Opencart Polska

[staniapl]

Temat dla wszystkich, proszę o poważne wypowiedzi wnoszące coś do tematu.
ABSOLUTNIE PODSTAWOWE

1. Usuń folder install z głównego katalogu OpenCart
- absolutnie podstawowa rzecz atakujący, który natrafi na ten folder może nadpisać Twoją bazę MYSQL.
2. Chroń pliki /config.php oraz admin/config.php
- Nadaj tym plikom uprawnienia (CHMOD) 444 !
3. Zmień standardowy login i hasło na trudniejsze do odgadnięcia
- Jak wiadomo częstymi atakami są ataki metodą brute force (tj. słownikową) jeśli logujemy się do Panelu Admina za pomocą loginu 'admin' atakujący ma ułatwione zadanie. Jak pamiętamy włamanie na strony kancelarii premiera (log: admin, hasło admin123).
4. Usuń ze stopki "Powered OpenCart"
- Wiele ataków następuje poprzez wyszukanie witryn zawierających taki wpis, następnie podejmowane są próby ataku znanymi lukami w zabezpieczeniach. (Reanimowałem w ten sposób kilkanaście witryn na Wordpress) - lepiej niech na pierwszy rzut oka nie widać z jakiego systemu korzystamy.
5. Zablokujmy możliwość uploadu plików przez klienta
- (mogę się mylić ale w wer. 1.5.3.1 - istniał exploit, który pozwalał na uzyskanie dostępu do bazy danych)

CO MOŻEMY ZROBIĆ DODATKOWO
6. Zmień folder 'admin' na dowolny inny
- Jak wiadomo powszechnie znane systemy mają standardową ścieżkę do PA (OpenCart - domena/admin, Wordpress domena/wp-admin). Nie ułatwiajmy pracy atakującym i zmieńmy to na dowolną inną ścieżkę np. domena/ocart

Jak to zrobić ?

edytujemy pliki config oraz admin/config i zmieniamy wszędzie słowo admin na inne dowolne

Kod: Zaznacz cały

<?php
// HTTP
define('HTTP_SERVER', 'http://domain.com/ocart/');
define('HTTP_IMAGE', 'http://domain.com/ocart/image/');
define('HTTP_ADMIN', 'http://domain.com/ocart/RJKJKSU/');

// HTTPS
define('HTTPS_SERVER', 'http://domain.com/ocart/');
define('HTTPS_IMAGE', 'http://domain.com/ocart/image/');

// DIR
define('DIR_APPLICATION', 'domain.com/httpdocs/ocart/catalog/');
define('DIR_SYSTEM', 'domain.com/httpdocs/ocart/system/');
define('DIR_DATABASE', 'domain.com/httpdocs/ocart/system/database/');
define('DIR_LANGUAGE', 'domain.com/httpdocs/ocart/catalog/language/');
define('DIR_TEMPLATE', 'domain.com/httpdocs/ocart/catalog/view/theme/');
define('DIR_CONFIG', 'domain.com/httpdocs/ocart/system/config/');
define('DIR_IMAGE', 'domain.com/httpdocs/ocart/image/');
define('DIR_CACHE', 'domain.com/httpdocs/ocart/system/cache/');
define('DIR_DOWNLOAD', 'domain.com/httpdocs/ocart/download/');
define('DIR_LOGS', 'domain.com/httpdocs/ocart/system/logs/');

// DB
define('DB_DRIVER', 'mysql');
define('DB_HOSTNAME', 'localhost');
define('DB_USERNAME', 'USERNAME');
define('DB_PASSWORD', 'PASSWORD');
define('DB_DATABASE', 'DATABASE');
define('DB_PREFIX', 'pre_');
?>

7. Wyłącz wyświetlanie błędów
- Panel Admina > Ustawienia > Serwer
Wyświetlaj błędy - NIE

Porady pochodzą z angielskich literatur -> ciekawy artykuł. http://cartadvisor.com/blog/2012/09/28/increasing-your-opencart-store-security/

[pozpoz]

Fajny artykuł.

