Jump to content

(SOLUCIONADO PARCHE VULNERABILIDAD PRESTASHOP) Metodo de pago desconocido - Phishing


SAKSCM

Recommended Posts

Hola,

Tengo un prestashop 1.7 en el que de golpe a aparecido un método de pago que no está dentro de los que yo tengo instalados, además está forzando a poner una tarjeta de credito sin permitir seleccionar el metodo de envio ni continuar. He reinicializado módulos y demás, pero nada. Es muy raro, no veo como lo puedo quitar, alguna idea? adjunto un pantallazo

Gracias de antemano

error.jpg

Edited by SAKSCM (see edit history)
Link to comment
Share on other sites

19 minutes ago, Aldeag said:

Lo curioso es que parece venir en el "Método de envío", no en Formas de pago.

Eso es, aunque he ocultado el con css el bloque y no se ve ni los metodos de envío ni el resto (metodos de pago o finalizar compra) a mi me parece phishing pero he sustituido los archivos por otros que se que estan limpios y sigue saliendo

Link to comment
Share on other sites

17 minutes ago, Alberto Prestashop said:

te han hackeado la web, si no tienes conocimientos de programación deberías ponerla en mantenimiento para evitar que roben los datos de las tarjetas de tus clientes.

Si necesitas ayuda puedes contactarme por privado.

 

Si, lo primero que hice fue poner la web en mantenimiento pensando que podría ser phishing, pero lo que no entiendo es como sustituyendo los archivos por otros que estaban limpios sigue saliendo. No encuentro forma de solucionarlo, lo unico que se me ocurre es rehacerla :(

Link to comment
Share on other sites

24 minutes ago, Alberto Prestashop said:

claro lo habrán hecho bien, no es tan fácil encontrar la modificación si lo han hecho bien.

En la base de datos no pueden haber metido nada verdad? por que si rehago el sitio web pero uso la misma base de datos para mantener pedidos clientes productos etc, funcionara?

Link to comment
Share on other sites

 

55 minutes ago, Alberto Prestashop said:

pueden añadir algo en base de datos pero la llamada a ella desde los archivos si restauras los originales no estaría pero claro el tunel de entrada lo seguiras teniendo si no averiguas por donde te han entrado.

Si hago una instalación nueva no lo soluciono? 

Link to comment
Share on other sites

On 1/21/2022 at 6:45 PM, Aldeag said:

Esto nos interesa a TODOS pues si en un Prestashop actual (1.7...) nos pueden hacer esto es preocupante.

Si encuentras el origen y/o la solución, no dudes en compartir.

 

On 1/21/2022 at 6:52 PM, Alberto Prestashop said:

sera problema de la configuración del hosting o de algun modulo extra que tenga, dudo mucho que sea problema de Prestashop

Hola,

Pues no era ningún módulo, ni el tema, ni nada del hosting. Eliminé todas las carpetas de prestashop excepto: app, img, mails, modules, override, themes y translations (y por supuesto la base de datos) y meti los archivos de la descarga de prestashop (la version k estaba usando antes del problema) y se ha arreglado, a si que debía de estar en algún archivo base de prestashop, algun controller quizá, no se, pero en las carpetas que influye para temas y modulos no por que no las he modificado.

Doy el tema por solucionado. Espero que ayude a quien le pueda suceder.

Link to comment
Share on other sites

  • SAKSCM changed the title to (SOLUCIONADO) Metodo de pago desconocido - Phishing

A pesar de estar el tema resuelto, ten muy en cuenta lo que ha comentado algún compañero en este hilo.

Si te hackearon la web hace unos días con los archivos originales, aunque hayas restaurado, lo volverán a hacer.

Evitemos siempre módulos y temas gratuitos que no están en addons, estos suelen traer siempre malware.

  • Like 1
Link to comment
Share on other sites

7 minutes ago, Luisejo said:

A pesar de estar el tema resuelto, ten muy en cuenta lo que ha comentado algún compañero en este hilo.

Si te hackearon la web hace unos días con los archivos originales, aunque hayas restaurado, lo volverán a hacer.

Evitemos siempre módulos y temas gratuitos que no están en addons, estos suelen traer siempre malware.

Hola Luis, 

Gracias por el comentario!! Tienes toda la razón y estoy contigo en eso.

Sin embargo no creo que ese haya sido mi problema ya que el tema que uso es de pago y los módulos que tengo son o bien del propio tema o del desarrollador del tema, de add-ons de los que vienen con presta o si son gratuitos son los sugeridos en My Presta o victor rodenas que me consta que son de fiar (que además tambien están en este foro) o directamente sacados de los aportes en este mismo foro, no pongo nada que no sea fiable.

Igualmente el hackeo no estaba ni en el tema ni en los módulos ya que esos no los he sustituido y se ha solucionado el problema ahora mismo tengo la web en pruebas esperando a ver que pasa pero de momento todo parece que está bien... No se que fue o como pasó pero si estoy segura que no hay nada que no sea fiable.. Prestashop addons ha encarecido mucho los precios desde antes de la pandemia a ahora (más del 100% de incremento en los precios en algunos casos hasta el 1000%) y aún así es al primer sitio que acudo y tengo muchos módulos de ahí. 😊

Link to comment
Share on other sites

Siento tan drastico...

No has hecho lo correcto. Tenias que haber investigado para saber que era el problema.

Ahora ya está, pero si vuelve a pasar pide ayuda a un profesional, incluso en estos casos saldrá alguien que te diga qué pasa y lo que ocurre gratis ya que nos interesa saber si PrestaShop puede ser hackeado., solucionarlo y arreglar el problema ya tendrás que pagar.

Como te dicen por aquí, si te han hackeado la página, 100% seguro que volverán.

Por lo menos espero que hayas cambiado contraseña de TODO y si sospechas que alguien ha intentado comprar y le han capturado la tarjeta, estás en obligación de avisar a la AEPD .

 

  • Like 1
Link to comment
Share on other sites

9 hours ago, gusman126 said:

Siento tan drastico...

No has hecho lo correcto. Tenias que haber investigado para saber que era el problema.

Ahora ya está, pero si vuelve a pasar pide ayuda a un profesional, incluso en estos casos saldrá alguien que te diga qué pasa y lo que ocurre gratis ya que nos interesa saber si PrestaShop puede ser hackeado., solucionarlo y arreglar el problema ya tendrás que pagar.

Como te dicen por aquí, si te han hackeado la página, 100% seguro que volverán.

Por lo menos espero que hayas cambiado contraseña de TODO y si sospechas que alguien ha intentado comprar y le han capturado la tarjeta, estás en obligación de avisar a la AEPD .

 

Hola, gracias por el comentario. 

Tienes razón y es lo primero que intenté, pero me daban presupuestos muy altos por arreglarlo (yo estuve intentando encontrar donde estaba pero mis conocimientos de programación son bajos) y es una tienda muy pequeña con muy pocas ventas y no se podía asumir (lo cual además no entendemos por qué lo han hecho) no tienen muchas ventas (ni si quiera tiene ventas todos los días) y no se va quejado nadie de que su pedido no haya llegado a si que no creemos que nadie haya sufrido por ello, esperemos. Y si, gracias por el aviso, contraseñas de todas partes cambiadas. 

No obstante tengo un backup si alguien quiere investigarlo se la paso sin problema, me encantaría saber que pasó. 

