Fórum OpenCart Brasil

[cartcwb]

Boa tarde a todos!

Hoje tive uma experiência não muito boa... Tive a loja hackeada, possivelmente pelo Apache. Gostaria de mais pessoas para me ajudarem a analisar de onde foi a brecha.
Pois realizei o teste de vulnerabilidade do Apache a pouco tempo... Ver tutorial aqui - 10/10/2011 E não tinha exibido informações... Servidor atualizado. Firewall ativo... Enfim, não entendo muito! rsrsrs

No servidor (pasta raiz) tinha um arquivo "x.html" - no topo do código fonte um endereço de e-mail
Na página:

. : : o w n e d b y H m e i 7 : : .
YOU got hacked !!!
be secure, your security get down
for admin
enter / enter / enter

No código fonte tem uma citação: (Decoração do texto - que é dos efeitos do texto - tag style)
/usr/local/apache/htdocs/zz/safeindex.txt

Será que alguém já passou por isso?

[cartcwb]

Achei a "tecnologia" usada... SQL injection...

[Renato Frota]

Achei a "tecnologia" usada... SQL injection...

Qual era a versão da loja?

[cartcwb]

Versão 1.5.1.3

Técnica um tanto quanto usada... Estou fazendo uns testes que resolvem esse problema... (troca de caracteres no(s) banco(s) de dados, caminhos....)

Para ver se a página foi hackeada é só verificar se não tem na pasta raiz o arquivo x.html e entrar no Zone-h...

[ocp3]

Ah, eu já passei por isso antes. Ter a loja hackeada por SQL Injection é um pé no saco mesmo. Eu tinha desistido de oscommerce por causa desta porcaria uma época, porem deu uma melhorada com algumas precauções. Gostaria de saber se mais alguém aqui já passou por isso e se tem alguma "solução" para impedir isso.
Vlw.

[Manoel Vidal]

Duas coisas devem ser observadas:

1º Pode ser falha de segurança no seu servidor de hospedagem.
2º Algum módulo/modificação pode ter facilitado a invasão por fornecer acesso não seguro ao seu banco.

Espero ter ajudado

[cartcwb]

Ah, eu já passei por isso antes. Ter a loja hackeada por SQL Injection é um pé no saco mesmo. Eu tinha desistido de oscommerce por causa desta porcaria uma época, porem deu uma melhorada com algumas precauções. Gostaria de saber se mais alguém aqui já passou por isso e se tem alguma "solução" para impedir isso.
Vlw.

Qual servidor usava quando aconteceu?

[cartcwb]

Duas coisas devem ser observadas:

1º Pode ser falha de segurança no seu servidor de hospedagem.
2º Algum módulo/modificação pode ter facilitado a invasão por fornecer acesso não seguro ao seu banco.

Espero ter ajudado

Manoel, concordo com você...
Ao servidor, até agora não constatei nada....
Agora com relação módulo, é mais por uma questão de fornecimento de dados ( "apontamento" de caminho ao banco de dados)...
Pelo que percebi as pessoas que praticam esse tipo de invasão usam programas específicos.

Então:
Uma das formas de não cair é criar arquivos com caracteres não "convencionais"... (Li em alguns sites).
Estou fazendo um teste, estou encriptando algumas conexões ao banco de dados... Tanto de configuração do servidor quanto da loja....

Porém tenho essa dúvida se a falha esta no servidor ou em módulos da loja (instalei vqmods a pouco tempo....)

Será que tem mais alguém que passou por isso?

[ocp3]

O pior que a ultima vez que isso aconteceu comigo eu descobri que o google tinha uma pagina minha em que dava pra entrar em modo "cache". Era uma pagina da administração. Assim que você entrava, dava pra mexer dentro da loja no mesmo instante.

Era facilmente resolvido o problema, mas era falha de segurança do sistema da loja.

Com relação a apontamentos ao banco de dados, tinha alguns arquivos da loja que eram explicitos quando ao banco de dados, e inclusive usuario com senha. porem o acesso deveria ser restrido setando as permissoes de leitura desses arquivos somente aos admins.

Muita agua depois da ponte, hoje acredito que esses metodos ainda funcionem, porem devem sim ter coisas mais sofisticadas pra serem feitas por sacanas que usam disso para se divertir...

O jeito é fazer backup de tudo e torcer pra nao estar na frente de um idiota desses em um dia de tedio deles.
Abraços.

[Manoel Vidal]

Quanto aos módulos, sempre tenho muito cuidado aos utilizá-los, sempre que desejo utilizar módulos/modificações de terceiros verifico seu código fonte procurando por falhas de segurança em seus códigos SQL e recepção de dados que não passam por nenhuma crítica antes de permitir acesso direto ao banco, mas isso é claro para SQL Injection.

Outras técnicas de invasão utiizando falhas em recursos acrescentados ao OpenCart trazem muita preocupação, pois muitos desenvolvedores estão acrescentandos bibliotecas jquery, etc, unidas ao PHP para agregar novos recursos ao OpenCart, porém, se essas bibliotecas não forem bem testadas e permitirem envio de arquivos para seu servidor, seja de modo intencional ou não, isso realmente pode ser um grande problema, um grande exemplo disso foi uma modificação que vi há algum tempo (já foi corrigida), para o CKEditor que agregava novos recursos ao editor online de texto utilizado pelo OpenCart, porém, alguns arquivos que continham na modificação permitiam que um atacante pudesse enviar qualquer arquivo para seu server e consequentemente iniciar um ataque.

Por último é sempre bom lembrar que a péssimos servidores de hospedagem que possuem o kernel do Linux de seus servidores não atualizados, iptables mau configurados, regras fracas no Apache e até PHP mau copilado, facilitando e muito a vida do hacker ou scriptkids que uma vez que encontra seu site começa a testar várias técnicas para tentar a famosa modificação de index, lembrando que muitos sites com falhas de seguranças em seu servidores são encontrados via Google, onde você faz a busca por algum termo que denuncie a falha no servidor e assim seja escohido o site vítima.

Já que toquei no assunto de busca do Google para a escolha do site vítima, só para se ter uma idéia, quando me interessei pelo assunto há alguns anos atrás, por curiosidade mesmo, notei que todas as técnicas para encontrar o site vítima sempre iniciavam com uma busca no Google, explorei algumas delas e descobri que falhas de armazenamento de informações importantes no servidor o espunham a um atacante ainda que o dono do site tivesse feito um site bem seguro contra SQL Injection e outras técnicas ao seu alcance.

Não costumo recomendar isso, mas meu conselho é que você mude de hospedagem, pois o problema pode está além de suas capacidades de proteção e o seguro morreu de velho.

Espero ter ajudado