ее мне и не хватало для оперативного реагирования, не сложная утилита, делает отпечаток всех ваших файлов на сервере, если что то изменилось или было удалено, вам придет уведомление с указанием файлов и что с ними произошло.

    Делаете cron задание и допустим раз в 30 мин проверку всех файлов на сервере, требует настройки, например что бы не приходили уведомления об изменении в папках типа "cache" их можно исключить.
    Автор сделал его как дополнение для DLE, но он работает с любыми CMS. (прикреплю на всякий случай)
    Буду надеяться что дыр не осталось :thenks:
     

    Вложения:

    Semg, hitbaby, marvinz и 2 другим нравится это.
  3. marvinz

    marvinz

    Регистр.:
    7 апр 2009
    Сообщения:
    165
    Симпатии:
    83
    hadahan, хочу уточнить - а варехаус последний доступный стоял или нет?
     
  4. hadahan

    hadahan Постоялец

    Регистр.:
    21 фев 2008
    Сообщения:
    61
    Симпатии:
    77
    Warehouse 3.7.4 обновленный до 3.7.5.
     
    Semg нравится это.
  5. hadahan

    hadahan Постоялец

    Регистр.:
    21 фев 2008
    Сообщения:
    61
    Симпатии:
    77
    Опять до меня доковырялся кто то, не знаю на сколько опытный т.к. я забанил его по IP.
    Уже несколько дней была нагрузка на процессор в среднем 80%, все работало, но с подтормаживаниями.
    В логах плохо разбираюсь, в поддержке сказали что идут обращения к wp-login.php одного из моих сайтов на WordPress, установил модули для защиты нагрузка не прекратилась.
    Взял все файлы Prestashop и переместил в подкаталог и наблюдал за статистикой через SSH с командой top, нагрузка упала, так я понял, что опять кто то доковырялся до магазина.
    Установил server-status, сразу мне не понравилась повторяющаяся строка:
    5.231.208.237 shop.jesti.in:8080 GET /blog?sb_category=novosti'+and+if(((/*!SelEcT*/+conv(substr - кто-нибудь знает что это за запрос?!
    "novosti" - это единственная категория в моем blog for prestashop, я отключил все модули blog for prestashop, нагрузка не прекратилась.
    Отчаявшись решил забанить IP: 5.231.208.237, с которого идет обращение, дабы убедиться, что это он грузит.
    Где-то нашел ссылку на сервис, там вводишь необходимые для бана IP, а он выдает то, что нужно вставить в .htaccess файл
    После этого нагрузка спала до минимума.
    Вот мне стало интересно, есть ли какое то готовое решение для автоматического бана по IP если с него грузит сервер?!
     
    Последнее редактирование: 27 сен 2016
    Semg нравится это.
  6. marvinz

    marvinz

    Регистр.:
    7 апр 2009
    Сообщения:
    165
    Симпатии:
    83
    hadahan, похоже на попытку SQL инжекта в таблицу базы данных. самое интересное в этом запросе то что дальше в скобках там вы найдете таблицу куда он пытался влезть. для защиты от ддос можно использовать CloudFlare например, но совсем точно как настроить лично я пока не скажу - не пользовался.
     
  7. hitbaby

    hitbaby

    Регистр.:
    12 сен 2012
    Сообщения:
    243
    Симпатии:
    254
    Для автоматического бана решение не встречал, а вот без сервиса и ручного редактирования .htaccess файла
    может банить вот этот модуль. Есть возможность редиректа и статистика посещения с заблокированных IP.
     
  8. Jarhead

    Jarhead

    Регистр.:
    17 июн 2011
    Сообщения:
    405
    Симпатии:
    151
    У меня один клиент секс игрушки на Украине продает и вот тоже самое что и у тебя, запарился уже сайт чистить, одно поправишь, в другом месте выскакивает, тоже вот думаю, дался им этот сайт блин..
     
  9. hadahan

    hadahan Постоялец

    Регистр.:
    21 фев 2008
    Сообщения:
    61
    Симпатии:
    77
    Вроде все дыры закрыты, для WP шаблоны стандартные и модули только через сам WP ставлю (поменял страницу wp-login.php, т.к. "Автоботы" будут доковыриваться, с другой стророны у меня стоял Google ReCAPCHA, нагрузки сильной не было), с Prestashop больше ничего не делал, пока что, вроде не взломали и брутфорс атак нет, надеюсь прекратили они свои нападки. (или я так хорошо закрылся)

    НО! Теперь есть много обращений с 404 ошибками, и например Гуглу не нравится, что на мой сайт идет много запросов с ошибками 404.
    На страницы типа:
    /8508/3944sphenethmoilprmninrerning/sjm/16676-ylfee/gn
    Можно что то с этим сделать?!
    p.s. Хакеры если не взломают так поднасрут с обращениями к несуществующим страницам (это скорее всего бывшие зараженные страницы).
     
    Semg нравится это.
  10. Jame

    Jame

    Регистр.:
    16 июл 2012
    Сообщения:
    373
    Симпатии:
    192
    Забить, если страница была в индексе и боты ломятся на нее с поисковика то она скоро выпадет из индекса и запросы прекратятся.