(SOLUCIONADO PARCHE VULNERABILIDAD PRESTASHOP) Metodo de pago desconocido - Phishing

January 21, 2022

Hola,

Tengo un prestashop 1.7 en el que de golpe a aparecido un método de pago que no está dentro de los que yo tengo instalados, además está forzando a poner una tarjeta de credito sin permitir seleccionar el metodo de envio ni continuar. He reinicializado módulos y demás, pero nada. Es muy raro, no veo como lo puedo quitar, alguna idea? adjunto un pantallazo

Gracias de antemano

Edited July 26, 2022 by SAKSCM (see edit history)

January 21, 2022

Lo curioso es que parece venir en el "Método de envío", no en Formas de pago.

January 21, 2022

te han hackeado la web, si no tienes conocimientos de programación deberías ponerla en mantenimiento para evitar que roben los datos de las tarjetas de tus clientes.

Si necesitas ayuda puedes contactarme por privado.

January 21, 2022

19 minutes ago, Aldeag said:

Lo curioso es que parece venir en el "Método de envío", no en Formas de pago.

Eso es, aunque he ocultado el con css el bloque y no se ve ni los metodos de envío ni el resto (metodos de pago o finalizar compra) a mi me parece phishing pero he sustituido los archivos por otros que se que estan limpios y sigue saliendo

January 21, 2022

17 minutes ago, Alberto Prestashop said:

te han hackeado la web, si no tienes conocimientos de programación deberías ponerla en mantenimiento para evitar que roben los datos de las tarjetas de tus clientes.

Si necesitas ayuda puedes contactarme por privado.

Si, lo primero que hice fue poner la web en mantenimiento pensando que podría ser phishing, pero lo que no entiendo es como sustituyendo los archivos por otros que estaban limpios sigue saliendo. No encuentro forma de solucionarlo, lo unico que se me ocurre es rehacerla

January 21, 2022

claro lo habrán hecho bien, no es tan fácil encontrar la modificación si lo han hecho bien.

January 21, 2022

24 minutes ago, Alberto Prestashop said:

claro lo habrán hecho bien, no es tan fácil encontrar la modificación si lo han hecho bien.

En la base de datos no pueden haber metido nada verdad? por que si rehago el sitio web pero uso la misma base de datos para mantener pedidos clientes productos etc, funcionara?

January 21, 2022

pueden añadir algo en base de datos pero la llamada a ella desde los archivos si restauras los originales no estaría pero claro el tunel de entrada lo seguiras teniendo si no averiguas por donde te han entrado.

January 21, 2022

55 minutes ago, Alberto Prestashop said:

pueden añadir algo en base de datos pero la llamada a ella desde los archivos si restauras los originales no estaría pero claro el tunel de entrada lo seguiras teniendo si no averiguas por donde te han entrado.

Si hago una instalación nueva no lo soluciono?

January 21, 2022

Esto nos interesa a TODOS pues si en un Prestashop actual (1.7...) nos pueden hacer esto es preocupante.

Si encuentras el origen y/o la solución, no dudes en compartir.

January 21, 2022

sera problema de la configuración del hosting o de algun modulo extra que tenga, dudo mucho que sea problema de Prestashop

January 21, 2022

Esto no tiene nada que ver con prestashop. Lo mas probable es que sea un js en el metodo de envio que esta cargando ese form, o por modulo. Su web esta hackeada, cambie de proveedor de hosting y tenga mas control de su web por git, para ver los ultimos cambios y enque afecto.

January 25, 2022

On 1/21/2022 at 6:45 PM, Aldeag said:

Esto nos interesa a TODOS pues si en un Prestashop actual (1.7...) nos pueden hacer esto es preocupante.

Si encuentras el origen y/o la solución, no dudes en compartir.

On 1/21/2022 at 6:52 PM, Alberto Prestashop said:

sera problema de la configuración del hosting o de algun modulo extra que tenga, dudo mucho que sea problema de Prestashop

Hola,

Pues no era ningún módulo, ni el tema, ni nada del hosting. Eliminé todas las carpetas de prestashop excepto: app, img, mails, modules, override, themes y translations (y por supuesto la base de datos) y meti los archivos de la descarga de prestashop (la version k estaba usando antes del problema) y se ha arreglado, a si que debía de estar en algún archivo base de prestashop, algun controller quizá, no se, pero en las carpetas que influye para temas y modulos no por que no las he modificado.

Doy el tema por solucionado. Espero que ayude a quien le pueda suceder.

1.1k · January 26, 2022

A pesar de estar el tema resuelto, ten muy en cuenta lo que ha comentado algún compañero en este hilo.

Si te hackearon la web hace unos días con los archivos originales, aunque hayas restaurado, lo volverán a hacer.

Evitemos siempre módulos y temas gratuitos que no están en addons, estos suelen traer siempre malware.

January 26, 2022

7 minutes ago, Luisejo said:

A pesar de estar el tema resuelto, ten muy en cuenta lo que ha comentado algún compañero en este hilo.

Si te hackearon la web hace unos días con los archivos originales, aunque hayas restaurado, lo volverán a hacer.

Evitemos siempre módulos y temas gratuitos que no están en addons, estos suelen traer siempre malware.

Hola Luis,

Gracias por el comentario!! Tienes toda la razón y estoy contigo en eso.

