Критические уязвимости безопасности Opencart

я бы глянул.

Старо как мир! уже обсуждалось в других топиках на этом форуме!

 

В общем достаточно будет спрятать админку по другому адресу и отключить загрузку файлов пользователям?

 

Бесплатные ЦМС всегда поносили, всем в голову с детства вдалбливается: "бесплатно только сыр в мышеловке" этот стереотип работает как швейцарские часы (кстати ещё один стереотип о их крутости, запчасти производят в китае). Я одно время работал в вебстудии базирующейся на разработке сайтав Битрикс в ценовом диапазоне от 50т и до полумиллиона, естественно основной аргумент: надёжность и авторитетность, непоколебимость и универсальность.... так вот ломали наш сайт раз в месяц стабильно, при том что автообновления происходят регулярно, пишем в офф техподдержку там естественно вину за вредоносный код списывают на вмешательство в исходный код (шаблон-то уникализирован) и так по кругу.. в общем одно лечится другое калечится.
А по поводу самописных движков - с чего вы взяли что отдельно написанный движок под конкретный сайт будет стабильнее чем вылизанный под наблюдением миллионов разработчиков по всему миру опен сорсовских цмс? Просто нет статистики и не может существовать "самописных движков сломано столько-то" потому что их нельзя классифицировать.

 

Тут больше влияет показатель популярность а не свободный/платный.
Т.е. чем движек популярнее тем усиленнее его пытаються проломить.
Еще нужно понимать что ломают чаще всего по готовым эксплойтам. Т.н. скрипткидди. Самописный движек (если в нем нет тривиальных дыр) могут ломать только немногие профи.

 

Самопальные легче ломать Там особым профи быть не надо. Готовые конструкции, немного анализа и самопальный быстрее поломается. Когда движок популярный, его пытаются ломать все кому не лень, поэтому заметить там дырку гораздо быстрее. Другое дело, что в основном ломают, через сторонние модули, а сам бесплатный движок из коробки очень тяжело поломать

 

markimax, Пожалуй не совсем согласен с Вами. Самопальный(самописный) движок не имеет открытого исходного кода, по этому мало кто(зачастую почти никто кроме разработчика) видет сам код и его недостатки (уязвимости), никто не делает всякие там эксперименты на нем и т.д. по этому поломать его труднее чем открытый исходный код

 

Вы не правы. Обычно самопальные движки делаются дидлайн и там столько дыр, что вам и не снилось

А выявить их всегда довольно легко.

http://habrahabr.ru/company/badoo/blog/175865/
http://habrahabr.ru/post/175939/

 

А если копнуть немного глубже?
Кто делает бесплатный движок? Кто финансирует? Какой получает из этого профит?
Я предполагаю, что к автору или к организации, пишущей бесплатную программу, стоит большая очередь на изготовление сайта. Потому что, как тут уже писали, миллионная аудитория протестировала работу программы и вносит свои рекомендации по поводу улучшения. А самому автору (организации), который свою программу знает очень хорошо, остается быстро прикрутить шаблон и сайт готов.

 

как закрыть раскрытия путей ?
/admin/controller/common/header.php
/admin/controller/payment/alertpay.php
/admin/controller/localisation/length_class.php
/admin/model/localisation/geo_zone.php
/admin/model/sale/customer_group.php

 

На 1.5.4.1 ещё сидеть можно или надо обновляться?

 

Вообще-то поломать можно все что угодно, но здесь с тобой соглашусь. К тому же на исследование самопального движка можно истратить столько времени, да игра просто не будет стоить свеч.

п.с. есичестно, не понимаю смысл взлома интернет-магазина вообще, это ведь не банкомат, там ничего не хранится, это только инструмент. Ну сломал ты, ну и чего.... Конечно не беру в расчет крупные магазины рунета. Но меня середнячка смысл ломать, хз, че взять с моего магаза.

 

Итак. Появилась у меня уязвимость в версии 1.5.4.1. в catalog/view/theme/default/template/common/header.php в самый конец файла вставляются ифрэймы на сайты http://dataney.ru/1/index.php и http://banati-bags.ru/. Возможно это из-за модулей, я не знаю. Такое чувство, что стоит стучалка какая-то. Потому что я только вчера поставил на хостинг опенкарт из коробки (накидал туда фильтерпро, сеопак про, шаблон) и уже сегодня утром обнаружил эту фигню.

Кто знает что это и как закрыть? Не хочу переходить на новые версии, ибо на эту все модули заточены. Закрыть от записи только этот файл можно, но ведь так и любой другой инфицировать можно.

В общем, надеюсь на помощь, проекты горят )

 

А можно более детально описать проблему (желательно с ссылками)?

 

Так а что тут описывать? Кто-то залез на хостинг и добавил в файл вредоносный код.

 

ищи шеллы, ищи вообще по всему хостингу, поменяй пассы на хостинг, закрой от исполнения все папки куда пользователь может загружать файлы (а там ищи шеллы более тщательно), или вообще убери загрузку пользовательскую, и проверяй файлы левых модулей

 

А не может ли быть это следствием знаменитого вредоносного кода в файле респонс.пхп?

 

Что за файл? И где можно почитать про отключение загрузки файлов для пользователей и т.д.?

 

Я говорил о /system/library/response.php - проверьте на наличие кода base64 на всякий.