Należy jednak pamiętać, że po zmianie katalogu admina mogą wystąpić problemy z vqmodami i będzie trzeba je też edytować.


-edit -- staniapl

Zgadza się po zmianie folderu admin, przed instalacją dodatków Vqmod musimy wyedytować plik XML i zmienić ścieżki z 'admin' na nasze .

[staniapl]

Dziś przeglądając logi pewnego sklepu natknąłem się na bardzo ciekawe wpisy:
(oto kilka losowo wybranych z pośród tysięcy z tego IP)

Kod: Zaznacz cały

5.2.82.59 - - [14-sty-2014:09:54:00 +0100] "GET /pandora_help.php?id=/../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:00 +0100] "GET /cms/website.php?template=../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:01 +0100] "GET /website.php?template=../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:01 +0100] "GET /admin/index.php?option=com_img&controller=../../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:02 +0100] "GET /index.php?option=com_dcnews&view=dcnews&controller=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:02 +0100] "GET index.php?option=com_cbe&task=userProfile&user=23&ajaxdirekt=true&tabname=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 400 388
5.2.82.59 - - [14-sty-2014:09:54:02 +0100] "GET /component/music/album.html?cid=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:03 +0100] "GET /index.php?option=com_sef&controller=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:03 +0100] "GET /search_results/?action=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:04 +0100] "GET /iphone/showphoto.php?pid=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:10 +0100] "GET /showinphoto.php?pid=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:10 +0100] "GET /propertyfinder/component/jesectionfinder/?view=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549


Specjalistą w dziedzinie bezpieczeństwa to nie jestem ale widać, że jakiś bot przez kilka godzin przeprowadzał sobie atak http.

Czy udało się atakującemu ? Raczej nie - choć pewności nie mam (niech wypowie się tu ktoś z szerszą wiedzą)

jakie kroki podjąłem ?

jak zauważyłem bardzo dużo logów odnosiło się do /admin ..... , więc aby chronić ten obszar zastosowałem dodatkowe hasło do katalogu Admin za pośrednictwem .Htpasswd

Jak to zrobić ? --> polecam art -- >http://www.rabinek.pl/katalog-z-haslem/ a tutaj generator plików .htpasswd -- >http://www.htaccesstools.com/htpasswd-generator/



Dzięki temu zabiegowi po wejściu w adres.pl/admin jesteśmy proszeni o hasło, jeśli wpiszemy hasło dopiero wyświetla się nam strona do logowania do PAnelu Admina.

Pozdrawiam

[adikon.oc]

nie udało się, to był atak typowo na joomle a nie OC więc bot musiał źle rozpoznać skrypt
pod OC da się przeglądnąć pliki przez filemanager.php, to ma słaby punkt ale znowu trzeba przechwycić token co laik nie zrobi

pozdrawiam
Adrian

[staniapl]

nie udało się, to był atak typowo na joomle a nie OC więc bot musiał źle rozpoznać skrypt

Dzięki za info, bot był dość inteligentny bo sprawdzał nie tylko Joomle ale i kilka innych dość popularnych cms-ów

Kod: Zaznacz cały

GET /GetSimple_2.01/admin/download.php?file=../../../../../etc/passwd%00 HTTP/1.0  - tu np GetSimple

GET /wp-content/plugins/old-post-spinner/logview.php?ops_file=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0"  - tu np Wordpress


Jak poinformował mnie usługodawca hostingu były to ataki typu directory/path reversal - mające na celu kradzież haseł do konta hostingowego z pliku etc password. Atak nie powiódł się.

pod OC da się przeglądnąć pliki przez filemanager.php, to ma słaby punkt ale znowu trzeba przechwycić token co laik nie zrobi

Aby temu zapobiec, zmieniajmy w panel > system> ustawienia > serwer - klucz zabezpieczeń (ze standardowego 12345 na własny) i pod żadnym pozorem gdy jesteśmy zalogowani do panelu admina nie otwierajmy linków od nieznajomych !!