Hacking?

Ma uitam in lista vizitatorilor site-ului (OpenCart) si observ ceva dubios :

Landing Page : /uploadify/uploadify.swf

am dat sa vad ce e cu IP-ul ( 62.210.141.227 ) de pe care a accesat pagina aia (inexistenta) si rezultatul :

Services: Recently reported forum spam source. (15777)


Stie cineva ce incerca sa faca? ...upload de malware, etc?

Am scanat site-ul prin cPanel si virustotal.com ... nu contine virusi.
Am adaugat IP-ul 62.210.141.227 in IP Deny Manager... probabil ca ar trebui sa adaug un entire range, nu?

Edited by veman, 28 January 2015 - 13:20.

Probabil ceva bot de spam.
Nu te stresa prea tare.

nu ma stresez, dar am mai avut probleme, in trecut, cu injectare de cod PHP ...pentru Wordpress in fisiere de OpenCart ...a trebuit sa curat fisierele fiindca imi genera erori.

acum fac backup periodic, verific tot, nu sunt erori...


sunt si doua comentarii pe whatismyipaddress.com :
Hacking. - 2015-01-22
Hacker.....Nasty one too - 2015-01-23

Edited by veman, 28 January 2015 - 13:32.

Daca e sa ne luam dupa comentarii... vezi stirile de la TV, care ii numesc pe cei din RV care dau tepe pe ebay tot hackeri.

Daca era sa te injecteze te injecta deja, ai banat degeaba ip-ul. Poti fi sigur ca nu face chestia manual ci cu ceva bot ce roteste ip-uri, adica proxy-uri. Tot ce poti face e sa iti tii la zi scripturile si sa nu folosesti pluginuri invechite sau din surse obscure.

daca injecta presupun ca undeva, cumva, reiesea lucrul acesta. In prima faza, in log-urile de erori... zic eu, nu?

a incercat asa :

/cms/uploadify/uploadify.swf
/js/uploadify/uploadify.swf
/plugins/uploadify/uploadify.swf
/includes/uploadify/uploadify.swf
/admin/uploadify/uploadify.swf
/lib/uploadify/uploadify.swf
/uploadify/uploadify.swf
/inc/uploadify/uploadify.swf

nu stiu ce platforma cauta ... ca OC nu are structura asta.

Edited by veman, 28 January 2015 - 13:58.

veman, on 28 ianuarie 2015 - 13:39, said:

Depinde cat de "destept" este botul. Dar da, primele semne de intrebare ar trebui sa ti le ridice mult prea multe erori 404.

veman, on 28 ianuarie 2015 - 13:39, said:

Il cauta pe http://www.uploadify.com/demos/, nu neaparat o platforma anume.

Poate doar testeaza terenul
Am devirusat destule site-uri pana acum si din ce am vazut din log-uri(log-urile de acces), multe atacuri se fac in mai multi pasi, respectiv cu mai multe ip-uri si in mai multe zile...
La inceput iti scaneaza site-ul sa vada daca nu ai ceva brese de securitate, verifica versiunea platformei, ce module ai, etc. Acum depinde de fiecare hacker in parte cum lucreaza...
E posibil sa treaca apoi cateva zile si revine pe site... iti injecteaza un cod prin care obtine acces la site, mai bine zis obtine accesul de a incarca fisiere pe site-ul tau.. Si apoi incepe distractia si incepe sa iti incarce diverse fisiere, depinde de ce vrea hackerul sa faca pe site-ul tau.
Si nu, nu intotdeauna gasesti in log-urile de erori "dovezi" ca s-a intamplat ceva dubios pe site.

Uite niste recomandari:
1. in folderele care contin fisiere .tpl sau imagini, pune un .htaccess prin care interzici accesul la fisiere .so si .php;
2. daca tu crezi ca te-a "spart" cineva, poti verifica si permisiunile folderelor(da, e munca de chinez dar eu de multe ori asa am gasit fisiere infectate). Daca vezi foldere cu cmod 00, acolo cu siguranta ai ceva suspect;
3. poti face un back-up la site si apoi sa il scanez cu antivirusul tau(eu folosesc Eset si e destul de bun) - de cele mai multe ori fisierele infectate au cod criptat(base64) si antivirusii cam stiu sa detecteze asa ceva; ClamAv mie mi-a dat niste rateuri la astfel de fisiere.

veman si eu am un 1.5 instalat si online.
si la mine mai venea din cand in cand un scan de pe range-ul ala.

Nu este nici o problema, i-am pus ban pe 62.210.0.0/16 si gata....
Oricum targetul meu nu este Franta.