Sin embargo no creo que ese haya sido mi problema ya que el tema que uso es de pago y los módulos que tengo son o bien del propio tema o del desarrollador del tema, de add-ons de los que vienen con presta o si son gratuitos son los sugeridos en My Presta o victor rodenas que me consta que son de fiar (que además tambien están en este foro) o directamente sacados de los aportes en este mismo foro, no pongo nada que no sea fiable.

Igualmente el hackeo no estaba ni en el tema ni en los módulos ya que esos no los he sustituido y se ha solucionado el problema ahora mismo tengo la web en pruebas esperando a ver que pasa pero de momento todo parece que está bien... No se que fue o como pasó pero si estoy segura que no hay nada que no sea fiable.. Prestashop addons ha encarecido mucho los precios desde antes de la pandemia a ahora (más del 100% de incremento en los precios en algunos casos hasta el 1000%) y aún así es al primer sitio que acudo y tengo muchos módulos de ahí. 😊

2.8k · January 26, 2022

Siento tan drastico...

No has hecho lo correcto. Tenias que haber investigado para saber que era el problema.

Ahora ya está, pero si vuelve a pasar pide ayuda a un profesional, incluso en estos casos saldrá alguien que te diga qué pasa y lo que ocurre gratis ya que nos interesa saber si PrestaShop puede ser hackeado., solucionarlo y arreglar el problema ya tendrás que pagar.

Como te dicen por aquí, si te han hackeado la página, 100% seguro que volverán.

Por lo menos espero que hayas cambiado contraseña de TODO y si sospechas que alguien ha intentado comprar y le han capturado la tarjeta, estás en obligación de avisar a la AEPD .

January 27, 2022

9 hours ago, gusman126 said:

Siento tan drastico...

No has hecho lo correcto. Tenias que haber investigado para saber que era el problema.

Ahora ya está, pero si vuelve a pasar pide ayuda a un profesional, incluso en estos casos saldrá alguien que te diga qué pasa y lo que ocurre gratis ya que nos interesa saber si PrestaShop puede ser hackeado., solucionarlo y arreglar el problema ya tendrás que pagar.

Como te dicen por aquí, si te han hackeado la página, 100% seguro que volverán.

Por lo menos espero que hayas cambiado contraseña de TODO y si sospechas que alguien ha intentado comprar y le han capturado la tarjeta, estás en obligación de avisar a la AEPD .

Hola, gracias por el comentario.

Tienes razón y es lo primero que intenté, pero me daban presupuestos muy altos por arreglarlo (yo estuve intentando encontrar donde estaba pero mis conocimientos de programación son bajos) y es una tienda muy pequeña con muy pocas ventas y no se podía asumir (lo cual además no entendemos por qué lo han hecho) no tienen muchas ventas (ni si quiera tiene ventas todos los días) y no se va quejado nadie de que su pedido no haya llegado a si que no creemos que nadie haya sufrido por ello, esperemos. Y si, gracias por el aviso, contraseñas de todas partes cambiadas.

No obstante tengo un backup si alguien quiere investigarlo se la paso sin problema, me encantaría saber que pasó.

Muchas gracias a todos!

2.8k · January 27, 2022

hace 13 minutos, LightSakura dijo:

Hola, gracias por el comentario.

Tienes razón y es lo primero que intenté, pero me daban presupuestos muy altos por arreglarlo (yo estuve intentando encontrar donde estaba pero mis conocimientos de programación son bajos) y es una tienda muy pequeña con muy pocas ventas y no se podía asumir (lo cual además no entendemos por qué lo han hecho) no tienen muchas ventas (ni si quiera tiene ventas todos los días) y no se va quejado nadie de que su pedido no haya llegado a si que no creemos que nadie haya sufrido por ello, esperemos. Y si, gracias por el aviso, contraseñas de todas partes cambiadas.

No obstante tengo un backup si alguien quiere investigarlo se la paso sin problema, me encantaría saber que pasó.

Muchas gracias a todos!

Enviame mp

January 28, 2022

18 hours ago, LightSakura said:

Hola, gracias por el comentario.

Tienes razón y es lo primero que intenté, pero me daban presupuestos muy altos por arreglarlo (yo estuve intentando encontrar donde estaba pero mis conocimientos de programación son bajos) y es una tienda muy pequeña con muy pocas ventas y no se podía asumir (lo cual además no entendemos por qué lo han hecho) no tienen muchas ventas (ni si quiera tiene ventas todos los días) y no se va quejado nadie de que su pedido no haya llegado a si que no creemos que nadie haya sufrido por ello, esperemos. Y si, gracias por el aviso, contraseñas de todas partes cambiadas.

No obstante tengo un backup si alguien quiere investigarlo se la paso sin problema, me encantaría saber que pasó.

Muchas gracias a todos!

Lo que debes hacer para evitar que cargen archivos o cosas sin sentido es implementar git a todo tu proyecto ... Es mucho más cómodo eh inclusive si tienes conocimiento de programación no te costará mucho.

Saludos

January 28, 2022

4 hours ago, luishuaymana said:

Lo que debes hacer para evitar que cargen archivos o cosas sin sentido es implementar git a todo tu proyecto ... Es mucho más cómodo eh inclusive si tienes conocimiento de programación no te costará mucho.

Saludos

Hola, gracias por la recomendación miraré eso del git lo he oído hablar (creía que solo era para trabajo en equipo en proyectos de desarrollo no sabia k se podía aplicar a cualquier web incluso cms) mis conocimientos de programación son muy básicos, no sé si me ayudará, pero lo miraré. Muchas gracias

May 4, 2022

Buenas noches,

Vuelvo al ataque con este tema.