Muchas gracias a todos! 

Link to comment
Share on other sites

hace 13 minutos, LightSakura dijo:

Hola, gracias por el comentario. 

Tienes razón y es lo primero que intenté, pero me daban presupuestos muy altos por arreglarlo (yo estuve intentando encontrar donde estaba pero mis conocimientos de programación son bajos) y es una tienda muy pequeña con muy pocas ventas y no se podía asumir (lo cual además no entendemos por qué lo han hecho) no tienen muchas ventas (ni si quiera tiene ventas todos los días) y no se va quejado nadie de que su pedido no haya llegado a si que no creemos que nadie haya sufrido por ello, esperemos. Y si, gracias por el aviso, contraseñas de todas partes cambiadas. 

No obstante tengo un backup si alguien quiere investigarlo se la paso sin problema, me encantaría saber que pasó. 

Muchas gracias a todos! 

Enviame mp

Link to comment
Share on other sites

18 hours ago, LightSakura said:

Hola, gracias por el comentario. 

Tienes razón y es lo primero que intenté, pero me daban presupuestos muy altos por arreglarlo (yo estuve intentando encontrar donde estaba pero mis conocimientos de programación son bajos) y es una tienda muy pequeña con muy pocas ventas y no se podía asumir (lo cual además no entendemos por qué lo han hecho) no tienen muchas ventas (ni si quiera tiene ventas todos los días) y no se va quejado nadie de que su pedido no haya llegado a si que no creemos que nadie haya sufrido por ello, esperemos. Y si, gracias por el aviso, contraseñas de todas partes cambiadas. 

No obstante tengo un backup si alguien quiere investigarlo se la paso sin problema, me encantaría saber que pasó. 

Muchas gracias a todos! 

Lo que debes hacer para evitar que cargen archivos o cosas sin sentido es implementar git a todo tu proyecto ... Es mucho más cómodo eh inclusive si tienes conocimiento de programación no te costará mucho.

Saludos 

Link to comment
Share on other sites

4 hours ago, luishuaymana said:

Lo que debes hacer para evitar que cargen archivos o cosas sin sentido es implementar git a todo tu proyecto ... Es mucho más cómodo eh inclusive si tienes conocimiento de programación no te costará mucho.

Saludos 

Hola, gracias por la recomendación miraré eso del git lo he oído hablar (creía que solo era para trabajo en equipo en proyectos de desarrollo no sabia k se podía aplicar a cualquier web incluso cms) mis conocimientos de programación son muy básicos, no sé si me ayudará, pero lo miraré. Muchas gracias 

Link to comment
Share on other sites

  • SAKSCM changed the title to Metodo de pago desconocido - Phishing

Buenas noches,

Vuelvo al ataque con este tema.

Si bien al hacer el copiado de archivos en limipio se fue, a las semanas volvieron a hackearlo.

Rehice la tienda de cero, de forma que ya no había archivos infectados. Actualizamos a la última versión de prestashop para evitar que haya bugs. Cambiamos todas las contraseñas tanto de prestashop como del hosting. Estamos incluso pagando un servicio de antivirus en el hosting.

Nada funciona, a las semanas vuelve a aestar hackeado. 

Ya no sabemos que hacer.

Ahora ya no podemos ni acceder al backend, ponemos usuario y contraseña y no da error, simplemente vuelve a cargar la misma pagina para iniciar sesión.

Edited by LightSakura (see edit history)
Link to comment
Share on other sites

4 minutes ago, LightSakura said:

Buenas noches,

Vuelvo al ataque con este tema.

Si bien al hacer el copiado de archivos en limipio se fue, a las semanas volvieron a hackearlo.

Rehice la tienda de cero, de forma que ya no había archivos infectados. Actualizamos a la última versión de prestashop para evitar que haya bugs. Cambiamos todas las contraseñas tanto de prestashop como del hosting. Estamos incluso pagando un servicio de antivirus en el hosting.

Nada funciona, a las semanas vuelve a aestar hackeado. 

Ya no sabemos que hacer.

Ahora ya no podemos ni acceder al backend, ponemos usuario y contraseña y no da error, simplemente vuelve a cargar la misma pagina para iniciar sesión.

Hola, lo mas probable es que sea un archivo js incrustado.. revisa todos los .js de tus archivos. Y luego incluye git a tu web.
Saludos.

Link to comment
Share on other sites

9 minutes ago, luishuaymana said:

Hola, lo mas probable es que sea un archivo js incrustado.. revisa todos los .js de tus archivos. Y luego incluye git a tu web.
Saludos.

Gracias por responder.

No se como hacer lo de git, lo he oido y he leido algo pero no se trabajar con eso, quiero tomar un curso, pero me falta el tiempo y esto me urge....

Como reviso los archivos .js y que tengo que encontrar? prestashop tiene cientos de archivos js ... 

Link to comment
Share on other sites

hace 10 horas, LightSakura dijo:

Gracias por responder.

No se como hacer lo de git, lo he oido y he leido algo pero no se trabajar con eso, quiero tomar un curso, pero me falta el tiempo y esto me urge....

Como reviso los archivos .js y que tengo que encontrar? prestashop tiene cientos de archivos js ... 

te va a tocar contratar a un profesional para limpiar y comprobar todo, veo que esto ya te lo dije , disculpa por repetirme, pero como entenderas la segunda vez que pasa, ya es preocupante 

Indicas que hiciste la tienda desde cero? pero copiaste algo? algun modulo? o algun codigo de la vieja, 

Es muy raro que cambiando contraseñas de todo y usando un PS limpio de cero te vuelvan a hackear, algo debes tener, un modulo, un codigo , un fichero js, que hace que al pasarlo sea otra vez vulnerable.

Sabes que fichero te cambia? para ver si lo puedes subir a pastebin y verlo .

 

 

Edited by gusman126 (see edit history)
Link to comment
Share on other sites

1 hour ago, gusman126 said:

te va a tocar contratar a un profesional para limpiar y comprobar todo, veo que esto ya te lo dije , disculpa por repetirme, pero como entenderas la segunda vez que pasa, ya es preocupante 

Indicas que hiciste la tienda desde cero? pero copiaste algo? algun modulo? o algun codigo de la vieja, 

Es muy raro que cambiando contraseñas de todo y usando un PS limpio de cero te vuelvan a hackear, algo debes tener, un modulo, un codigo , un fichero js, que hace que al pasarlo sea otra vez vulnerable.

Sabes que fichero te cambia? para ver si lo puedes subir a pastebin y verlo .

 

 

Hola! 

Gracias por responder. La verdsd que no se cual es el punto de origen, solo se los ficheros que indica el antivirus del servidor como infectados y nunca que conseguido encontrar cual es el fichero que se modifica en el proceso de pago. 

El hosting me ha recuperado una copia de seguridad de ficheros que no estaban infectados aún y me han dicho que van a hacer un cambio de servidor, cambio de IP y accesos para ver si así se soluciona. 

Alguien sabe de alguien que supiera arreglar el problema si con el cambio de servidor no se soluciona? 

Gracias! 

Link to comment
Share on other sites

hace 2 minutos, LightSakura dijo:

Hola! 

Gracias por responder. La verdsd que no se cual es el punto de origen, solo se los ficheros que indica el antivirus del servidor como infectados y nunca que conseguido encontrar cual es el fichero que se modifica en el proceso de pago. 