Edited by Mihai_3, 28 January 2015 - 14:28.

tigerheart, on 28 ianuarie 2015 - 14:16, said:

Am facut backup si am scanat cu ESET 7 ...rezultat : niciun virus

Nu prea am ce sa fac la site...este definitiv, module / extensii "custom work" platite la cei care le vand, modificari minore de mine in cod ...atat cat am invatat, stiut, putut...
Parola pe folder "admin" ...

O sa mai verific si permisiunile... totusi, mi se pare aiurea sa incerci sa hack-uiesti un site de la care nu prea ai ce obtine...

veman, on 28 ianuarie 2015 - 18:21, said:

Chestia asta se intampla zilnic si nu numai tie. Tu la ce crezi ca sunt folositi, printre altele, botnetii pe care ii "alimenteaza/intretin" inclusiv romanii care-si instaleaza tot felul de programe patchuite?
Nu au target precis - care "pica" la rand. Inchipuie-ti 100.000 de PCuri, conectate la Internet prin linkuri de 100Mbps sau chiar Gigabit(FiberLink suna cunoscut?), folosite la a scana diverse siteuri(alese extrem de aleatoriu) zilnic. Daca "sta" o ora/site/PC => 2.4 milioane de siteuri/zi. Mult, putin? Nu stiu. La fel nu cum nu pot sa iti spun cand/daca iti vine randul.

Scopul? Ah, multiplu: simple shelluri, hosting de fisiere infectate, siteuri de phising, defaceuri(mai rar, dar si din astea), harvesting de adrese de e-mail, inclusiv includerea victimei intr-un nou botnet/extinderea celui deja folosit etc.

Din pacate, principiul romanesc de tipul "mie nu mi se intampla" nu se poate aplica si aici.

Edited by dexterash, 28 January 2015 - 18:33.

Eu nu merg pe principiul "mie nu mi se poate intampla" mai ales ca site-ul a fost injectat cu un script php (chiar la cateva zile dupa ce l-am "aruncat" in www) ...chiar daca era de WP, eu avand OC....

Mai mult de atat, am avut returnare de email si inclus pe niste liste aiurea...cica PHPCrypto sau ceva de genul. Am scanat si pentru asta si nu este infestat...dar asta e... report fake, doua zile mail-urile mele nu au ajuns la destinatar.

Ideea era ca nu prea au ce sa fure... clientii pot lansa comanda si fara a avea cont, iar plata se face prin terti. ...securizat...

Tot site-ul il pot pune la dispozitie, sunt module pe care nu le pot folosi altii pentru ca sunt modificate... de catre mine sau de catre cei care le-au conceput si le-am platit extra munca pentru a le adapta conform cu cerintele mele.

Ce naiba sa fure?...

Sunt convins ca multi dintre "opencart-isti" nu verifica site-urile sau nu acorda o atentie asupra securitatii ... ca sa nu mai vorbesc de wordpress-isti ...

In fine, daca trebuie sa mai fac ceva ca sa preintampin astfel de probleme...o voi face.

Edited by veman, 28 January 2015 - 19:29.

2.0 sau 1.5 ?

veman, on 28 ianuarie 2015 - 19:29, said:

Pai smecheria este ca nu trebuie sa fure ceva. Ti-am zis: hosting de fisiere infectate, de exemplu. Si nu cred ca ar da bine daca Google ti l-ar marca drept malware...
Sau sa te trezesti intr-o dimineata ca pagina ta este reclama pentru ISIS sau mai stiu eu ce alti religiosi.

veman, on 28 ianuarie 2015 - 19:29, said:

Daca este pe un VPS incearca fail2ban "customizat" pentru reguli de Apache, pe erori 403/404.
Apoi, limiteaza user-agents carora le servesti paginile folosindu-te de .htaccess.

Asta asa, ca un minim-minimorum de siguranta.

1.5.6.1

ISIS? LOL

http://www.sbfisica.org.br/mrtg/
http://www.skylightweb.com/imagine/
http://www.nogomix.com/
http://www.shethai.com/excel/

De exemplu...

da, dar totusi... nu as fi in "target-ul" lor

Tocmai ce ti-am zis(si ai vazut si tu pe propria piele) ca nu au "target", ci folosesc "shotgun approach". Au atat de multe resurse la dispozitie incat nu trebuie sa filtreze ce ataca, ci ataca la gramada(au fost si vreo 20 de siteuri romanesti care si-au luat-o, de la siteuri de Consilii Judetene, pana la siteuri de gradinite, Universitati sau bloguri personale).