Si bien al hacer el copiado de archivos en limipio se fue, a las semanas volvieron a hackearlo.

Rehice la tienda de cero, de forma que ya no había archivos infectados. Actualizamos a la última versión de prestashop para evitar que haya bugs. Cambiamos todas las contraseñas tanto de prestashop como del hosting. Estamos incluso pagando un servicio de antivirus en el hosting.

Nada funciona, a las semanas vuelve a aestar hackeado.

Ya no sabemos que hacer.

Ahora ya no podemos ni acceder al backend, ponemos usuario y contraseña y no da error, simplemente vuelve a cargar la misma pagina para iniciar sesión.

Edited May 4, 2022 by LightSakura (see edit history)

May 4, 2022

4 minutes ago, LightSakura said:

Buenas noches,

Vuelvo al ataque con este tema.

Si bien al hacer el copiado de archivos en limipio se fue, a las semanas volvieron a hackearlo.

Rehice la tienda de cero, de forma que ya no había archivos infectados. Actualizamos a la última versión de prestashop para evitar que haya bugs. Cambiamos todas las contraseñas tanto de prestashop como del hosting. Estamos incluso pagando un servicio de antivirus en el hosting.

Nada funciona, a las semanas vuelve a aestar hackeado.

Ya no sabemos que hacer.

Ahora ya no podemos ni acceder al backend, ponemos usuario y contraseña y no da error, simplemente vuelve a cargar la misma pagina para iniciar sesión.

Hola, lo mas probable es que sea un archivo js incrustado.. revisa todos los .js de tus archivos. Y luego incluye git a tu web.
Saludos.

May 4, 2022

9 minutes ago, luishuaymana said:

Hola, lo mas probable es que sea un archivo js incrustado.. revisa todos los .js de tus archivos. Y luego incluye git a tu web.
Saludos.

Gracias por responder.

No se como hacer lo de git, lo he oido y he leido algo pero no se trabajar con eso, quiero tomar un curso, pero me falta el tiempo y esto me urge....

Como reviso los archivos .js y que tengo que encontrar? prestashop tiene cientos de archivos js ...

2.8k · May 5, 2022

hace 10 horas, LightSakura dijo:

Gracias por responder.

No se como hacer lo de git, lo he oido y he leido algo pero no se trabajar con eso, quiero tomar un curso, pero me falta el tiempo y esto me urge....

Como reviso los archivos .js y que tengo que encontrar? prestashop tiene cientos de archivos js ...

te va a tocar contratar a un profesional para limpiar y comprobar todo, veo que esto ya te lo dije , disculpa por repetirme, pero como entenderas la segunda vez que pasa, ya es preocupante

Indicas que hiciste la tienda desde cero? pero copiaste algo? algun modulo? o algun codigo de la vieja,

Es muy raro que cambiando contraseñas de todo y usando un PS limpio de cero te vuelvan a hackear, algo debes tener, un modulo, un codigo , un fichero js, que hace que al pasarlo sea otra vez vulnerable.

Sabes que fichero te cambia? para ver si lo puedes subir a pastebin y verlo .

Edited May 5, 2022 by gusman126 (see edit history)

May 5, 2022

1 hour ago, gusman126 said:

te va a tocar contratar a un profesional para limpiar y comprobar todo, veo que esto ya te lo dije , disculpa por repetirme, pero como entenderas la segunda vez que pasa, ya es preocupante

Indicas que hiciste la tienda desde cero? pero copiaste algo? algun modulo? o algun codigo de la vieja,

Es muy raro que cambiando contraseñas de todo y usando un PS limpio de cero te vuelvan a hackear, algo debes tener, un modulo, un codigo , un fichero js, que hace que al pasarlo sea otra vez vulnerable.

Sabes que fichero te cambia? para ver si lo puedes subir a pastebin y verlo .

Hola!

Gracias por responder. La verdsd que no se cual es el punto de origen, solo se los ficheros que indica el antivirus del servidor como infectados y nunca que conseguido encontrar cual es el fichero que se modifica en el proceso de pago.

El hosting me ha recuperado una copia de seguridad de ficheros que no estaban infectados aún y me han dicho que van a hacer un cambio de servidor, cambio de IP y accesos para ver si así se soluciona.

Alguien sabe de alguien que supiera arreglar el problema si con el cambio de servidor no se soluciona?

Gracias!

2.8k · May 5, 2022

hace 2 minutos, LightSakura dijo:

Hola!

Gracias por responder. La verdsd que no se cual es el punto de origen, solo se los ficheros que indica el antivirus del servidor como infectados y nunca que conseguido encontrar cual es el fichero que se modifica en el proceso de pago.

El hosting me ha recuperado una copia de seguridad de ficheros que no estaban infectados aún y me han dicho que van a hacer un cambio de servidor, cambio de IP y accesos para ver si así se soluciona.

Alguien sabe de alguien que supiera arreglar el problema si con el cambio de servidor no se soluciona?

Gracias!

