¿Mi sitio está a punto de ser inyectado / pirateado de SQL?

3

Estoy ejecutando Opencart, un CMS de comercio electrónico en un sitio web público.

Hace aproximadamente una semana noté un aumento decente en el tráfico directo en Google Analytics (lo que significa que estos usuarios ingresan mi URL directamente en lugar de ser referidos orgánicamente o a través de las redes sociales) en un solo día. Al día siguiente el tráfico volvió a la normalidad. Esto fue bastante extraño, y encontré que la mayoría de estos usuarios eran de los Estados Unidos y algunos de Francia / Alemania. Mi sitio presta servicios a clientes en otro país, por lo que este tráfico me pareció extraño, pero no lo pensé demasiado.

Sin embargo, más recientemente, un grupo de nuevos clientes se han registrado con el mismo nombre usando diferentes direcciones de correo electrónico y diferentes direcciones IP. Había 5 en una fila, cada 1-3 horas de diferencia. Nuevamente, esto es inusual, nunca ha sucedido antes en este sitio. En ese momento pensé que estaba bien, tal vez me estén enviando spam, aunque el rendimiento del sitio ha estado bien desde que comenzó.

Lo que me asustó fue el registro más reciente. Esta persona estableció su nombre en " DbLks Trackr " y tenía una dirección de correo electrónico similar. Luego miré las direcciones IP de todos estos registros, el más reciente y los que tienen el mismo nombre. La mayoría son proxies, dos son ucranianos y uno es estadounidense.

Estoy pensando que mi URL ha sido publicada en algún foro o IRC y la gente está planeando probar y tomar la base de datos, por eso se están registrando.

No es una tienda de comercio electrónico muy grande, así que no pensé que realmente fuera un objetivo. Estoy bastante seguro de que mi propia PC no está infectada, pero mi versión de Opencart no se ha actualizado en mucho tiempo.

¿Qué está pasando aquí? ¿Es probable que puedan acceder a mi base de datos a través de una inyección SQL u otros medios? ¿O es probable que sea un arrastre inofensivo?

ACTUALIZACIÓN: el tráfico de proxy está sondeando mi sitio, mirando archivos js y de imagen. Parece un bot o bots que buscan una vulnerabilidad o la página de administración.

    
pregunta user16421 03.02.2018 - 08:26
fuente

2 respuestas

2

La respuesta a la pregunta del título es: quizás.

No aparecer demasiado "hastiado", pero todos los sitios web están casi constantemente en ese estado. Cualquiera que diga lo contrario no es realista :)

Sin embargo, según su análisis exhaustivo junto con algunos comentarios aquí, parece que puede haber algún descubrimiento reciente de una nueva vulnerabilidad, o tal vez una publicación reciente en algún foro haya despertado el interés de la gente en OpenCart nuevamente.

A partir de una búsqueda rápida de 30 segundos, parece que OpenCart 2.2.n a 2.3.n ha sufrido vulnerabilidades de SQLI y XSS: enlace

Puede ver algunos errores enumerados en esa página que se actualizaron en los últimos 12 meses. También vi un repositorio de github donde un mantenedor de OpenCart parecía muy ... descuidado (?) Acerca de alguna vulnerabilidad potencial.

Como tal, recomendaría seguir los buenos consejos de otros pósteres aquí, ¡actualice su sitio lo antes posible! Incluso si eso significa desconectarlo por unos minutos.

Entonces, si todavía estás preocupado por esas cuentas y direcciones de correo electrónico, ¡siempre puedes eliminarlas de tu db!

    
respondido por el llorrac 04.02.2018 - 05:09
fuente
1

De su pregunta y la respuesta de Rolf , creo que esta es una persona / sistema que se agrega a su base de datos, por lo tanto, en el caso de que alguien "filtre" su base de datos en el futuro, podrá verificar los detalles.

Pero en realidad. A menos que desee terminar en esa lista, actualice su sitio.

    
respondido por el thel3l 04.02.2018 - 02:38
fuente

Lea otras preguntas en las etiquetas