El hosting me ha recuperado una copia de seguridad de ficheros que no estaban infectados aún y me han dicho que van a hacer un cambio de servidor, cambio de IP y accesos para ver si así se soluciona. 

Alguien sabe de alguien que supiera arreglar el problema si con el cambio de servidor no se soluciona? 

Gracias! 

En este caso es dificil, yo dejaria la web sin nada, vacia completamente durante 4 o 5 dias , solo con un fichero html indicando que estas actualizando el sistema, sin ningun otro fichero, a ver que ocurre, si sube algun fichero extraño , es que siguen infectando, con suerte el bot que infecta al no ver ficheros php durante X tiempo deja de atacar, 

Link to comment
Share on other sites

11 hours ago, gusman126 said:

En este caso es dificil, yo dejaria la web sin nada, vacia completamente durante 4 o 5 dias , solo con un fichero html indicando que estas actualizando el sistema, sin ningun otro fichero, a ver que ocurre, si sube algun fichero extraño , es que siguen infectando, con suerte el bot que infecta al no ver ficheros php durante X tiempo deja de atacar, 

El caso es que la web se mantiene limpia (el antivirus no detecta ninguna infección) durante aproximadamente un mes antes de empezar a dar los problemas otra vez.

Link to comment
Share on other sites

  • 2 weeks later...

Hola, 

Vuelvo a la carga... Tras haber lomñoado los archivos, el hosting ha cambiado el servidor y se han cambiado todas las contraseñas de nuevo incluyendo todas las contraseñas de clientes, añadido a rehacer la web y cambiar la versión de prestashop que se ha hecho antes nada ha funcionado, esta vez en solo una semana ha vuelto a pasar... Ya no se infectan los archivos como antes al menos esto se ha solucionado pero no el problema del phising. 

Por favor necesitamos ayuda, si alguien tiene alguna idea o sabe como podría arreglarse o conoce a alguien que pueda ayudar, escuchamos presupuestos.

Gracias. 

Link to comment
Share on other sites

hace 1 hora, LightSakura dijo:

Hola, 

Vuelvo a la carga... Tras haber lomñoado los archivos, el hosting ha cambiado el servidor y se han cambiado todas las contraseñas de nuevo incluyendo todas las contraseñas de clientes, añadido a rehacer la web y cambiar la versión de prestashop que se ha hecho antes nada ha funcionado, esta vez en solo una semana ha vuelto a pasar... Ya no se infectan los archivos como antes al menos esto se ha solucionado pero no el problema del phising. 

Por favor necesitamos ayuda, si alguien tiene alguna idea o sabe como podría arreglarse o conoce a alguien que pueda ayudar, escuchamos presupuestos.

Gracias. 

Pon un mensaje en el foro https://www.prestashop.com/forums/forum/101-ofertas-de-trabajo/

Ademas de las respuestas que te hagan, envíame un MP y hablamos

 

Link to comment
Share on other sites

  • 3 weeks later...

Hola lunaroja 

No creo, he usado ese mismo tema en muchas otras páginas y no pasa en ninguna otra, además es un tema con un gran soporte y actualizaciones. 

Localicé el archivo que generaba el problema, no se si quizá vino de la vulnerabilidad de que tuvo presrahosp con los phpunit aunque no era ninguno de los que estaba en el listado de archivos que generaban esa vulnerabilidad pero también estaban esos que cada dos por tres se regeneraban aunque los eliminaba. 

Hace ya casi tres semanas que lo localice y elimine y por ahora no ha habido más, aún cruzó los dedos 🤞 ya que mi ativirus cada vez que entro me sigue marcando como peligroso pero el anmunify (el antivirus del servidor) ya no marca ningún archivo infectado y tampoco veo nada ni salta nada... No se si es k se ha quedado la alerta en el antivirus o que. 

Gracias 

Link to comment
Share on other sites

4 minutes ago, gusman126 said:

Podrias decir que fichero asi si le pasa a otra persona que sepa que puede ser

 

Si claro, estaba dentro de la carpeta js se llamaba fyY1l.js, adjunto captura de pantalla del contenido, que se ve como fichero bástate sospechoso. 

Aún no puedo asegurar 100% que sea eso y este solucionado seguro pero de momento parce que si. 

Un saludo 

 

IMG_20220604_213242_597.jpg

Link to comment
Share on other sites

2 hours ago, gusman126 said:

Pero como puede ser que estuviera el fichero, si me parece que has dicho que reinstalaste todo desde cero? o siempre era la mira copia?

 

 

Correcto.. Reinstalé todo de cero..  Y justo voy ha vuelto a aparecer ese método de pago fantasma, miraré a ver si el fichero se ha reproducido. 😩

 

Edito: pues si, he comprobado la carpeta script y se ha generado un fichero, con otro nombre, RnBzB.js en este caso, es renombrarlo y eliminarse el pago fantasma. A si que aun no consigo encontrar cual es el fichero que genera este js culpable del phising. 

image.thumb.png.c8b383161f252df7e3e61ec24edccd9b.png

image.thumb.png.9028b8347824bdcade23743b5b4cf774.png

Edited by Sakura_CM (see edit history)
Link to comment
Share on other sites

No, de hecho tuve algún problema con un chico que me quito las ganas de seguir buscando. 

Y pregunté presupuesto a un desarrollador de un modilo de seguridad para prestashop y fue ridículamente alto para el rendimiento de la tienda. 

Seguiré mirando hasta conseguir encontralo :(

Link to comment
Share on other sites

13 hours ago, Sakura_CM said:

No, de hecho tuve algún problema con un chico que me quito las ganas de seguir buscando. 

Y pregunté presupuesto a un desarrollador de un modilo de seguridad para prestashop y fue ridículamente alto para el rendimiento de la tienda. 

Seguiré mirando hasta conseguir encontralo :(

Mira el CRON o las tareas programadas del alojamiento, hay veces que lo dejan ahí metido y por eso vuelven a generarse esos ficheros no deseados...

Link to comment
Share on other sites

5 hours ago, javiervallejo said:

Mira el CRON o las tareas programadas del alojamiento, hay veces que lo dejan ahí metido y por eso vuelven a generarse esos ficheros no deseados...

Hola!

Ostras, no había yo caído en eso, voy a ver :)

Gracias

 

Edito. No hay tareas programadas en el servidor :( solo la generacion diaria del xml para shopping

Edited by Sakura_CM (see edit history)
Link to comment
Share on other sites

Hola @Sakura_CM,
veo que aun no encuentras el archivo malicioso, y veo que ya llevas tiempo en ello.. te daré una pista de como resolvería tu problema.

Primero localmente me instalaria una version de prestashop exactamamente igual a la de tu tienda y implementaria git a ella (esto es muy importante)..
Luego una vez que tenga listo mi local con git, copiaria los archivos de tu tienda a mi local... y git se encargaria de mostrarme los archivos diferentes y nuevos... ello me ahorra tiempo en encontrar las diferencia y ahi seguramente que lo encuentras...

Eso como de primer paso... espero te ayude... y si en caso no lo logras enviame un MP...

Saludos.. 

  • Like 1
Link to comment
Share on other sites

19 hours ago, luishuaymana said:

Hola @Sakura_CM,
veo que aun no encuentras el archivo malicioso, y veo que ya llevas tiempo en ello.. te daré una pista de como resolvería tu problema.