En este caso es dificil, yo dejaria la web sin nada, vacia completamente durante 4 o 5 dias , solo con un fichero html indicando que estas actualizando el sistema, sin ningun otro fichero, a ver que ocurre, si sube algun fichero extraño , es que siguen infectando, con suerte el bot que infecta al no ver ficheros php durante X tiempo deja de atacar,

May 5, 2022

11 hours ago, gusman126 said:

En este caso es dificil, yo dejaria la web sin nada, vacia completamente durante 4 o 5 dias , solo con un fichero html indicando que estas actualizando el sistema, sin ningun otro fichero, a ver que ocurre, si sube algun fichero extraño , es que siguen infectando, con suerte el bot que infecta al no ver ficheros php durante X tiempo deja de atacar,

El caso es que la web se mantiene limpia (el antivirus no detecta ninguna infección) durante aproximadamente un mes antes de empezar a dar los problemas otra vez.

May 15, 2022

Hola,

Vuelvo a la carga... Tras haber lomñoado los archivos, el hosting ha cambiado el servidor y se han cambiado todas las contraseñas de nuevo incluyendo todas las contraseñas de clientes, añadido a rehacer la web y cambiar la versión de prestashop que se ha hecho antes nada ha funcionado, esta vez en solo una semana ha vuelto a pasar... Ya no se infectan los archivos como antes al menos esto se ha solucionado pero no el problema del phising.

Por favor necesitamos ayuda, si alguien tiene alguna idea o sabe como podría arreglarse o conoce a alguien que pueda ayudar, escuchamos presupuestos.

Gracias.

2.8k · May 15, 2022

hace 1 hora, LightSakura dijo:

Hola,

Vuelvo a la carga... Tras haber lomñoado los archivos, el hosting ha cambiado el servidor y se han cambiado todas las contraseñas de nuevo incluyendo todas las contraseñas de clientes, añadido a rehacer la web y cambiar la versión de prestashop que se ha hecho antes nada ha funcionado, esta vez en solo una semana ha vuelto a pasar... Ya no se infectan los archivos como antes al menos esto se ha solucionado pero no el problema del phising.

Por favor necesitamos ayuda, si alguien tiene alguna idea o sabe como podría arreglarse o conoce a alguien que pueda ayudar, escuchamos presupuestos.

Gracias.

Pon un mensaje en el foro https://www.prestashop.com/forums/forum/101-ofertas-de-trabajo/

Ademas de las respuestas que te hagan, envíame un MP y hablamos

May 16, 2022

23 hours ago, gusman126 said:

Pon un mensaje en el foro https://www.prestashop.com/forums/forum/101-ofertas-de-trabajo/

Ademas de las respuestas que te hagan, envíame un MP y hablamos

Muchas gracias!

June 4, 2022

Dices que usas un tema de pago ¿Sigues usando el mismo tema? ¿No podría ser el tema el que tiene un agujero de seguridad?

June 4, 2022

Hola lunaroja

No creo, he usado ese mismo tema en muchas otras páginas y no pasa en ninguna otra, además es un tema con un gran soporte y actualizaciones.

Localicé el archivo que generaba el problema, no se si quizá vino de la vulnerabilidad de que tuvo presrahosp con los phpunit aunque no era ninguno de los que estaba en el listado de archivos que generaban esa vulnerabilidad pero también estaban esos que cada dos por tres se regeneraban aunque los eliminaba.

Hace ya casi tres semanas que lo localice y elimine y por ahora no ha habido más, aún cruzó los dedos 🤞 ya que mi ativirus cada vez que entro me sigue marcando como peligroso pero el anmunify (el antivirus del servidor) ya no marca ningún archivo infectado y tampoco veo nada ni salta nada... No se si es k se ha quedado la alerta en el antivirus o que.

Gracias

2.8k · June 4, 2022

Podrias decir que fichero asi si le pasa a otra persona que sepa que puede ser

June 4, 2022

4 minutes ago, gusman126 said:

Podrias decir que fichero asi si le pasa a otra persona que sepa que puede ser

Si claro, estaba dentro de la carpeta js se llamaba fyY1l.js, adjunto captura de pantalla del contenido, que se ve como fichero bástate sospechoso.

Aún no puedo asegurar 100% que sea eso y este solucionado seguro pero de momento parce que si.

Un saludo

2.8k · June 5, 2022

Pero como puede ser que estuviera el fichero, si me parece que has dicho que reinstalaste todo desde cero? o siempre era la mira copia?

June 5, 2022

2 hours ago, gusman126 said:

Pero como puede ser que estuviera el fichero, si me parece que has dicho que reinstalaste todo desde cero? o siempre era la mira copia?

Correcto.. Reinstalé todo de cero.. Y justo voy ha vuelto a aparecer ese método de pago fantasma, miraré a ver si el fichero se ha reproducido. 😩

Edito: pues si, he comprobado la carpeta script y se ha generado un fichero, con otro nombre, RnBzB.js en este caso, es renombrarlo y eliminarse el pago fantasma. A si que aun no consigo encontrar cual es el fichero que genera este js culpable del phising.

Edited June 5, 2022 by Sakura_CM (see edit history)

2.8k · June 5, 2022

Joder qué putada , conseguiste que algun profesional lo mirase?

June 5, 2022

No, de hecho tuve algún problema con un chico que me quito las ganas de seguir buscando.

Y pregunté presupuesto a un desarrollador de un modilo de seguridad para prestashop y fue ridículamente alto para el rendimiento de la tienda.

Seguiré mirando hasta conseguir encontralo

June 6, 2022

13 hours ago, Sakura_CM said:

No, de hecho tuve algún problema con un chico que me quito las ganas de seguir buscando.

Y pregunté presupuesto a un desarrollador de un modilo de seguridad para prestashop y fue ridículamente alto para el rendimiento de la tienda.

