Právě je 17 zář 2021 14:15

Všechny časy jsou v UTC + 1 hodina [ Letní čas ]




Odeslat nové téma Odpovědět na téma  [ Příspěvků: 8 ] 
Autor Zpráva
 Předmět příspěvku: ZenCart - napadení stránek
PříspěvekNapsal: 19 úno 2010 18:55 
Uživatelský avatar

Registrován:
09 zář 2009 11:28
Příspěvky:
44
Bydliště:
Jesenice
Dobrý den,

spravuji dvěma zákazníkům e-shopy postavené na ZenCartu a poslední asi týden se mi stává, že jsou opakovaně napadány hackerem, který mění obsah souborů. Weby jsou na sobě naprosto nezávislé a útok přes FTP bych také vyloučila (mám FTP zakázané).
Oba e-shopy jsou postavené na poslední verzi 1.3.8a. Nevíte v čem by mohl být problém?

Předem děkuji za odpověď a případné řešení.

_________________
- - - - - - - - - - - - - - - - - Jana Vostrádalová - - - - - - - - - - - - - - - - -


Nahoru
 Profil  
 
 Předmět příspěvku: Re: ZentCart - napadení stránek
PříspěvekNapsal: 22 úno 2010 18:44 
C4 podpora
C4 podpora

Registrován:
30 čer 2009 09:14
Příspěvky:
8040
Dobrý den,
tento problém evidujeme u stále většího množství našich zákazníků. ZenCart bohužel obsahuje hodně bezpečnostních chyb, a proto u této aplikace dochází k častému napadení. Chyby jsou i v nejnovější verzi 1.3.8a. Po instalaci aplikace je nutné udělat dodatečné úpravy. Připravili jsme pro Vás přehled úprav pro verzi 1.3.8a.

  1. !!! DŮLEŽITÉ !!! Přejmenujte adresář admin na složitější tvar (např. 5dS24y1admin).
  2. !!! DŮLEŽITÉ !!! Otevřte si soubor admin/includes/configure.php (5dS24y1admin/includes/configure.php) a upravte cestu k administraci na řádcích:
    Kód:
    define('DIR_WS_ADMIN', '/admin/');
    define('DIR_WS_HTTPS_ADMIN', '/admin/');

    na Váš nový název. V našem ukázkovém případě bude úprava vypadat následovně:
    Kód:
    define('DIR_WS_ADMIN', '/5dS24y1admin/');
    define('DIR_WS_HTTPS_ADMIN', '/5dS24y1admin/');
  3. Změňte práva u souborů includes/configure.php a admin/includes/configure.php (5dS24y1admin/includes/configure.php) na 444.
  4. Smažte adresáře zc_install, docs, extras a soubor install.txt ze serveru.
  5. Pokud není eshop používán ke stažení produktů nebo médií, smažte adresáře download, media a pub. Poté v administraci vypněte stahování (Admin > Konfigurace > Attribute Settings > Enable Downloads přepněte na false).
  6. Smažte nepoužívané administrátorské účty (Admin > Nástroje > Nastavení administrace).
  7. Nastavte si složité heslo k administrátorskému účtu (např. 4sa2x1De6).
  8. Do všech složek, kde je umíštěný soubor index.html, vložte soubor .htaccess s tímto obsahem:
    Kód:
    #.htaccess to prevent unauthorized directory browsing or access to .php files
      IndexIgnore */*
      <Files *.php>
      Order Deny,Allow
      Deny from all
      </Files>
    #add the following to protect against people discovering what version your spiders.txt file is
      <Files *.txt>
      Order Deny,Allow
      Deny from all
      </Files>   
  9. Vypněte funkci Allow Guest To Tell A Friend (Admin > Konfigurace > Email Options > Allow Guest To Tell A Friend přepněte na false). Nepřihlášení uživatelé nebudou moci posílat nevyžádané emaily.
  10. Pro zamezení zjištění cest ke konfiguračním souborům, vložte (na začátek zdrojového kódu na nový řádek za <?php) do souborů admin/includes/initsystem.php, admin/includes/languages/english.php a admin/includes/languages/czech.php tento kód:
    Kód:
    if (!defined('IS_ADMIN_FLAG')) {
      die('Illegal Access');
    }
  11. Do složky includes/extra_configures nahrajte rozbalený soubor z archivu z adresy http://www.zen-cart.com/forum/attachmen ... 1222196725.
  12. Stáhněte si security patch z adresy http://www.zen-cart.com/forum/attachmen ... 1245902513 a celý obsah rozbaleného archivu nahrajte na server do kořenové složky instalace aplikace.
  13. Ochrana proti SQL napadení - vytvořte soubor includes/extra_configures/pci_patch_v13x_search.php s obsahem:
    Kód:
    <?php
        if (isset($_GET['keyword']) && $_GET['keyword'] != '')
        {
            $count =  substr_count($_GET['keyword'], '"');
            if ($count == 1)
            {
                if(substr(stripslashes(trim($_GET['keyword'])), 0, 1) == '"')
                {
                    $_GET['keyword'] .= '"';
                }
            }
            $_GET['keyword'] = stripslashes($_GET['keyword']);
        }
        if (isset($_GET['sort']) && strlen($_GET['sort']) > 3) {
            $_GET['sort'] = substr($_GET['sort'], 0, 3);
        }
  14. Ochrana proti XSS a CSRF útokům - proveďte změny u těchto souborů:
    admin/index.php (5dS24y1admin/index.php) - okolo řádku 135 najděte kód:
    Kód:
    while (!$customers->EOF) {
            echo '              <div class="row"><span class="left"><a href="' . zen_href_link(FILENAME_CUSTOMERS ....