Primero localmente me instalaria una version de prestashop exactamamente igual a la de tu tienda y implementaria git a ella (esto es muy importante)..
Luego una vez que tenga listo mi local con git, copiaria los archivos de tu tienda a mi local... y git se encargaria de mostrarme los archivos diferentes y nuevos... ello me ahorra tiempo en encontrar las diferencia y ahi seguramente que lo encuentras...

Eso como de primer paso... espero te ayude... y si en caso no lo logras enviame un MP...

Saludos.. 

Hola muchas gracias, 

La verdad que no se utilizar git, no encuentro un tutorial que sea capaz de llevar. 

Not cazo todo lo k dices peor imagino que es precisamente por no conocer git. 

Seguiré investigando, muchas gracias por la sugerencia!! 

Un saludo 

Link to comment
Share on other sites

On 6/11/2022 at 9:40 PM, Sakura_CM said:

Hola muchas gracias, 

La verdad que no se utilizar git, no encuentro un tutorial que sea capaz de llevar. 

Not cazo todo lo k dices peor imagino que es precisamente por no conocer git. 

Seguiré investigando, muchas gracias por la sugerencia!! 

Un saludo 

Hola Sakura_CM,

Otra forma, en vez de usar GIT, es que compares "copias de seguridad".

Es decir, si tienes una copia de una instalación limpia guárdala en tu ordenador.

Luego, cuando detectes que la tienda ha sido infectada, descarga todo y compara los ficheros, tan solo busca en google "comparar carpetas archivos Windows o Linux" y tratar de identificar qué o cuántos ficheros se han creado.

PD: Revisa los permisos de las carpetas/ficheros, tal vez estén más asignados

  • Like 1
Link to comment
Share on other sites

Tambien prueba a pedir a soporte del hospedaje, si tienes Plesk o Cpanel que te instalen la extension "Patchman" , no solo sirve para avisar de las actualizaciones de wordpress, ademas te indica que ficheros han cambiado o si ha detectado un virus.

 

  • Like 1
Link to comment
Share on other sites

52 minutes ago, javiervallejo said:

Hola Sakura_CM,

Otra forma, en vez de usar GIT, es que compares "copias de seguridad".

Es decir, si tienes una copia de una instalación limpia guárdala en tu ordenador.

Luego, cuando detectes que la tienda ha sido infectada, descarga todo y compara los ficheros, tan solo busca en google "comparar carpetas archivos Windows o Linux" y tratar de identificar qué o cuántos ficheros se han creado.

PD: Revisa los permisos de las carpetas/ficheros, tal vez estén más asignados

Hola Javier, 

Gracias. 

Los permisos están revisados y  están OK, eso bien. 

El tema está en que la copia "limpia" no debe estar tan limpia ya que genera este fichero fastidioso. 

Cuando se reinstalo la tienda de cero hay cosas que se reutilizaron como la base de datos y las imágenes, ya que no se quería perder ni clientes ni pedidos ni tener que subir todos productos de nuevo, a si que solo se me ocurre que algo debe haber por ahí, pero no lo localizo. 

Comparando, estoy en ello, carpeta por carpeta, de una instalación limpia con la que tengo, para ver si localizo algún fichero diferente, pero además de llevar la vida, no se si no será un fichero bueno de prestashop que tenga algo de más metido. 

Igual yo miro las fechas de modificación y tampoco puedo saber por que hay muchos ficheros que actualizan su fecha de modificación, entiendo que cuando se ejecuta algo en la página, salvo que eso quiera decir que todos esos ficheros (reales de presta por que coinciden con la instalación limpia) estén corruptos, que serían muchos. 

Muchas gracias. Un saludo 

Link to comment
Share on other sites

50 minutes ago, gusman126 said:

Tambien prueba a pedir a soporte del hospedaje, si tienes Plesk o Cpanel que te instalen la extension "Patchman" , no solo sirve para avisar de las actualizaciones de wordpress, ademas te indica que ficheros han cambiado o si ha detectado un virus.

 

Hola, 

Gracias. 

Les preguntare por esa extensión, es un plesk, si. Ayuda se les ha pedido, han estado revisando ellos e incluso cambiado de servidor por si hubiera algún problema en el que restaba la web pero dicen que no pueden hacer más. A ver qué me dicen sobre esa extensión. 

Muchas gracias. Un saludo 

Link to comment
Share on other sites

Hola.

Justo este sabado me han contratado para solucionar el mismo problema, con Prestashop 1.6.

Haciendo una buena limpieza, por ahora todo correcto.

Te lo digo porque hay algo que no estas limpiando bien o tienes alguna puerta trasera.

Veremos si sigue igual dentro de 1 semana que es cuando te vuelve a pasar a ti, espero que no.

 

Link to comment
Share on other sites

Hola! 

Pues cuando elimino el fichero js que de crea en la carpeta js está tardando unos 15 días en volver a generarse. 

Ojalá hayas encontrado la solución. Me vas contando porfa y hablamos. 

Un saludo 

Link to comment
Share on other sites

hace 4 minutos, Sakura_CM dijo:

Hola! 

Pues cuando elimino el fichero js que de crea en la carpeta js está tardando unos 15 días en volver a generarse. 

Ojalá hayas encontrado la solución. Me vas contando porfa y hablamos. 

Un saludo 

encontre ficheros en la carpeta de administración que hacia subir ficheros , luego ficheros que hacian mas cosas, 
Es PS 1.6 , pero hacia exactamente lo mismo, meter la forma de pago. 
Espero que este ok, ya te digo

  • Like 1
Link to comment
Share on other sites

3 minutes ago, gusman126 said:

encontre ficheros en la carpeta de administración que hacia subir ficheros , luego ficheros que hacian mas cosas, 
Es PS 1.6 , pero hacia exactamente lo mismo, meter la forma de pago. 
Espero que este ok, ya te digo

Perfecto vamos hablando y vemos! Gracias 

Link to comment
Share on other sites

Buenas a todos!! 
tengo el mismo problema en 2 Prestashop 1.6 en 2 servidores diferentes de 2 proveedores diferentes.

he limpiado varías veces el fichero que se crea dentro del directorio /js/ ya que lo vi en el inspector de elementos pero claro, siempre volvemos a estar igual.

 

@gusman126puedes dar más información acerca de que viste en el directorio de administración?? 
 

gracias 

Link to comment
Share on other sites

2 hours ago, gusman126 said:

Bueno han pasado varios días y sigue limpio
si no pasa nada en una semana, ya hablamos

 

De hecho acabo de volver a eliminar el ficherito de las narices, tarda unas dos semanas en volver a generarse por si te sirve de referencia para esperar a ver si lo que has hecho se ha solucionado. 

Yo lo he visto en varios ps1.6 debe ser algun bug en esta versión pero en la 1.7? Eso es lo que más me extraña 

Edited by Sakura_CM (see edit history)
Link to comment
Share on other sites

52 minutes ago, hazoi77 said:

@Sakura_CMsolo con borrar el js se te arregla!? O tienes que borrar caches, etc?? Otra opción es poner una regla en ModSecurity para que no deje crear ese /js/. Pero claro, eso es un parche y no una solución 

Yo lo que estoy haciendo es que cada vez k pasa (cada dos semanas más o menos) borro el ficherito de la carpeta js y limpio cache, pero como dices es un parche para tirar mientras se encuentra el fichero que lo genera, y no se si es necesario que se pueda escribir en ese fichero para el funcionamiento de ps o algún módulo la verdad no se si lo que dices no traería algún otro problema pero sería eso un parche, funcional pero un parche 

Link to comment
Share on other sites

hace 11 horas, hazoi77 dijo:

Buenas a todos!! 
tengo el mismo problema en 2 Prestashop 1.6 en 2 servidores diferentes de 2 proveedores diferentes.

he limpiado varías veces el fichero que se crea dentro del directorio /js/ ya que lo vi en el inspector de elementos pero claro, siempre volvemos a estar igual.

