Sito Hackerato 1.6.1.14

[carplab]

Ciao a tutti,

è da un paio di mesi che il mio presta 1.6.1.14 è sotto attacco da hacker. Me ne sono accorto perchè il mio provider dell'hosting mi ha bloccato i servizi, mi avevano installato delle pagine fake e dei file per spammare mail e per fare phishing. Ora io ho fatto una pulizia generale (erano talmente tanti file che non so se ho pulito bene tutto) e sto tenendo monitorato, quando vedo file estranei li elimino subito, ma capite che non posso stare 24/24h su ftp per vedere se mi installano roba. Ho letto che generalmente per installare file sull'hosting sfruttano delle falle dei moduli, vi chiedo, non c'è un modo per capire da dove diavolo partono per installarmi queste robe? Magari una voce di un log che mi possa far capire qual'è la falla? Oppure, non so, un modulo che monitora i movimenti del server... Se c'è qualcuno esperto in analisi di sicurezza ecc che mi contatti... GRAZIE

[ziobudda]

Ciao, hai cambiato le varie password di FTP ed altro ? 

Hai cancellato in tutti i moduli tutte le cartelle phpUnit ? 

M.

[carplab]

si,  non ci sono cartelle phpunit e che ho: disabilitato l'upload dai form , tolto l'upgrade con 1 click dai moduli e cambiato tutte le password sia di ftp che di admin del prestashop, ho cambiato il nome della cartella del back office...  era pieno di file che si chiamavano leaf.php e sitemps.php... sembrava fossero dei file per monitorare le directori ftp perchè erano in quasi tutte le cartelle del presta....

[ziobudda]

Ciao, la cosa che puoi fare è fare un backup del DB, e reinstallare tutto PS e i moduli installati (li stessi con la stessa versione) e poi importare il db. 

Se non hai più problemi allora era qualche file che ancora era presente nella macchina

Altrimenti ci sono due possibilità

- ti hanno bucato la macchina quindi ti entrano tramite una backdoor

- il db è corrotto e c'è uno script malevolo da qualche parte.

 

Non hai un backup di quando il sito era pulito ? 

 

M.