Seguiré mirando hasta conseguir encontralo

Mira el CRON o las tareas programadas del alojamiento, hay veces que lo dejan ahí metido y por eso vuelven a generarse esos ficheros no deseados...

June 6, 2022

5 hours ago, javiervallejo said:

Mira el CRON o las tareas programadas del alojamiento, hay veces que lo dejan ahí metido y por eso vuelven a generarse esos ficheros no deseados...

Hola!

Ostras, no había yo caído en eso, voy a ver

Gracias

Edito. No hay tareas programadas en el servidor solo la generacion diaria del xml para shopping

Edited June 6, 2022 by Sakura_CM (see edit history)

June 11, 2022

Hola @Sakura_CM,
veo que aun no encuentras el archivo malicioso, y veo que ya llevas tiempo en ello.. te daré una pista de como resolvería tu problema.

Primero localmente me instalaria una version de prestashop exactamamente igual a la de tu tienda y implementaria git a ella (esto es muy importante)..
Luego una vez que tenga listo mi local con git, copiaria los archivos de tu tienda a mi local... y git se encargaria de mostrarme los archivos diferentes y nuevos... ello me ahorra tiempo en encontrar las diferencia y ahi seguramente que lo encuentras...

Eso como de primer paso... espero te ayude... y si en caso no lo logras enviame un MP...

Saludos..

June 11, 2022

19 hours ago, luishuaymana said:

Hola @Sakura_CM,
veo que aun no encuentras el archivo malicioso, y veo que ya llevas tiempo en ello.. te daré una pista de como resolvería tu problema.

Primero localmente me instalaria una version de prestashop exactamamente igual a la de tu tienda y implementaria git a ella (esto es muy importante)..
Luego una vez que tenga listo mi local con git, copiaria los archivos de tu tienda a mi local... y git se encargaria de mostrarme los archivos diferentes y nuevos... ello me ahorra tiempo en encontrar las diferencia y ahi seguramente que lo encuentras...

Eso como de primer paso... espero te ayude... y si en caso no lo logras enviame un MP...

Saludos..

Hola muchas gracias,

La verdad que no se utilizar git, no encuentro un tutorial que sea capaz de llevar.

Not cazo todo lo k dices peor imagino que es precisamente por no conocer git.

Seguiré investigando, muchas gracias por la sugerencia!!

Un saludo

June 14, 2022

On 6/11/2022 at 9:40 PM, Sakura_CM said:

Hola muchas gracias,

La verdad que no se utilizar git, no encuentro un tutorial que sea capaz de llevar.

Not cazo todo lo k dices peor imagino que es precisamente por no conocer git.

Seguiré investigando, muchas gracias por la sugerencia!!

Un saludo

Hola Sakura_CM,

Otra forma, en vez de usar GIT, es que compares "copias de seguridad".

Es decir, si tienes una copia de una instalación limpia guárdala en tu ordenador.

Luego, cuando detectes que la tienda ha sido infectada, descarga todo y compara los ficheros, tan solo busca en google "comparar carpetas archivos Windows o Linux" y tratar de identificar qué o cuántos ficheros se han creado.

PD: Revisa los permisos de las carpetas/ficheros, tal vez estén más asignados

2.8k · June 14, 2022

Tambien prueba a pedir a soporte del hospedaje, si tienes Plesk o Cpanel que te instalen la extension "Patchman" , no solo sirve para avisar de las actualizaciones de wordpress, ademas te indica que ficheros han cambiado o si ha detectado un virus.

June 14, 2022

52 minutes ago, javiervallejo said:

Hola Sakura_CM,

Otra forma, en vez de usar GIT, es que compares "copias de seguridad".

Es decir, si tienes una copia de una instalación limpia guárdala en tu ordenador.

Luego, cuando detectes que la tienda ha sido infectada, descarga todo y compara los ficheros, tan solo busca en google "comparar carpetas archivos Windows o Linux" y tratar de identificar qué o cuántos ficheros se han creado.

PD: Revisa los permisos de las carpetas/ficheros, tal vez estén más asignados

Hola Javier,

Gracias.

Los permisos están revisados y están OK, eso bien.

El tema está en que la copia "limpia" no debe estar tan limpia ya que genera este fichero fastidioso.

Cuando se reinstalo la tienda de cero hay cosas que se reutilizaron como la base de datos y las imágenes, ya que no se quería perder ni clientes ni pedidos ni tener que subir todos productos de nuevo, a si que solo se me ocurre que algo debe haber por ahí, pero no lo localizo.

Comparando, estoy en ello, carpeta por carpeta, de una instalación limpia con la que tengo, para ver si localizo algún fichero diferente, pero además de llevar la vida, no se si no será un fichero bueno de prestashop que tenga algo de más metido.

Igual yo miro las fechas de modificación y tampoco puedo saber por que hay muchos ficheros que actualizan su fecha de modificación, entiendo que cuando se ejecuta algo en la página, salvo que eso quiera decir que todos esos ficheros (reales de presta por que coinciden con la instalación limpia) estén corruptos, que serían muchos.

Muchas gracias. Un saludo

June 14, 2022

50 minutes ago, gusman126 said:

Tambien prueba a pedir a soporte del hospedaje, si tienes Plesk o Cpanel que te instalen la extension "Patchman" , no solo sirve para avisar de las actualizaciones de wordpress, ademas te indica que ficheros han cambiado o si ha detectado un virus.