 

@gusman126puedes dar más información acerca de que viste en el directorio de administración?? 
 

gracias 

Eran unos cuantos ficheros

Habia uno que ocupaba varias decenas de MB

Luego los ficheros de administración, estaban encriptados y otros de otras carpetas también,

Siento no ser preciso pero he visto esto en otras web y siempre cambia el nombre y lugar del fichero, lo he visto en admin, en modules, dentro de un modulo .

La solución es limpiar correctamente Prestashop, lo que estas haciendo son parches, eliminar .js no sirve de nada , lo mejor es como le dije a Sakura que busque a un profesional y que le limpie correctamente el sistema

 

Link to comment
Share on other sites

Hola a todos! tengo exactamente el mismo problema en un Prestashop 1.6.1, encontré el archivo .Js con un nombre distinto este se llamaba: 4ab6c6cdc67... en la Carpeta JS, pero me da la impresión que se puede generar en otras partes, si alguno tiene mas información o como solucionarlo??

Link to comment
Share on other sites

Buenas noticias para mi cliente 2 semanas despues sigue funcionando perfectamente sin rastro de ficheros extraños

Lo que he hecho ha sido lo que indique en los mensajes, limpiar , eliminar y reemplazar con ficheros limpios, comprobar modulos y limpiar ficheros extraños, yo con conocimientos tarde casi 4 horas

Edited by gusman126 (see edit history)
Link to comment
Share on other sites

2 hours ago, gusman126 said:

Buenas noticias para mi cliente 2 semanas despues sigue funcionando perfectamente sin rastro de ficheros extraños

Lo que he hecho ha sido lo que indique en los mensajes, limpiar , eliminar y reemplazar con ficheros limpios, comprobar modulos y limpiar ficheros extraños, yo con conocimientos tarde casi 4 horas

Que bueno! 

Yo he machacado ficheros varias veces, me refiero a coger los ficheros de la instalación de la versión de prestashop y sustituir los existentes por estos... Y además es ps1.7 a si que sigo sin entender nada 😩

Link to comment
Share on other sites

8 hours ago, Gonzalocba07 said:

en mi caso a pasado solo una semana desde que borre el archivo mencionado de la carpeta JS, y por ahora todo funciona perfectamente, pero debe haber algo en común en estos Prestashop, por donde ingreso este phishing.

Hola, 

Yo lo he visto en varios también, por eso creía que podría ser una vulnerabilidad de prestashop, pero aquí me han estado diciendo que era algo mío (hosting, algún módulo, la plantilla..) aunque he usado el mismo hosting, plantilla y módulos en otros prestashop y no ha pasado a si que igual estoy confusa. 

A mi se me regenera cada dos semanas más o menos, ya nos contarás. 

Un saludo 

Link to comment
Share on other sites

El hosting no tiene relación aquí ya que hay varios post en este hilo de incluso ge te llevarás la web a otro hosting y tener el mismo problema.

No sé si puede ser algún plugin vulnerable que esté provocando todo ya que si fuese una vulnerabilidad en el core de Prestashop habría miles infectados y mucha más información acerca de este problema 

Edited by hazoi77 (see edit history)
Link to comment
Share on other sites

9 hours ago, hazoi77 said:

El hosting no tiene relación aquí ya que hay varios post en este hilo de incluso ge te llevarás la web a otro hosting y tener el mismo problema.

No sé si puede ser algún plugin vulnerable que esté provocando todo ya que si fuese una vulnerabilidad en el core de Prestashop habría miles infectados y mucha más información acerca de este problema 

Efectivamente el hosting no es, pero fue lo primero que me dijeron al principio varias personas, incluso se cambió el servidor por si acaso, por que decían que no era algo de prestashop que era un hackeo que habían hecho a la web en particular no algo más general, cosa que cada vez veo que pasa a más gente. 

Algo de prestashop tiene que ser si, el core difícil por lo que dices pero, que módulo puede ser que tantas personas tengan en común pero no tan habitual como para que no sea algo masivo? Esta web no tiene ningún modulo diferente a otros presta que he hecho y sin embargo es la única que le pasa, igual la plantilla usada... Y todos los módulos usados son de la tienda de addons de presta o sitios de confianza.

Al principio pensé que podía estar relacionado con la vulnerabilidad de prestashop que anunciaron relacionado con los PHPunit por que estaba la web infectada con los archivos que se crean con esta vulnerabilidad pero revise todas las carpetas y no habia ningún PHPunit en ningún lado por lo que debe haber algo más con la misma vulnerabilidad. A día de hoy también se siguen generando esos archivos infectados que el antivirus del hosting elimina a diario (y al día siguiente vuelven a aparecer) a demás de este phising cada dos semanas. 

Raro raro. Una locura. 

Un saludo 

 

EDITO: Por cierto, y esto me resulta algo más curioso. Tengo el mismo sitio duplicado en un subdomino dev para pruebas y ahi ni se regeneran los archivos infectados ni el phising...

Edited by Sakura_CM (see edit history)
Link to comment
Share on other sites

Te aconsejo que hagas elimines todo y durante varias semanas dejes toda la web vacía, cuando pase un tiempo volver a instalar el sistema, añadir los productos etc... Una instalación limpia,

A ver si durante esas semanas si el bot detecta que no hay nada que deje de atacar.

Otra opción ya se ha dicho por aquí o contratando a un profesional con un coste como se habló.

Como te he dicho por MP Si por casualidad alguien entra y le roban los datos personales de su tarjeta te arriesgas a una multa que te jode la vida.

Cierra todo durante un tiempo es lo único que puedes hacer

Link to comment
Share on other sites

35 minutes ago, gusman126 said:

Otra opción ya se ha dicho por aquí o contratando a un profesional con un coste como se habló.

Ha contratato varios y por ende causando un problema para la tienda.

Link to comment
Share on other sites

@Nickz por qué no haces un favor a toda la comunidad y dejas de meter mierda en un asunto que nos interesa a todos? Como ves no es la única tienda a la que le pasa, no intentes satisfacer tu frustración entorpeciendo a los demás. 

@gusman126 ni caso, tu sabes más de la realidad por nuestras conversaciones. Gracias por la recomendación, se lo comentaré aunque no creo que sea lo que quiera hacer, es su medio de vida.

 

Creo que siendo algo que afecta a más usuarios de prestashop habría que averiguar que pasa y la solución. De hecho prestashop debería poner arreglo. Sigue sin convencerme que sea un módulo o algo que afecte a diferentes personas sin nada en común de la misma manera, si no es un agujero de seguridad conocido debería estudiarse y solventarse. Creo que es un tema serio. 

 

Un saludo 

 

Link to comment
Share on other sites

hace 8 minutos, Sakura_CM dijo:

Creo que siendo algo que afecta a más usuarios de prestashop habría que averiguar que pasa y la solución. De hecho prestashop debería poner arreglo. Sigue sin convencerme que sea un módulo o algo que afecte a diferentes personas sin nada en común de la misma manera, si no es un agujero de seguridad conocido debería estudiarse y solventarse. Creo que es un tema serio. 

 

Un saludo 

 

Si fuera un fallo de seguridad, estaría en https://build.prestashop.com/ o en Github y ya solucionado en versiones nuevas o no si ha nadie o casi nadie le ha pasado, algo que no es el caso 

Por ejemplo hay un fallo de seguridad en el modulo Blockwishlist y lo han solucionado, por eso es tan importante tener la penultima versión instalada o mejor la ultima

 

Link to comment
Share on other sites

25 minutes ago, gusman126 said:

Si fuera un fallo de seguridad, estaría en https://build.prestashop.com/ o en Github y ya solucionado en versiones nuevas o no si ha nadie o casi nadie le ha pasado, algo que no es el caso 

Por ejemplo hay un fallo de seguridad en el modulo Blockwishlist y lo han solucionado, por eso es tan importante tener la penultima versión instalada o mejor la ultima

 

Hola @gusman126

Si lo se, pero no siendo un caso aislado algo debe haber. 

Cuando empezó en la tienda creía que podría ser todo lo que me dijeron desde un hackeo aislado, un fallo de seguridad de la tienda, hasta un problema con el propio hosting, pero lo he visto en otras tiendas (una incluso vende módulos de prestashop) y aquí están apareciendo más, y las que no se sabrán... Algo raro hay aquí, y si no está en esos sitios por que no se ha detectado, por que no se ha reportado? 

Si bien es cierto en caso todos los casos pasa en 1.6 y este es un 1.7 que se ha rehecho de cero y tiene la última versión. No se que será, pero algo raro hay aquí. 

Tu cliente ha vuelto a infectarse? 

Un saludo 

Link to comment
Share on other sites

 

 

 

 

Creo que siendo algo que afecta a más usuarios de prestashop habrá que averiguar que pasa y la solución. De hecho prestashop debería poner arreglo. Sigue sin convencerme de que sea un módulo o algo que afecte a diferentes personas sin nada en común de la misma manera, si no es un agujero de seguridad conocido debería estudiarse y solventarse. Creo que es un tema serio. 

..coincido con @Sakura_CM, es una falla de seguridad, aun no sabemos de que,  pero este código se incrusta en el Prestashop, en mi caso ayer volvió a parecer el archivo lo detectamos inmediatamente borramos el archivo del JS que se creo, y listo se arreglo, pero es un parche, y me parece  muy importante saber de donde viene por  donde ingreso y solucionarlo, todo lo que estamos haciendo son parches, no me parece una solución ni el camino, bajar todo y volver a subir. Yo creería que es un tema que afecta a mas sitio o usuarios sino que la forma de operar de este Pishing hace que muchas veces ni el administrador ni el usuario se den cuenta que lo tiene infectado, ya que ingresa de manera aleatoria y temporal,  y la otra que cuando vos le cargas los datos de la tarjeta (pones cualquier número) desaparece y te aparece el modulo de pago correcto.

ósea opera hasta que logra su cometido y se arregla solo. esto lo hace muy imperceptible.

Saludos

 

Link to comment
Share on other sites

hace 7 horas, Sakura_CM dijo:

Hola @gusman126

Tu cliente ha vuelto a infectarse? 

Un saludo 

Por ahora todo perfecto, han pasado dos semanas y sin problema.

En los foros en inglés hay otros casos , el saber porque ha ocurrido es complicado y si realmente fuera un fallo genérico le pasaría a todos, 

PrestaShop ha dejado de dar soporte oficial al PrestaShop 1.6 por lo que todo lo que ocurre en 1.6 no es problema de ellos. Es como Windows 7 , Microsoft no da soporte y si sale algún error grave si no quieren no se soluciona.

Otra cosa es que pase en 1.7 eso ya es más extraño, PrestaShop es gratuito,debería dar solución? Obviamente si realmente es un fallo del software y no de algo externo, difícil si no le pasa a más gente que tiene alguien profesional o le pasa a alguien que trabaje en PrestaShop

Por lo que pude ver es algo de la carpeta de administración y el añadir ficheros en raíz.

Un aviso cuidado en tener otros sistemas en el mismo hospedaje,dominio y cuidado si son compartidos pueden ser reinfectados  si se infecta otro del mismo hospedaje

 

Link to comment
Share on other sites

1 hour ago, gusman126 said:

En los foros en inglés hay otros casos , el saber porque ha ocurrido es complicado y si realmente fuera un fallo genérico le pasaría a todos, 

usualmente entran por SQL Injection por el formulatio de contacto, que envia un correo de conformación. Esto es que en muchos caso que solvemos pasa. Es prudente cambiar el hosting por excluir la culpa del mismo.

Link to comment
Share on other sites

8 hours ago, gusman126 said:

Por ahora todo perfecto, han pasado dos semanas y sin problema.

En los foros en inglés hay otros casos , el saber porque ha ocurrido es complicado y si realmente fuera un fallo genérico le pasaría a todos, 

PrestaShop ha dejado de dar soporte oficial al PrestaShop 1.6 por lo que todo lo que ocurre en 1.6 no es problema de ellos. Es como Windows 7 , Microsoft no da soporte y si sale algún error grave si no quieren no se soluciona.

Otra cosa es que pase en 1.7 eso ya es más extraño, PrestaShop es gratuito,debería dar solución? Obviamente si realmente es un fallo del software y no de algo externo, difícil si no le pasa a más gente que tiene alguien profesional o le pasa a alguien que trabaje en PrestaShop

Por lo que pude ver es algo de la carpeta de administración y el añadir ficheros en raíz.

Un aviso cuidado en tener otros sistemas en el mismo hospedaje,dominio y cuidado si son compartidos pueden ser reinfectados  si se infecta otro del mismo hospedaje

 

En mi caso, 1.7.8.6 (empezó con la 1.7.7.1) no hay ningún otro sistema (WordPress etc) y es un VPS.

Link to comment
Share on other sites

25 minutes ago, luishuaymana said:

Apliquen cloudflare dns, seguro estan atacando al dominio.. por bd.. 

Hola,

Gracias por la sugerencia. No creo que sea algo relacionado con las dns por que se cambió el servidor (y por ende las dns) y no se solucionó.

Un saludo.

Link to comment
Share on other sites

hace 7 horas, Sakura_CM dijo:

Hola,

Gracias por la sugerencia. No creo que sea algo relacionado con las dns por que se cambió el servidor (y por ende las dns) y no se solucionó.

Un saludo.

se refiere que cloudflare tiene herramientas incluidas para que no ataquen la BD

Link to comment
Share on other sites

46 minutes ago, gusman126 said:

se refiere que cloudflare tiene herramientas incluidas para que no ataquen la BD

Hola! 

Ahh al poner dns y ver un poco por encima la web creía que era algo con el uso de dns diferentes. 

Lo miraré más detenidamente, gracias. 

Igual me gustaría poder solucionarlo sin tener que recurrir a que se paguen servicios externos extra que de normal no hacen falta, y que tampoco sabemos si es la solución 😅😓

Un saludo! 

Link to comment
Share on other sites

Bueno pues otra que ha llegado infectada 1.6.1.14

Esta es bastante mas compleja, han añadido codigo al fichero tools.php de classes...

Hace que se baje un fichero de una url y ahi empieza a infectar...

Esta esta mucho mucho mucho mas infectada que la otra, mismos pasos

image.thumb.png.d12123c6ce0b4f249cb1d1786af8a2c6.pngSe baja

image.png

Link to comment
Share on other sites

Hola!

Hay muchos casos y no hay información al respecto ni está informado... pero todos suelen ser 1.6, vale esta ya no tiene soporte... pero sigo sin entender por que en mi caso pasa ya que nunca se ha tenido la 1.6

Muy bien maquina. 

Un saludo.

P.D. en mi caso tools está bien. Ah y he vuelto a sustituir todas las carpetas por las originales de instalación. pero sigue la infección.

Edited by Sakura_CM (see edit history)
Link to comment
Share on other sites

hace 24 minutos, Sakura_CM dijo:

Hola!

Hay muchos casos y no hay información al respecto ni está informado... pero todos suelen ser 1.6, vale esta ya no tiene soporte... pero sigo sin entender por que en mi caso pasa ya que nunca se ha tenido la 1.6

Muy bien maquina. 

Un saludo.

P.D. en mi caso tools está bien. Ah y he vuelto a sustituir todas las carpetas por las originales de instalación. pero sigue la infección.

pues es muy raro , si has vuelto a subir , huele a infección de algun usuario o algun software utilizado.

Quien maneja la web? solo tu o mas gente?

No es normal que hayas limpiado y reinstalado y siga infectandose, ya te digo que por ahora las web que he tratado, todas ok.
 

O es cosa del hospedaje, como te dije, ayuda por aqui toda la que quieras, pero si necesitas a un profesional, cuenta conmigo con un coste

Link to comment
Share on other sites

2 hours ago, gusman126 said:

pues es muy raro , si has vuelto a subir , huele a infección de algun usuario o algun software utilizado.

Quien maneja la web? solo tu o mas gente?

No es normal que hayas limpiado y reinstalado y siga infectandose, ya te digo que por ahora las web que he tratado, todas ok.
 

O es cosa del hospedaje, como te dije, ayuda por aqui toda la que quieras, pero si necesitas a un profesional, cuenta conmigo con un coste

Hola, 

La diferencia, que imagino que tendrá que ver, entre los que has tratado tu y el esta web es la versión. 

También pensé en eso, yo se que no es ninguno de mis equipos infectado pues habría infectado otros prestashop que he hecho y trabajado, igual pasa con el hospedaje (que además revisaron, cambiaron el servidor por so acaso y todas las claves, activaron el firewall y me aseguran que esta todo bien por su parte) muchas de esos prestashops están en ese hospedaje, la otra persona que usa la web es la propietaria de la tienda, también pensé que podría ser ella y le comenté que lo mirase, cambio el antivirus de todos sus equipos al que uso yo en todos mis equipos y esta todo limpio por lo que lo he descartado también (mi antivirus detecta que la web no es segura cuando ni siquiera inmunify detecta nada ya, ojalá me dijera también el archivo) 

Por el momento si es verdad que han pasado más de dos semanas desde la última vez k se generaron los archivos y los borré, pero el antivirus sigue indicando que la web no es segura. 😩

A ver que pasa, sigo pendiente. 

Un saludo 

Edited by Sakura_CM (see edit history)
Link to comment
Share on other sites

1 hour ago, gusman126 said:

Vale, vale, entonces tienes que pedir que lo limpien de la base de datos ...

https://sitelookup.mcafee.com/

Creo que es esta

Crees que ahora el unico problema es que mi antivirus tiene la web incluida en la base de datos como peligrosa pero que no hay infección real ya? espero que sea así (aun sigo pendiente de ver si vuelve a pasar.

Mi antivirus no es mcafee es bitdefender, será otra web?

Gracias por la info

P.D. in this website says Reputation: minimal risk

Edited by Sakura_CM (see edit history)
Link to comment
Share on other sites

6 hours ago, gusman126 said:

Bueno pues otra que ha llegado infectada 1.6.1.14

Esta es bastante mas compleja, han añadido codigo al fichero tools.php de classes...

Cambia tu Servidor a otra compañia. Es uno de los pasos que debes hacer.

Edited by Nickz (see edit history)
Link to comment
Share on other sites

2 hours ago, gusman126 said:

Vale, vale, entonces tienes que pedir que lo limpien de la base de datos ...

https://sitelookup.mcafee.com/

Creo que es esta

He estado hablando con mi antivirus y lo han mirado y he hecho la solicitud de revision para que la quiten de la lista negra, a ver que dicen ya que ellos lo van a escanear tambien. Gracias.

Un saludo

Link to comment
Share on other sites

hace 21 minutos, Sakura_CM dijo:

He estado hablando con mi antivirus y lo han mirado y he hecho la solicitud de revision para que la quiten de la lista negra, a ver que dicen ya que ellos lo van a escanear tambien. Gracias.

Un saludo

Esa base de datos lo usan varios antivirus y herramientas.

En cerca de 6 años he tenido que pedir limpieza de 3 URL.

Hay otra web , la de Google para que haga una revisión de limpieza, es algo más que una URL, también hay que rellenar un formulario, creo que lo añadieron a la herramienta de search console 

Respecto a la nueva infección, el bot de infección ha detectado un módulo y lo ha infectado también, algo curioso no lo había visto nunca 

  • Like 1
Link to comment
Share on other sites

2 minutes ago, gusman126 said:

Esa base de datos lo usan varios antivirus y herramientas.

En cerca de 6 años he tenido que pedir limpieza de 3 URL.

Hay otra web , la de Google para que haga una revisión de limpieza, es algo más que una URL, también hay que rellenar un formulario, creo que lo añadieron a la herramienta de search console 

Respecto a la nueva infección, el bot de infección ha detectado un módulo y lo ha infectado también, algo curioso no lo había visto nunca 

Yo entiendo que habrá entrado en la lista dado que si ha estado infectada, me parece normal, si he tenido que rellenar un formulario que me han pasado los de mi antivirus. Pero era diferente sitio.

En google lo tuve que hacer una vez, pero ahora, de momento, no me lo ha vuelto a dectectar infectado a si que por ahi está bien.

No entiendo a que te refieres con lo último, al último que has limpiado? como que lo ha detectado un módulo y lo ha infectado también?

Un saludo

Link to comment
Share on other sites

Pues haciendo una búsqueda exhaustiva y haciendo pruebas , sin haber terminado llevo unas 6 horas aunque ya está todo localizado, limpio y actualizado . Faltan hacer pruebas ,ha sido complejo.

Es importante actualizar TODOS los módulos y verificar si han sido modificados, si es necesario verlo fichero por fichero se hace con herramientas de comprobación y teniendo módulos sin tocar ni modificar para ver las diferencias, saber código implicado y buscar ese código.

 

  • Like 1
Link to comment
Share on other sites

7 minutes ago, gusman126 said:

Pues haciendo una búsqueda exhaustiva y haciendo pruebas , sin haber terminado llevo unas 6 horas aunque ya está todo localizado, limpio y actualizado . Faltan hacer pruebas ,ha sido complejo.

Es importante actualizar TODOS los módulos y verificar si han sido modificados, si es necesario verlo fichero por fichero se hace con herramientas de comprobación y teniendo módulos sin tocar ni modificar para ver las diferencias, saber código implicado y buscar ese código.

 

Asi llevamos meses buscando.. comparando archivos manualmente, que herramienta de comprobación usas tu? los módulos (y prestashop) están todos actualizados y al día y desinstalados todos los que no se utilizan.

Un saludo

Link to comment
Share on other sites

11 minutes ago, gusman126 said:

Pues haciendo una búsqueda exhaustiva y haciendo pruebas , sin haber terminado llevo unas 6 horas aunque ya está todo localizado, limpio y actualizado . Faltan hacer pruebas ,ha sido complejo.

El problema de antivirus es que va a un paso adelantado al quien busca.  Posibles fuentes de infeccion son Server staff, desarrolladores no pagados, Clientes que fueron fraudado o se sienten aśi suficientemente fuerte en su odio para contratan a un servicio para tumbar o infectar comercios. Staff de modulos, que creen que son intacables, modulos no cuidados, la lista es larga. 

Link to comment
Share on other sites

hace 20 minutos, SAKSCM dijo:

Asi llevamos meses buscando.. comparando archivos manualmente, que herramienta de comprobación usas tu? los módulos (y prestashop) están todos actualizados y al día y desinstalados todos los que no se utilizan.

Un saludo

Solo puedo decirte que es la experiencia y contactos, por ejemplo para verificar que el módulo estaba infectado, además de entender el código he podido preguntar directamente al desarrollador y cuando le he dicho la versión y mostrado el código y fichero, me ha confirmado que esa versión la atacan ,que las actualizaciones hace que no sea tan fácil de ser atacada , pero es importante indicar que no es la puerta de infección.

A veces lo dicho la experiencia, conocimientos y contactos hace que sea más seguro.

Siento no poder decir el módulo, no era el único y habían ficheros base infectados.

El problema,no tengo claro cuál a sido la puerta a la infección, sospecho pero no confirmado.

 

  • Like 1
Link to comment
Share on other sites

Por si ayuda a que se desinfecten otras, otro caso, esta vez versión 1.7 , la infección estaba en un fichero .jpg por lo que era "casi" imposible limpiar si no se buscaba el codigo, por lo que los pasos que hubiera hecho, hubiera servido para poco, solo eliminando ese fichero y casi seguro un cambio de hospedaje, 

Infectado un .jpg 

  • Like 1
  • Thanks 1
Link to comment
Share on other sites

En 12/7/2022 a las 9:41 PM, SAKSCM dijo:

Asi llevamos meses buscando.. comparando archivos manualmente, que herramienta de comprobación usas tu? los módulos (y prestashop) están todos actualizados y al día y desinstalados todos los que no se utilizan.

Un saludo

Acabo de ver una web infectada usando un jpg, en la carpeta /IMG/

  • Like 1
  • Thanks 1
Link to comment
Share on other sites

2 hours ago, gusman126 said:

Acabo de ver una web infectada usando un jpg, en la carpeta /IMG/

Hola,

Bueno al menos ya no es el único 1.7

Con que ves el código en las Imágenes? En la raíz de IMG? 

El antivirus ya no me salta al entrar en el sitio, algo es algo. 

La última vez que se infecto fue el 21 de junio de momento no ha vuelto a pasar, no quiero cantar victoria aún pero cruzo los dedos para ver si ya nos hemos librado de ello. 

Muchas gracias @gusman126

Segurie informado. 

Espero que este hilo pueda ayudar o al menos orientar a otros usuarios con el mismo problema. 

Un saludo 

Link to comment
Share on other sites

hace 40 minutos, SAKSCM dijo:

Hola,

Con que ves el código en las Imágenes? En la raíz de IMG? 

El antivirus ya no me salta al entrar en el sitio, algo es algo. 

 

Espero que este hilo pueda ayudar o al menos orientar a otros usuarios con el mismo problema. 

Un saludo 

Pues como siempre un buscador de texto y luego un editor, en esta ocasión con un editor de texto a sido suficiente.

¿Entonces el antivirus usaba alguna base de datos para tener tu web en ella?

Link to comment
Share on other sites

1 hour ago, gusman126 said:

Pues como siempre un buscador de texto y luego un editor, en esta ocasión con un editor de texto a sido suficiente.

¿Entonces el antivirus usaba alguna base de datos para tener tu web en ella?

Gracias. 

Si parece que sí. 

Un saludo 

Link to comment
Share on other sites

Bueno pues ahora que parece que por fin esta resuelto el problema en esta web me llega un mail de prestashop que han encontrado esta vulnerabilidad... Pues si, parece ser que es una vulnerabilidad de prestashop, más concretamente del modilo de wishlist... 

Pego el correo con los enlaces  con la información y lo que parecen las soluciones para quien pueda servirle. 

Un saludo. 

Quote

PrestaShop Security Issue flag

In order to maintain the quality of our services, we inform you that a security vulnerability has been identified.

This vulnerability is likely to affect stores that have not carried out the latest recommended software updates.

In case you are affected, we invite you to take note of the details of this vulnerability in order to fix it as soon as possible and take the necessary measures that you or your Data Protection Officer may deem necessary.

In case your shop is compromised and in order to allow ynotify notify this personal data breach to the supervisory authority on this page of the website of the Commission Nationale de l'Informatique et des Libertés (hereinafter the "CNIL"), we share with you below the course of the investigations carried out, together with the first technical evidence in our possession.

On July 19, 2022, at 2:00 pm, several members of the PrestaShop ecosystem notified PrestaShop employees of security incidents.

A few hours later, it was confirmed by PrestaShop's technical teams that a malicious code ("payload") was inserted by a malicious third party on several e-commerce stores.

The same day at 10:00 pm, PrestaShop technical teams were able to understand and reproduce the attack and could confirm the existence of the security flaw that would allow a malicious third party to insert malicious code into the scripts of e-commerce stores hosted by the PrestaShop company and created with its solution.

The insertion of this malicious code, likely to allow this (these) third party (ies) to take control of the sites concerned seems to have been made possible by an "SQL injection", coupled with a security flaw foundoperators perators of these stores who have not performed the latest software updates recommended by the company PrestaShop.

On the morning of July 20, 2022, a report was written by the members of the crisis unit to describe the cyber attack, its causes and consequences identified, as well as the resolution and communication measures to be implemented.

To date, a criminal complaint is being filed as well as a declaration to the National Agency for the Security of Information Systems.

In case you need additional information, please contact us at our email address: [email protected].

For all purposes, we remind you that it is your responsibility to make the necessary software updates to ensure that the systems remain protected against security vulnerabilities.

In order to know more about "how the attack works, what to do to keep you shop safe and how to tell if you have been infected" please read the following article: here

Please be assured that we will do our utmost to assist you in the completion of your project.

Best regards,

PrestaShop

 

Link to comment
Share on other sites

hace 45 minutos, Carlos88 dijo:

Prestashop a mandado un correo con una alerta de seguridad por este tema.

Pongo un enlace para los que no estén enterados.

Alerta de seguridad

Incluye una posible solición.

Parece ser que afecta a PS1.6.0.10 y superiores y que PS1.7.8.2 ya no es vulberable.

Posible solución no, cerrar una puerta si.

Link to comment
Share on other sites

  • SAKSCM changed the title to (SOLUCIONADO PARCHE VULNERABILIDAD PRESTASHOP) Metodo de pago desconocido - Phishing

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...