Il mio sito sta per essere iniettato / hackerato SQL?

3

Sto utilizzando Opencart, un CMS di e-commerce su un sito web pubblico.

Circa una settimana fa ho notato un picco decente nel traffico diretto in Google Analytics (nel senso che questi utenti inseriscono il mio URL direttamente anziché essere indirizzato organicamente o tramite social media) in un solo giorno. Il traffico del giorno dopo è tornato alla normalità. Questo era abbastanza strano, e ho scoperto che la maggior parte di questi utenti proveniva dagli Stati Uniti e alcuni provenivano dalla Francia / Germania. I miei servizi del sito clienti in un altro paese, quindi questo traffico mi ha colpito come strano, ma non ci ho pensato troppo.

Tuttavia, più recentemente un gruppo di nuovi clienti si è iscritto sotto lo stesso identico nome utilizzando diversi indirizzi e-mail e diversi indirizzi IP. C'erano 5 di fila, ogni 1-3 ore di distanza. Ancora una volta, questo è insolito - non è mai successo prima su questo sito. All'epoca pensavo che fosse OK, forse sono stato spammato, anche se le prestazioni del sito sono andate bene da quando è iniziato.

Ciò che mi ha spaventato è stata la registrazione più recente. Questa persona ha impostato il proprio nome su " DbLks Trackr " e ha un indirizzo email simile. Ho quindi esaminato gli IP di tutte queste registrazioni, quest'ultima più recente e quelle con lo stesso nome. La maggior parte sono proxy, due ucraini e uno americano.

Penso che il mio URL sia stato pubblicato su alcuni forum o IRC e le persone stanno pensando di provare a prendere il database, motivo per cui stanno registrando.

Non è un vero e proprio negozio di ecommerce quindi non pensavo che sarebbe stato davvero un obiettivo. Sono abbastanza sicuro che il mio PC non sia infetto, ma la mia versione Opencart non è stata aggiornata da un po '.

Cosa sta succedendo qui? È probabile che possano accedere al mio database tramite un'iniezione SQL o altri mezzi? O è probabile che sia trolling innocuo?

UPDATE: il traffico proxy sta sondando il mio sito, guardando i file js e image. Sembra un bot o bot alla ricerca di una vulnerabilità o della pagina di amministrazione.

    
posta user16421 03.02.2018 - 08:26
fonte

2 risposte

2

La risposta alla domanda del titolo è: forse.

Non imbattersi troppo "stanco", ma tutti i siti web sono quasi costantemente in quello stato. Chiunque disputa diversamente non è realistico :)

Tuttavia, in base alla tua analisi approfondita insieme ad alcuni commenti qui, sembra che ci possa essere qualche recente scoperta di una nuova vulnerabilità, o forse un post recente su alcuni forum ha nuovamente suscitato l'interesse della gente per OpenCart.

Da una ricerca rapida di 30 secondi, sembra che OpenCart 2.2.n fino a 2.3.n abbia sofferto sia delle vulnerabilità SQLI che XSS: link

Puoi vedere alcuni bug elencati in quella pagina che sono stati aggiornati negli ultimi 12 mesi. Ho anche visto un repo github in cui un manutentore di OpenCart sembrava molto ... incurante (?) Di qualche potenziale vulnerabilità.

Come tale, mi sento di raccomandare di seguire il consiglio sonoro di altri poster qui, ottenere il tuo sito aggiornato al più presto! Anche se significa prenderlo offline per alcuni minuti.

Quindi, se sei ancora preoccupato per questi account e indirizzi e-mail, puoi sempre eliminarli dal tuo db!

    
risposta data 04.02.2018 - 05:09
fonte
1

Dalla tua domanda e risposta di Rolf , penso che questa sia una persona / sistema che si aggiunge al tuo database, quindi nel caso in cui qualcuno "perde" il tuo DB in futuro, sarà in grado di verificare i dettagli.

Ma davvero. A meno che tu non voglia finire in quella lista, aggiorna il tuo sito.

    
risposta data 04.02.2018 - 02:38
fonte

Leggi altre domande sui tag