    a upravte na:
    Kód:
    while (!$customers->EOF) {
             $customers->fields['customers_firstname'] = zen_output_string_protected($customers->fields['customers_firstname']);
             $customers->fields['customers_lastname'] = zen_output_string_protected($customers->fields['customers_lastname']);
             echo '              <div class="row"><span class="left"><a href="' . zen_href_link(FILENAME_CUSTOMERS ....

    admin/customers.php (5dS24y1admin/customers.php) - okolo řádku 1173 najděte kód:
    Kód:
    default:
             if (isset($cInfo) && is_object($cInfo)) {
             $customers_orders = $db->Execute("select o.orders_id, o.date_purchased, o.order_total, o.currency, o.currency_value,

    a upravte na:
    Kód:
    default:
             if (isset($cInfo) && is_object($cInfo)) {
             if (isset($_GET['search'])) $_GET['search'] = zen_output_string_protected($_GET['search']);
             $customers_orders = $db->Execute("select o.orders_id, o.date_purchased, o.order_total, o.currency, o.currency_value,

    admin/sqlpatch.php (5dS24y1admin/sqlpatch.php)- přidejte (bool) na řádku 808:
    Kód:
    <?php if (isset($_GET['nogrants'])) echo '<input type="hidden" id="nogrants" name="nogrants" value="'.(bool)$_GET['nogrants'].'" />'; ?>

_________________
Radek Plašil
Webhosting C4
https://www.c4.cz/


Nahoru
 Profil  
 
 Předmět příspěvku: Re: ZentCart - napadení stránek
PříspěvekNapsal: 23 úno 2010 09:22 
Uživatelský avatar

Registrován:
09 zář 2009 11:28
Příspěvky:
44
Bydliště:
Jesenice
Fííha! děkuju, přiznám se, že jste mi docela vyrazil dech - na první pohled snad bude rychlejší překopat shop do jiné aplikace.
Ne to byl žert, nebojte! Vaše práce nepříjde vniveč. Jdu na to.

Díky Jana Vostrádalová

_________________
- - - - - - - - - - - - - - - - - Jana Vostrádalová - - - - - - - - - - - - - - - - -


Nahoru
 Profil  
 
 Předmět příspěvku: Re: ZenCart - napadení stránek
PříspěvekNapsal: 03 bře 2010 16:42 

Registrován:
03 bře 2010 16:40
Příspěvky:
1
Díky za návod, ale kódy v bodě 14. nejsou dokončeny.


Nahoru
 Profil  
 
 Předmět příspěvku: Re: ZenCart - napadení stránek
PříspěvekNapsal: 03 bře 2010 17:02 
C4 podpora
C4 podpora

Registrován:
30 čer 2009 09:14
Příspěvky:
8040
Pro upřesnění byl text v návodu upraven.

_________________
Radek Plašil
Webhosting C4
https://www.c4.cz/


Nahoru
 Profil  
 
 Předmět příspěvku: Re: ZenCart - napadení stránek
PříspěvekNapsal: 05 bře 2010 12:43 

Registrován:
25 úno 2010 09:27
Příspěvky:
6
Ještě detail: bodu 13 chybí na konci uzavírací tag pro PHP kód
Kód:
?>

Díky moc za tenhle sumář všech security patchů pro ZC 1.3.8 v češtině.


Nahoru
 Profil  
 
 Předmět příspěvku: Re: ZenCart - napadení stránek
PříspěvekNapsal: 05 bře 2010 13:17 
C4 podpora
C4 podpora

Registrován:
30 čer 2009 09:14
Příspěvky:
8040
Uzavírací tag není nutný. ZenCart obsahuje mnoho takových souborů.

Zde je odkaz na diskuzi ohledně uzavíracího tagu: http://tutorials.zen-cart.com/index.php?article=313

_________________
Radek Plašil
Webhosting C4
https://www.c4.cz/


Nahoru
 Profil  
 
 Předmět příspěvku: Re: ZenCart - napadení stránek
PříspěvekNapsal: 06 kvě 2010 12:17 
C4 podpora
C4 podpora

Registrován:
30 čer 2009 09:14
Příspěvky:
8040
Vyšla nová verze aplikace ZenCart, která již obsahuje všechny bezpečnostní záplaty. Návod na instalaci aplikace ZenCart byl upraven pro novou verzi aplikace. Nyní jsou nutné pouze dvě bezpečnostní úpravy a to:

  1. Přejmenování adresáře admin (+ úprava souboru configure.php).
  2. Menší úprava souboru czech.php v balíčku s češtinou.

Aktualizovaný návod na instalaci aplikace ZenCart i s bezpečnostními úpravami naleznete na adrese http://navody.c4.cz/zencart-instalace.

_________________
Radek Plašil
Webhosting C4
https://www.c4.cz/


Nahoru
 Profil  
 
Zobrazit příspěvky za předchozí:  Seřadit podle  
Odeslat nové téma Odpovědět na téma  [ Příspěvků: 8 ] 

Všechny časy jsou v UTC + 1 hodina [ Letní čas ]


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků


Nemůžete zakládat nová témata v tomto fóru
Nemůžete odpovídat v tomto fóru
Nemůžete upravovat své příspěvky v tomto fóru
Nemůžete mazat své příspěvky v tomto fóru
Nemůžete přikládat soubory v tomto fóru

Hledat:
Přejít na:  
FTP Uploader
Staňte se naším zákazníkem!
Hledáme kolegy
Zen Cart Hosting
Návody pro C4

© 2009-2021 ČESKÝ WEBHOSTING s.r.o. Kontaktní e-mail: forum@c4.cz
Diskuzní fórum využívá technologie: phpBB, phpBB-SEO.com, phpBB.cz