Hola,

Gracias.

Les preguntare por esa extensión, es un plesk, si. Ayuda se les ha pedido, han estado revisando ellos e incluso cambiado de servidor por si hubiera algún problema en el que restaba la web pero dicen que no pueden hacer más. A ver qué me dicen sobre esa extensión.

Muchas gracias. Un saludo

2.8k · June 20, 2022

Hola.

Justo este sabado me han contratado para solucionar el mismo problema, con Prestashop 1.6.

Haciendo una buena limpieza, por ahora todo correcto.

Te lo digo porque hay algo que no estas limpiando bien o tienes alguna puerta trasera.

Veremos si sigue igual dentro de 1 semana que es cuando te vuelve a pasar a ti, espero que no.

June 20, 2022

Hola!

Pues cuando elimino el fichero js que de crea en la carpeta js está tardando unos 15 días en volver a generarse.

Ojalá hayas encontrado la solución. Me vas contando porfa y hablamos.

Un saludo

2.8k · June 20, 2022

hace 4 minutos, Sakura_CM dijo:

Hola!

Pues cuando elimino el fichero js que de crea en la carpeta js está tardando unos 15 días en volver a generarse.

Ojalá hayas encontrado la solución. Me vas contando porfa y hablamos.

Un saludo

encontre ficheros en la carpeta de administración que hacia subir ficheros , luego ficheros que hacian mas cosas,
Es PS 1.6 , pero hacia exactamente lo mismo, meter la forma de pago.
Espero que este ok, ya te digo

June 20, 2022

3 minutes ago, gusman126 said:

encontre ficheros en la carpeta de administración que hacia subir ficheros , luego ficheros que hacian mas cosas,
Es PS 1.6 , pero hacia exactamente lo mismo, meter la forma de pago.
Espero que este ok, ya te digo

Perfecto vamos hablando y vemos! Gracias

2.8k · June 21, 2022

En 20/6/2022 a las 6:39 PM, Sakura_CM dijo:

Perfecto vamos hablando y vemos! Gracias

Bueno han pasado varios días y sigue limpio
si no pasa nada en una semana, ya hablamos

June 21, 2022

Buenas a todos!!
tengo el mismo problema en 2 Prestashop 1.6 en 2 servidores diferentes de 2 proveedores diferentes.

he limpiado varías veces el fichero que se crea dentro del directorio /js/ ya que lo vi en el inspector de elementos pero claro, siempre volvemos a estar igual.

@gusman126puedes dar más información acerca de que viste en el directorio de administración??

gracias

June 21, 2022

2 hours ago, gusman126 said:

Bueno han pasado varios días y sigue limpio
si no pasa nada en una semana, ya hablamos

De hecho acabo de volver a eliminar el ficherito de las narices, tarda unas dos semanas en volver a generarse por si te sirve de referencia para esperar a ver si lo que has hecho se ha solucionado.

Yo lo he visto en varios ps1.6 debe ser algun bug en esta versión pero en la 1.7? Eso es lo que más me extraña

Edited June 21, 2022 by Sakura_CM (see edit history)

June 21, 2022

@Sakura_CMsolo con borrar el js se te arregla!? O tienes que borrar caches, etc?? Otra opción es poner una regla en ModSecurity para que no deje crear ese /js/. Pero claro, eso es un parche y no una solución

June 21, 2022

52 minutes ago, hazoi77 said:

@Sakura_CMsolo con borrar el js se te arregla!? O tienes que borrar caches, etc?? Otra opción es poner una regla en ModSecurity para que no deje crear ese /js/. Pero claro, eso es un parche y no una solución

Yo lo que estoy haciendo es que cada vez k pasa (cada dos semanas más o menos) borro el ficherito de la carpeta js y limpio cache, pero como dices es un parche para tirar mientras se encuentra el fichero que lo genera, y no se si es necesario que se pueda escribir en ese fichero para el funcionamiento de ps o algún módulo la verdad no se si lo que dices no traería algún otro problema pero sería eso un parche, funcional pero un parche

2.8k · June 22, 2022

hace 11 horas, hazoi77 dijo:

Buenas a todos!!
tengo el mismo problema en 2 Prestashop 1.6 en 2 servidores diferentes de 2 proveedores diferentes.

he limpiado varías veces el fichero que se crea dentro del directorio /js/ ya que lo vi en el inspector de elementos pero claro, siempre volvemos a estar igual.

@gusman126puedes dar más información acerca de que viste en el directorio de administración??

gracias

Eran unos cuantos ficheros

Habia uno que ocupaba varias decenas de MB

Luego los ficheros de administración, estaban encriptados y otros de otras carpetas también,

Siento no ser preciso pero he visto esto en otras web y siempre cambia el nombre y lugar del fichero, lo he visto en admin, en modules, dentro de un modulo .

La solución es limpiar correctamente Prestashop, lo que estas haciendo son parches, eliminar .js no sirve de nada , lo mejor es como le dije a Sakura que busque a un profesional y que le limpie correctamente el sistema

June 22, 2022

Hola a todos! tengo exactamente el mismo problema en un Prestashop 1.6.1, encontré el archivo .Js con un nombre distinto este se llamaba: 4ab6c6cdc67... en la Carpeta JS, pero me da la impresión que se puede generar en otras partes, si alguno tiene mas información o como solucionarlo??

