Всі звичайно ж чули про бекдор на сайтах, і про те що іноді їх вбудовують самі розробники. Але недавно натрапив на не те що б цікавий, але дуже довгограючий бекдор, що вистрілив абсолютно несподівано.
Є така CMS з відкритим кодом як OpenCart, яка має кілька відгалужень і збірок на його базі, наприклад OcStore, або OcShop, MaxyStore з російської \ українською локалізацією і власними доробками. Так само є розробники, які пишуть свої модулі під цю платформу, як платні, так і безкоштовні. Хто то свої модулі надійно захищає ionCube, хто то менш надійно, і через якийсь час вони з'являються на варезних сайтах і часто вже заражені. Встановивши такий заражений модуль, власник веб через деякий час має щастя споглядати на своєму сайті купу посилань на порно, редіректи на заражені сайти, або взагалі повністю залиті форуми по БДСМ або хентай.
На початку травня 2013 року було атака на офіційні гілки //opencartforum.ru і //myopencart.ru/ і замінені посилання на дистрибутиви ocStore. Адміністрація помітила і поправила, попередивши користувачів про заражені контенті. Ніби як все і закінчилося, але немає.
Приблизно в той же час з'явилося ще одне відгалуження - MyOpencart.net, збірка інтернет магазину з уже доставленими модулями, більшість з яких були платними, деякі розповсюджувалися безкоштовно. Сама збірка поширювалася безкоштовно, і її встигло завантажити чималу кількість вебмайстрів, і успішно встановило собі на сайт (і не тільки собі на сайт, але і на сайти клієнтів). Так само на сайті було викладено велику кількість зламаних модулів. Все працювало чудово, збірка і модулі регулярно оновлювалася, і мало хто помітив, що вона модифікована, і містить в собі бекдор ...
Сам бекдор щодо нешкідливий, в функції типу $ ouput = eval (base64_decode (заколірованние дані)); містився код, який підміняв посилання конкурентів аналогічних збірок на свої. Один із способів чорного PR в інтернеті. Так само він дозволяв керувати вмістом сторінки, але мабуть цим функціоналом користувалися рідко. Про Бекдор було відомо давно, ще у вересні 2013 року була стаття на Хабре з докладним розбором коду і посиланнями на фішингових сайтів MyOpencart.net. Але, мабуть, її мало хто читав, і вебмастера продовжували і продовжували викачувати дистрибутив і ставити на сайти. Причому це стосується не тільки фрілансерів-студентів, а й іменитих Вебстудіо, з товстим і дорогим портфоліо.
Але ось в один прекрасний момент, а саме 5 червня 2015р. що то сталося з проектом, і за адресою MyOpencart.net з'явилася стандартна паркувальна сторінка доменного реєстратора namebright.com, де він був зареєстрований. Може домен не проплатили, або хостинг, вже не важливо. Але що ж сталося з Бекдор, встановленим на тисячах сайтів? Він продовжував працювати як і раніше, але замість прихованої десь в коді посилання, на заражені сайти з'явився банер в пів-екрану з цієї паркувальної сторінки! Ця картинка з'явилася в одну мить більше ніж на 10 000 сайтах! Так, саме стільки встигли завантажити і поставити веб-майстра за кілька років.
Зараз власники сайтів і веб-майстра в милі намагаються знайти, звідки ж у них з'явилося це на сайті, і в більшості випадків валять все на злісних хакерів, які ось так легко зламують їх магазини. Хоча насправді бекдор був там спочатку. Профільні форуми по OpenCart завалені одноманітними темами, і перша реакція користувача на зауваження адміністратора, що не треба було користуватися варезних збірками, а тільки офіційними - обурення.
Так, люди обурені тим, що ПЗ, яке перебуває в «вільному доступі», яке можна завантажити безкоштовно (без реєстрації і SMS J) може містити в собі шкідливий код. Так, вони обурені тим, що, не дивлячись на те, що ці програми вони завантажили безкоштовно, їм не надають допомогу на офіційних майданчиках. Так, вони обурені тим, що багато фрілансери на цих майданчиках просять гроші за вирішення проблеми, нехай хоч і символічні. Адже навіщо платити за і так безкоштовний продукт?