Категории

[FAQ] Часто задаваемые вопросы и ответы

Проблемы и решения

Ошибки и исправления

Общие вопросы

Расширения

Установка и обновление

Модули

Шаблоны

Локализация интерфейса

Коммерческие предложения

Учимся бизнесу

Бизнес книги

Поисковая оптимизация (SEO)

Магазины на ShopOS

Хостинг для ShopOS

Предложения и пожелания

Курилка

Уязвимость сайта

Пришло письмо, что сайт уязвим и прилагается скриншот админки, получается кто то получил доступ к админки, кто сталкивался с данной проблемой? И как могли получить доступ к админки? 

Ну почему бы и нет.

И в чем письмо у них состоит? хотят выкуп?

1. ваш разработчик сайта (знает доступы)
2. просили кого-то доработать что-то(давали доступы)
3. реально взломали


Ну почему бы и нет.

И в чем письмо у них состоит? хотят выкуп?

1. ваш разработчик сайта (знает доступы)
2. просили кого-то доработать что-то(давали доступы)
3. реально взломали

Предлагают обслуживание, на год. Доступ давали, после меняли пароли.

а доступы у вас к FTP и хостеру есть же?
Скиньте доступ по FTP в личку или на почту я гляну наличие левых файлов.


а доступы у вас к FTP и хостеру есть же?
Скиньте доступ по FTP в личку или на почту я гляну наличие левых файлов.

Файлы проверил сравнением, вроде подозрительного нет.  Меня интересует какими методами могли получить доступ к админки? Может у шопоса есть уязвимости?

если и есть, то методом тыка ее не найти. нужно все анализировать.
файлы надо искать в папках images или еще где-то. типа название_картинки.php.gif и похожие.
И список плагинов нужно то же. может в плагине чет.


если и есть, то методом тыка ее не найти. нужно все анализировать.
файлы надо искать в папках images или еще где-то. типа название_картинки.php.gif и похожие.
И список плагинов нужно то же. может в плагине чет.
P
Так как они туда попасть могли? Т.е. нужен доступ к FTP

да кто его знает как они туда попали. вариантов много.


да кто его знает как они туда попали. вариантов много.

Какие варианты есть, перечислить можно? 

Попробуйте перечислить варианты, какие есть у вора, чтобы проникнуть в чужое помещение. Если кто-то и знает, вряд ли афиширует.
А можете посетить сайты хакеров, там почерпнете что-то.

Такое ощущение что ТС все придумал чтобы узнать как взломать чей-то сайт)

Нужно смотреть логи, какая последняя активность у каких файлов, если шел шалит.
Сменить все пароли доступа.
Проверить все файлы на наличие сторонних
и т.д...
У вас все есть. Нужно только взять инициативу в свои руки. Сделайте полный дамп БД и перезалейте ее на новый скрипт, старый удалите...


Такое ощущение что ТС все придумал чтобы узнать как взломать чей-то сайт)

тоже сложилось такое впечатление, что кому то просто очень нужно сломать чей то сайт :)

Реальная жертва спрашивала бы что делать и как лечить. А не как получить доступ.
Ибо жертве интереснее пути решения, а не пути как он это сделал.


Реальная жертва спрашивала бы что делать и как лечить. А не как получить доступ.
Ибо жертве интереснее пути решения, а не пути как он это сделал.

Что делать я знаю. Вопрос был как могли получить доступ, т.е. могли получить:
1. Ftp
2. хостинг
3. полизователи которые имею доступ к админки
4. уязвимости в шопосе? Есть они? Если они есть будут все полизоватлеи Shopos заинтересованы в их устранении, так если в мою админку смогли доступ получить есть вероятность, что могут получить к любой админки шопоса.

Так а чего перебирать варианты? Что они дадут? Нужно смотреть логи входов в админку и за период, когда вы доступ потеряли. И решать уже по ходу результатов проблему.

Даже если они есть Вам о них никто не скажет.

Че за лажа?

Я могу вам без всяких взламываний и паролей сделать скриншот и написать деньги давай

Прям "Мам срочно переведи 1000 рублей на номер ####, мне не звони, объясню позже"

Не у меня одного проблема с сай том на шопосе http://www.seocafe.info/internet/25909-istoriya-pro-kiber-bratkov.html

а версия шопоса у вас какая кстати?


а версия шопоса у вас какая кстати?

последняя

просматривал в логи обнаружил
/admin/includes/javascript/tiny_mce/plugins/tinybrowser/

загрузка файлов через редактор в админке

забив в яндек -  tinybrowser уязвимости
ообщаю вам о найденных мною Code Execution уязвимостях в TinyBrowser.

Code Execution (WASC-31):

Возможно исполнения кода в TinyBrowser (на веб серверах IIS и Apache). Которое
возможно через обход защитных фильтров веб приложения.

Код исполнится через загрузку файла. Программа уязвима к трём методам исполнения кода:
через использования символа ";" (1.asp;.txt) в имени файла (IIS), или через "1.asp" в
имени папки (IIS), или через двойное расширение (1.php.txt) (Apache).

Уязвимы TinyBrowser v1.42 и предыдущие версии (и все веб приложения, которые его
используют, такие как TinyMCE).

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4922/

решил проверить уязвимость сайтнов на шопосе взял ссылку сайта от сюда http://www.shopos.ru/forum/index.php?board=28.0
например
http://citi-life.ru
и переходим по сылочке http://citi-life.ru
получается что можем загрузить любой файлик.
Есть какие решения как исправить уязвимость, Уязвимы TinyBrowser v1.42 и предыдущие версии.

удалите ссылку на загрузку.
эт понятно. нужно исправлять. постараюсь поправить


удалите ссылку на загрузку.
эт понятно. нужно исправлять. постараюсь поправить

ссылку удалил, так надо менять TinyBrowser  на что то другое или исправлять косяки в нем

там есть возможность использовать сессию.
если сегодня время будет. то гляну.
пока этот плагин лучше удалить из редактора!

http://www.shopos.ru/forum/index.php?topic=6706

По загрузку файлов вот такая штука твориться.
При загрузки выдает и не загружает картинку
Upload Error: 302
и что делать?

:'(

качать не МАССОВО а по одиночной.

Источник
Copyright ShopOS