June 24, 2022

Hola, después de investigar más, siempre hay 3 ficheros que después de borrar el .js del directorio /js/ el antivirus me restaura solo:

2.8k · June 28, 2022

Buenas noticias para mi cliente 2 semanas despues sigue funcionando perfectamente sin rastro de ficheros extraños

Lo que he hecho ha sido lo que indique en los mensajes, limpiar , eliminar y reemplazar con ficheros limpios, comprobar modulos y limpiar ficheros extraños, yo con conocimientos tarde casi 4 horas

Edited June 28, 2022 by gusman126 (see edit history)

June 28, 2022

2 hours ago, gusman126 said:

Buenas noticias para mi cliente 2 semanas despues sigue funcionando perfectamente sin rastro de ficheros extraños

Lo que he hecho ha sido lo que indique en los mensajes, limpiar , eliminar y reemplazar con ficheros limpios, comprobar modulos y limpiar ficheros extraños, yo con conocimientos tarde casi 4 horas

Que bueno!

Yo he machacado ficheros varias veces, me refiero a coger los ficheros de la instalación de la versión de prestashop y sustituir los existentes por estos... Y además es ps1.7 a si que sigo sin entender nada 😩

June 29, 2022

en mi caso a pasado solo una semana desde que borre el archivo mencionado de la carpeta JS, y por ahora todo funciona perfectamente, pero debe haber algo en común en estos Prestashop, por donde ingreso este phishing.

June 30, 2022

8 hours ago, Gonzalocba07 said:

en mi caso a pasado solo una semana desde que borre el archivo mencionado de la carpeta JS, y por ahora todo funciona perfectamente, pero debe haber algo en común en estos Prestashop, por donde ingreso este phishing.

Hola,

Yo lo he visto en varios también, por eso creía que podría ser una vulnerabilidad de prestashop, pero aquí me han estado diciendo que era algo mío (hosting, algún módulo, la plantilla..) aunque he usado el mismo hosting, plantilla y módulos en otros prestashop y no ha pasado a si que igual estoy confusa.

A mi se me regenera cada dos semanas más o menos, ya nos contarás.

Un saludo

June 30, 2022

El hosting no tiene relación aquí ya que hay varios post en este hilo de incluso ge te llevarás la web a otro hosting y tener el mismo problema.

No sé si puede ser algún plugin vulnerable que esté provocando todo ya que si fuese una vulnerabilidad en el core de Prestashop habría miles infectados y mucha más información acerca de este problema

Edited June 30, 2022 by hazoi77 (see edit history)

June 30, 2022

9 hours ago, hazoi77 said:

El hosting no tiene relación aquí ya que hay varios post en este hilo de incluso ge te llevarás la web a otro hosting y tener el mismo problema.

No sé si puede ser algún plugin vulnerable que esté provocando todo ya que si fuese una vulnerabilidad en el core de Prestashop habría miles infectados y mucha más información acerca de este problema

Efectivamente el hosting no es, pero fue lo primero que me dijeron al principio varias personas, incluso se cambió el servidor por si acaso, por que decían que no era algo de prestashop que era un hackeo que habían hecho a la web en particular no algo más general, cosa que cada vez veo que pasa a más gente.

Algo de prestashop tiene que ser si, el core difícil por lo que dices pero, que módulo puede ser que tantas personas tengan en común pero no tan habitual como para que no sea algo masivo? Esta web no tiene ningún modulo diferente a otros presta que he hecho y sin embargo es la única que le pasa, igual la plantilla usada... Y todos los módulos usados son de la tienda de addons de presta o sitios de confianza.

Al principio pensé que podía estar relacionado con la vulnerabilidad de prestashop que anunciaron relacionado con los PHPunit por que estaba la web infectada con los archivos que se crean con esta vulnerabilidad pero revise todas las carpetas y no habia ningún PHPunit en ningún lado por lo que debe haber algo más con la misma vulnerabilidad. A día de hoy también se siguen generando esos archivos infectados que el antivirus del hosting elimina a diario (y al día siguiente vuelven a aparecer) a demás de este phising cada dos semanas.

Raro raro. Una locura.

Un saludo

EDITO: Por cierto, y esto me resulta algo más curioso. Tengo el mismo sitio duplicado en un subdomino dev para pruebas y ahi ni se regeneran los archivos infectados ni el phising...

Edited June 30, 2022 by Sakura_CM (see edit history)

2.8k · July 2, 2022

Te aconsejo que hagas elimines todo y durante varias semanas dejes toda la web vacía, cuando pase un tiempo volver a instalar el sistema, añadir los productos etc... Una instalación limpia,

A ver si durante esas semanas si el bot detecta que no hay nada que deje de atacar.

Otra opción ya se ha dicho por aquí o contratando a un profesional con un coste como se habló.

Como te he dicho por MP Si por casualidad alguien entra y le roban los datos personales de su tarjeta te arriesgas a una multa que te jode la vida.

Cierra todo durante un tiempo es lo único que puedes hacer

1.7k · July 2, 2022

35 minutes ago, gusman126 said:

Otra opción ya se ha dicho por aquí o contratando a un profesional con un coste como se habló.

Ha contratato varios y por ende causando un problema para la tienda.

2.8k · July 2, 2022

hace 1 hora, Nickz dijo:

Ha contratato varios y por ende causando un problema para la tienda.

pues un fastidio si no te han solucionado y ademas te rompen algo mas.

