Взлом сайта на Webasyst 6 (FrameWork 1.7.6.151)

Хочу всех предупредить о таком факте как взлом сайта на Webasyst 6 (FrameWork 1.7.6.151) - произошло 22.07.2017.

Обнаружилось случайно из-за проблемы - вдруг перестали открываться страницы всех продуктов и Гугл сообщил, что много страниц стали отдавать ошибку 500.

В созданной мной папке с логотипами платежных систем появились 2 файлика:

core.php

pix.db

Этот core.php вызывался из public_html/wa-apps/shop/lib/classes/shopCart.class.php (строка 92 в моем случае).

shopCart.class.php был с датой 28.07.2015 как и некоторые другие файлы из этой папки...

Как я понял результатом работы этой конструкции должно было быть вывод в рамке фразы "Побочный PR-эффект ускоряет направленный маркетинг" с заголовком "Стратегия позиционирования". Погуглив, я нашел много сайтов которые выводят эту фразу. Учитывая что ссылка ведет на сайт http://test.com можно считать это тестированием или отрабатыванием системы размещения ссылок на чужих сайтах для зарабатывания на бирже trustlink.ru...

Пока не вычислил как это добро попало на мой сайт... Если считать что дырки в безопасности нет на Webasyst 6 (FrameWork 1.7.6.151), то пока одно предположение, что через взлом сайта со старой Shop-Script PREMIUM, который размещен на этом же хостинге под моим аккаунтом.

3 ответа

  • 1

    Спасибо. Надеюсь вы поднимете логи, чтобы посмотреть, как конкретно "зашли" на сайт.

    • +1
      Антон Антон 26 июля 2017 10:56 #

      Взлом был 22 июля, логи есть с 21 июля, но там ничего нет. Поэтому у меня и версия, что доступ получили через другой сайт со старой версией Shop-Script PREMIUM, но как эту версию подтвердить или опровергнуть - пока не знаю...

  • 1
    Антон 27 июля 2017 17:49 #

    Уважаемые Разработчики и Эксперты!

    Может у кого-то в архивах остались последние патчи по безопасности для Shop-Script PREMIUM?

    Я понимаю, что поддержка данного продукта закончилась в 2009 году и он устарел во всех отношениях, но есть сайт и он несет до сих пор определенную функцию, удалять его нельзя, а переделывать нецелесообразно. Хотелось бы проверить все ли там закрыты дырки, известные разработчикам... К сожалению, в Интернете не смог найти работающие ссылки на последний обновления безопасности, а то что попалось содержит различные вирусы...

    Заранее всем откликнувшимся спасибо!

  • 1
    Антон 15 августа 2017 10:05 #

    Похоже взлом был через 309 версию Webasyst Shop Script со всеми установленнными патчами, но использовалась проблема в визуальном редакторе tinymce.

    Вот такая интересная строка показывает содержимое файла внутри сайта:

    domain.ru/published/SC/html/scripts/tinymce/tiny_mce_css.php?css=/published/publicdata/MYDB/attachments/SC/themes/aqua/main.css

    Чтобы такого больше не делали, поместил htaccess (с директивой Deny from all) в папку /published/SC/html/scripts/tinymce/

    Если кто-то может поделиться другими уязвимостями в визуальном редакторе tinymce и методами их закрытия - буду очень благодарен, так как еще используется Webasyst Shop Script версий 281, 309 и даже Shop Script Premium...


Добавить ответ

Чтобы добавить комментарий, зарегистрируйтесь или войдите