Problem z logowaniem - wcześniejszy atak spamerski

[minifanaberia]

Witam,

Piszę to pytanie z prośbą o pomoc. Kilka miesięcy temu miałam atak spamerski przez formularz kontaktowy. Mój dostawca hostingu poinformował mnie o tym, że jest przekroczony limit zasobów, a ja sama miałam jakieś 2000 nowych klientów (wszystko spam).
W tamtym czasie strona działała bez zarzutów, jedynie produktom nie wyświetlały się zdjęcia. 
Dostawca poinformował mnie, że:
Szanowna Pani, przesyłam listę plików podejrzanych o infekcję: - www/presta/modules/jmsslider/views/img/layers/99866244566552.php - www/presta/votr_sym/root - www/presta/indexs.php - www/presta/modules/blockcurrencies/upgrade/wp-uplod.php - www/presta/index.php - www/presta/modules/htmlbox/404.php - www/presta/almirainjection.php Proszę zastąpić je oryginalnymi plikami modułu PrestaShop. W razie dodatkowych pytań, pozostaję do dyspozycji.  
Stronę internetową prowadzę sama, nie mam żadnego informatyka do pomocy. Niestety. Zainstalowałam moduł blokujący ataki spamerskie. Od tamtego czasu nie miałam żadnego nowego użytkownika, ale strona przestawała działać w takiej kolejności:
- po kliknięciu w hiperłączę (odnośnik w rozwijalnym menu) wyskakiwała biała strona ze znakiem "//" w lewym górnym rogu. Strona główna działała normalnie.
- teraz nie wyświetla się już nic - strona główna error 500 www.minifanaberia.com 
- nie działa link do logowania do sklepu (error 500) gdzieś w historii znalazłam odnośnik do logowania który zadziałał ale sklep wyświetla się w formie jak w załączeniu. 

Co w tej sytuacji mogę zrobić? Będę bardzo wdzięczna za pomoc. 

[krzysiek_web]

Tutaj trzeba sprawdzić pliki czy coś się tam nie podczepiło i ew. podmienić/usunąć. 

Na początek:

 

[atomek]

Odpowiedz sobie na pytanie pod jakim adresem ma znajdować się sklep?

minifanaberia.com/presta/ czy minifanaberia.com?

Na początek musisz dopasować URL do lokalizacji plików.

[minifanaberia]

5 minutes ago, atomek said:

Odpowiedz sobie na pytanie pod jakim adresem ma znajdować się sklep?

minifanaberia.com/presta/ czy minifanaberia.com?

Na początek musisz dopasować URL do lokalizacji plików.

Sklep działał na www.minifanaberia.com 

Pod adresem minifanaberia.com/presta/xxxxx - mam jedyną możliwość logowania, wcześniej logowanie było www.minifanaberia.com/xxxxx 

[atomek]

I tu jest chyba problem.

pliki sklepu masz w minifanaberia.com/presta, wygląda na to że nie są kompletne

powinny być w minifanaberia.com

zabezpiecz foldery, zawartość jest widoczna w przeglądarce

[krzysiek_web]

Jak zalogujesz się to w sekcji PREFERENCJE > URL jakie masz podane wartości dla domeny sklepu oraz URL bazowego? 

[minifanaberia]

5 minutes ago, krzysiuus said:

Jak zalogujesz się to w sekcji PREFERENCJE > URL jakie masz podane wartości dla domeny sklepu oraz URL bazowego? 

[krzysiek_web]

Hmm wpisz w BASE URI:

/presta/

zapisz i sprawdź czy coś się zmieniło?

Tutaj mamy pliki css poprawne:

/presta/themes/jms_furniture/css/bootstrap.min.css

tu błąd ścieżki

/themes/jms_furniture/css/bootstrap.min.css

Sprawdź czy po wprowadzeniu zmiany zacznie działać. Ewentualnie można spróbować jeszcze przerzucić pliki z folderu presta do głównego. 

 

Chyba nie muszę dodawać aby zrobić kopię zapasową całości przed zmianami? 

[minifanaberia]

7 hours ago, krzysiuus said:

Hmm wpisz w BASE URI:

/presta/

zapisz i sprawdź czy coś się zmieniło?

Tutaj mamy pliki css poprawne:

/presta/themes/jms_furniture/css/bootstrap.min.css

tu błąd ścieżki

/themes/jms_furniture/css/bootstrap.min.css

Sprawdź czy po wprowadzeniu zmiany zacznie działać. Ewentualnie można spróbować jeszcze przerzucić pliki z folderu presta do głównego. 

 

Chyba nie muszę dodawać aby zrobić kopię zapasową całości przed zmianami? 

BINGO. Po zamianie BASE URL na /presta/ coś zaskoczyło na http://minifanaberia.com/presta/ grafiki się nie ładują, ale wrócił układ. Zastanawiam się nad tym czy pokasować ręcznie w ftp pliki wskazane przez dostawcę hostingu:
- www/presta/modules/jmsslider/views/img/layers/99866244566552.php
- www/presta/votr_sym/root - www/presta/indexs.php
- www/presta/modules/blockcurrencies/upgrade/wp-uplod.php
- www/presta/index.php
- www/presta/modules/htmlbox/404.php
- www/presta/almirainjection.php
Potem przekopiować prestę zastępując istniejące pliki na ftp. 
Nie wiem czy to dobry pomysł

 

[krzysiek_web]

Ale sklep i tak musisz przenieść pod właściwą domenę obecnie jest pod /presta/ 

Będziesz to robić? Jakie pliki są w głównym katalogu? 

Usunięcie zainfekowanych plików zostaw na koniec i zleć przed jeszcze jeden skan całości. 