July 2, 2022

@Nickz por qué no haces un favor a toda la comunidad y dejas de meter mierda en un asunto que nos interesa a todos? Como ves no es la única tienda a la que le pasa, no intentes satisfacer tu frustración entorpeciendo a los demás.

@gusman126 ni caso, tu sabes más de la realidad por nuestras conversaciones. Gracias por la recomendación, se lo comentaré aunque no creo que sea lo que quiera hacer, es su medio de vida.

Creo que siendo algo que afecta a más usuarios de prestashop habría que averiguar que pasa y la solución. De hecho prestashop debería poner arreglo. Sigue sin convencerme que sea un módulo o algo que afecte a diferentes personas sin nada en común de la misma manera, si no es un agujero de seguridad conocido debería estudiarse y solventarse. Creo que es un tema serio.

Un saludo

2.8k · July 2, 2022

hace 8 minutos, Sakura_CM dijo:

Creo que siendo algo que afecta a más usuarios de prestashop habría que averiguar que pasa y la solución. De hecho prestashop debería poner arreglo. Sigue sin convencerme que sea un módulo o algo que afecte a diferentes personas sin nada en común de la misma manera, si no es un agujero de seguridad conocido debería estudiarse y solventarse. Creo que es un tema serio.

Un saludo

Si fuera un fallo de seguridad, estaría en https://build.prestashop.com/ o en Github y ya solucionado en versiones nuevas o no si ha nadie o casi nadie le ha pasado, algo que no es el caso

Por ejemplo hay un fallo de seguridad en el modulo Blockwishlist y lo han solucionado, por eso es tan importante tener la penultima versión instalada o mejor la ultima

July 2, 2022

25 minutes ago, gusman126 said:

Si fuera un fallo de seguridad, estaría en https://build.prestashop.com/ o en Github y ya solucionado en versiones nuevas o no si ha nadie o casi nadie le ha pasado, algo que no es el caso

Por ejemplo hay un fallo de seguridad en el modulo Blockwishlist y lo han solucionado, por eso es tan importante tener la penultima versión instalada o mejor la ultima

Hola @gusman126

Si lo se, pero no siendo un caso aislado algo debe haber.

Cuando empezó en la tienda creía que podría ser todo lo que me dijeron desde un hackeo aislado, un fallo de seguridad de la tienda, hasta un problema con el propio hosting, pero lo he visto en otras tiendas (una incluso vende módulos de prestashop) y aquí están apareciendo más, y las que no se sabrán... Algo raro hay aquí, y si no está en esos sitios por que no se ha detectado, por que no se ha reportado?

Si bien es cierto en caso todos los casos pasa en 1.6 y este es un 1.7 que se ha rehecho de cero y tiene la última versión. No se que será, pero algo raro hay aquí.

Tu cliente ha vuelto a infectarse?

Un saludo

July 2, 2022

Creo que siendo algo que afecta a más usuarios de prestashop habrá que averiguar que pasa y la solución. De hecho prestashop debería poner arreglo. Sigue sin convencerme de que sea un módulo o algo que afecte a diferentes personas sin nada en común de la misma manera, si no es un agujero de seguridad conocido debería estudiarse y solventarse. Creo que es un tema serio.

..coincido con @Sakura_CM, es una falla de seguridad, aun no sabemos de que, pero este código se incrusta en el Prestashop, en mi caso ayer volvió a parecer el archivo lo detectamos inmediatamente borramos el archivo del JS que se creo, y listo se arreglo, pero es un parche, y me parece muy importante saber de donde viene por donde ingreso y solucionarlo, todo lo que estamos haciendo son parches, no me parece una solución ni el camino, bajar todo y volver a subir. Yo creería que es un tema que afecta a mas sitio o usuarios sino que la forma de operar de este Pishing hace que muchas veces ni el administrador ni el usuario se den cuenta que lo tiene infectado, ya que ingresa de manera aleatoria y temporal, y la otra que cuando vos le cargas los datos de la tarjeta (pones cualquier número) desaparece y te aparece el modulo de pago correcto.

ósea opera hasta que logra su cometido y se arregla solo. esto lo hace muy imperceptible.

Saludos

2.8k · July 2, 2022

hace 7 horas, Sakura_CM dijo:

Hola @gusman126

Tu cliente ha vuelto a infectarse?

Un saludo

Por ahora todo perfecto, han pasado dos semanas y sin problema.

En los foros en inglés hay otros casos , el saber porque ha ocurrido es complicado y si realmente fuera un fallo genérico le pasaría a todos,

PrestaShop ha dejado de dar soporte oficial al PrestaShop 1.6 por lo que todo lo que ocurre en 1.6 no es problema de ellos. Es como Windows 7 , Microsoft no da soporte y si sale algún error grave si no quieren no se soluciona.

Otra cosa es que pase en 1.7 eso ya es más extraño, PrestaShop es gratuito,debería dar solución? Obviamente si realmente es un fallo del software y no de algo externo, difícil si no le pasa a más gente que tiene alguien profesional o le pasa a alguien que trabaje en PrestaShop

Por lo que pude ver es algo de la carpeta de administración y el añadir ficheros en raíz.

Un aviso cuidado en tener otros sistemas en el mismo hospedaje,dominio y cuidado si son compartidos pueden ser reinfectados si se infecta otro del mismo hospedaje

(SOLUCIONADO PARCHE VULNERABILIDAD PRESTASHOP) Metodo de pago desconocido - Phishing

Recommended Posts

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites