Jump to content

Llamada a un recurso sospechoso

five

By five
in Discusión general

 Share

Recommended Posts

gusman126 Proficient

gusman126

Posted
Posted
hace 5 horas, five dijo:

Hola, tenemos un prestashop 1.7.6.5 y estamos intentando descubrir una llamada que se hace desde el server a este recurso

https://scdn.cxence.net/frontend/map.js?_=1663172434452

¿Sabéis quién llama a este recurso y quién es?

Gracias!

Lo tienes añadido en un fichero del theme, está haciendo una llamada a un sitio que Google tiene como un sitio infectado.

Lo he visto en otra plantilla, debes eliminar el código que lo llama, como te digo es un .js del theme

Cuidado con eso, Google es casi seguro que te va a poner como URL infectada y si te añade como posible virus es difícil salir, además de las bases de datos de antivirus que te añadirán como página infectada.

 

Link to comment
Share on other sites
five Contributor

five

Posted
  • Author
Posted

Buenas, ya encontramos el problema.

Se ve que desde el formulario e contacto habían subido un PDF con un script que este se pudo en una etiqueta de sequra de llamada de una css que se insertaba en el footer de la template warehouse haciendo esta llamada. Todo esto con codificación base64, lo que no sabemos es lo que hace.

La solución ha sido eliminar este script del ocultando este q era donde se inserta 

$iqitTheme.fc_txt nofilter

Lo que me gustaría es saber como ha podido pasar y como tener una monitorización para estar avisado de todo esto.

Si sabéis de algo, gracias y un saludo

  • Like 1
Link to comment
Share on other sites
gusman126 Proficient

gusman126

Posted
Posted
hace 34 minutos, five dijo:

Buenas, ya encontramos el problema.

Se ve que desde el formulario e contacto habían subido un PDF con un script que este se pudo en una etiqueta de sequra de llamada de una css que se insertaba en el footer de la template warehouse haciendo esta llamada. Todo esto con codificación base64, lo que no sabemos es lo que hace.

La solución ha sido eliminar este script del ocultando este q era donde se inserta 

$iqitTheme.fc_txt nofilter

Lo que me gustaría es saber como ha podido pasar y como tener una monitorización para estar avisado de todo esto.

Si sabéis de algo, gracias y un saludo

Esa solución no te va a solucionar el problema debes actualizar el sistema y la plantilla, han avisado que hay un fallo de seguridad en el modulo de blog de warehouse, no se desde que versión

 

Link to comment
Share on other sites
  • 2 weeks later...
gusman126 Proficient

gusman126

Posted
Posted
hace 4 horas, five dijo:

Muchas gracias, miramos el cleaner.php, porque nos ha vuelto a pasar. 

Me da miedo pasar este script en un servidor en PRO que está funcionando con miles de visitas.

No se 

Pasar el cleaner? No debería afectar a nada, a no ser que tengas código que detecte como un virus.

Haz un clon y prueba para estar más seguro.

Pero si te ha pasado otra vez , una infección o lo de pago con tarjeta falsa, te arriesgas a una denuncia por estar hackeado y no avisar o cerrar la web/solucionar el problema 

Link to comment
Share on other sites
five Contributor

five

Posted
  • Author
Posted

Buenas, ya hice el clon y pase el cleaner q fue perfecto, me dijo que efectivamente tenía un malware, en un archivo composer.php me lo baje por FTP y el Avast me decía que este archivo tenia php:backdoor-BU [Trj] q es un malWare, procedimos a eliminarlo. 

Más info aqui: 
https://adwareremoval.info/phpbackdoor-bu-trj/

Este scrip lo recomiendo al 100%

Un saludo y gracias por todo 

 

 

  • Like 1
Link to comment
Share on other sites
gusman126 Proficient

gusman126

Posted
Posted
hace 2 horas, five dijo:

Buenas, ya hice el clon y pase el cleaner q fue perfecto, me dijo que efectivamente tenía un malware, en un archivo composer.php me lo baje por FTP y el Avast me decía que este archivo tenia php:backdoor-BU [Trj] q es un malWare, procedimos a eliminarlo. 

Más info aqui: 
https://adwareremoval.info/phpbackdoor-bu-trj/

Este scrip lo recomiendo al 100%

Un saludo y gracias por todo 

 

 

Pues revisa de vez en cuando, porque si han infectado una vez lo van a seguir haciendo

Link to comment
Share on other sites
  • 3 months later...
say_01. Newbie

say_01.

Posted
Posted

hola,  viendo el tema encuentro similitud con nuestra tienda de e-commerce  tenemos la version 1.7.4.2 de prestashop y la semana pasada nos econtramos con estos problemas  y no sabemos como solucionarlo o 

por donde  empezar a  buscar alguna respuesta para poder solucionar (adjunto imagenes) 

espero me puedan ayudar 

PROBLEMAS-PRESTASHOP 23.ENE.2023_Mesa de trabajo 1.jpg

PROBLEMAS-PRESTASHOP 23.ENE.2023-02.jpg

PROBLEMAS-PRESTASHOP 23.ENE.2023-03.jpg

Link to comment
Share on other sites
idnovate.com Proficient

idnovate.com

Posted
Posted
13 hours ago, say_01. said:

hola,  viendo el tema encuentro similitud con nuestra tienda de e-commerce  tenemos la version 1.7.4.2 de prestashop y la semana pasada nos econtramos con estos problemas  y no sabemos como solucionarlo o 

por donde  empezar a  buscar alguna respuesta para poder solucionar (adjunto imagenes) 

espero me puedan ayudar 

PROBLEMAS-PRESTASHOP 23.ENE.2023_Mesa de trabajo 1.jpg

PROBLEMAS-PRESTASHOP 23.ENE.2023-02.jpg

PROBLEMAS-PRESTASHOP 23.ENE.2023-03.jpg

Ejecuta este script:

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...