 

 

[minifanaberia]

2 minutes ago, krzysiuus said:

Ale sklep i tak musisz przenieść pod właściwą domenę obecnie jest pod /presta/ 

Będziesz to robić? Jakie pliki są w głównym katalogu? 

Usunięcie zainfekowanych plików zostaw na koniec i zleć przed jeszcze jeden skan całości. 

 

 

Rozumiem, że wyrzucić wszystko z folderu presta do folderu www. Jak na screenie. 

[krzysiek_web]

Tak całość a później w BASE URI zmień obecne dane na samo:

/

 

Edited September 11, 2019 by krzysiuus (see edit history)

[minifanaberia]

20 minutes ago, krzysiuus said:

Tak całość a później w BASE URI zmień obecne dane na samo:

/

 

Zmienione i działa. WIELKIE DZIĘKI!! 

Teraz co robić dalej? Jak pisałam wyżej, nie jestem informatykiem i tylko dzięki waszej pomocy udało się wrócić do tego stanu

[krzysiek_web]

Nadal mam przekierowanie. 

BASE URI ustawiony poprawnie? 

W .htaccess w głównym katalogu usuń wszystkie: /presta/ na samo /

[minifanaberia]

Ok, 

Przekopiowałam pliki z folderu presta do głównego i upewniłam się, że BASE URL jest ustawiony poprawnie. 

Strona się otwiera. Odnośniki ładują. Nie ładują się zdjęcia. 
Dodatkowo nie działa contakt form. Error wyskakuje. Pytanie czy przez opcję dodawania załącznika ktoś użył tego by dostać mi się do plików na preście? 

 

Edited September 11, 2019 by minifanaberia (see edit history)

[krzysiek_web]

A jak wyłączysz przyjazne linki to zdjęcia zaczną się ładować? PREFERENCJE>URL

[minifanaberia]

13 minutes ago, krzysiuus said:

A jak wyłączysz przyjazne linki to zdjęcia zaczną się ładować? PREFERENCJE>URL

MISTRZ . 

Pozostaje niedziałający formularz kontkatowy. I pytanie czy strona jest bezpieczna - czy za chwilę nie wróci do tego co było. ? 

Nie usuwałam żadnych plików które oznaczył dostawca hostingu.

 

[krzysiek_web]

Tylko że to był test bo nie może zostać sklep bez włączonej tej opcji - bez sensu.

Jak włączysz przyjazne linki i jest problem z miniaturkami to coś ścieżki się gryzą albo w panelu nie masz dodanych takich "miniaturek" (należałoby je dodać i ponownie wygenerować). Tutaj musiałabyś poczytać forum bo było dość dużo wątków o tym. 

Na koniec ponowny test całości skanerem na serwerze i usunięcie/zastąpienie oryginałami zainfekowanych plików + próba weryfikacji skąd to się wzięło.

A to czy infekcja znów nie wystąpi ciężko powiedzieć gdyż nadal nie ma zweryfikowanego miejsca skąd to "przyszło". 

[minifanaberia]

Dziś nad ranem znów dostawca hostingu wysłał maila z informacją " Przekroczenie limitu zasobów na hostingu WWW minifanaberia.com"

Jak można zrobić tą próbę skanerem? Znajdę to gdzieś na forum? 
Miniaturki postaram się poszukać. 

 

[minifanaberia]

Zainstalowałam program Notepad ++ 

Sprawdzam pliki wskazane przez dostawcę. Pierwszy w głównym folderze. 
www/almirainjection.ph

Jak dla mnie (laika) wygląda dosyć dziwnie. 

p

 

[krzysiek_web]

Plik do usunięcia.

Napisz do administracji serwera aby uruchomili skaner wtedy będziesz miała listę zagrożeń (plików do sprawdzenia).  

[minifanaberia]

plik www/index.php



Plik plik www/indexs.php wygladał tak samo, z dopiskami na dole coś o WordPress. Usunięte. 

[minifanaberia]

Kolejny który wygląda podejrzanie - usunięte. plik up.php - data modyfikacji zgodna z innym podejrzanym plikiem

[minifanaberia]

www/modules/blockcurrencies/upgrade/wp-uplod.php



www/modules/blockcurrencies/upgrade/as.php - ta sama data dodania

[minifanaberia]

www/modules/htmlbox/404.php - czy usunąc tylko pierwszy wiersz?? wygląda jakby dopisany kod

[krzysiek_web]

Usuwaj w tym przypadku cały plik. 

Najlepiej porównywać pliki z oryginałami.

Dla tego przypadku htmlbox:

https://mypresta.eu/modules/front-office-features/html-box.html

 

UWAGA! Niektóre pliki należy zastąpić oryginałami ale te powyższe możesz usunąć. 

Edited September 12, 2019 by krzysiuus (see edit history)

[minifanaberia]

Dziękuję. Usunięte.

Takie pliki jak ten też do kosza? Po dacie modyfikacji - powiązuję go z atakiem
 

I tutaj następny.

[minifanaberia]

Witajcie,

Trochę odgrzewam kotleta. Strona działa od ostatnich usunięć, nowych nieproszonych klientów nie przybywa (spamerów) ale klienci skarżą się, że są przekierowywani na różne strony po kliknięciu na www.minifanaberia.com 

Na wyszukiwarce pojawia się takie coś?:


a po uruchomieniu Google search console znalazło to:



gdzie szukać, żeby się tego raz na zawsze pozbyć?

W międzyczasie znalazłam te kilka folderów 


każdy folder zawierał 



było ich masa w każdym folderze pierwszego zdjęcia,

Wszystko wyleciało z ftp.