Jump to content

Ataques a nuestras web por favor ayuda de profesionales prestashop


Recommended Posts

En las demás versiones de Prestashop no hay constancia de que exista esa vulnerabilidad en concreto.

 

pues ya tienen una nueva yo fui quien abrio este pos hace una señana y tengo esta version asi que estamos fastidiados ya no se que hacer

encontre ese codigo en las Versiónes de PrestaShop: 1.4.8.2-1.4.6 y 1.4.7

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

eliminado despues de 3h otra vez el pt bicho instalado

 

Pudiste mirarlo con dreamweaver? es importante que no quede nada, absolutamente nada de codigo malicioso, aunque te dejes uno el tio cerdo se reproduce...xD yo en mi caso tuve que buscar estas dos palabras: whitecada y c3284d ,aunque cada uno por lo que e visto tiene diferentes.

 

Ayer la web sobre las 4am quedo limpia y demomento no a entrado nada y sigo con los modulos de twitter y todo el rollo.

Link to comment
Share on other sites

Pudiste mirarlo con dreamweaver? es importante que no quede nada, absolutamente nada de codigo malicioso, aunque te dejes uno el tio cerdo se reproduce...xD yo en mi caso tuve que buscar estas dos palabras: whitecada y c3284d ,aunque cada uno por lo que e visto tiene diferentes.

 

Ayer la web sobre las 4am quedo limpia y demomento no a entrado nada y sigo con los modulos de twitter y todo el rollo.

 

no se como buscar el codigo con ese programa

Link to comment
Share on other sites

mmm pero si yo tengo PrestaShop™ 1.4.7.3 y me comentan de loading que me pusieron el parche... haber si no hablamos de lo mismo...xD

 

Nosotros únicamente tenemos constancia de la vulnerabilidad en esas versiones mediante este post oficial: http://www.prestashop.com/forums/topic/126114-please-read-security-procedure/

 

Esto no descarta que puedan existir otras vulnerabilidades en el propio Prestashop o en algún módulo que se pueda instalar.

 

En cuanto a tu caso particular lirelok, te abrimos un ticket de soporte desde Loading para intentar recabar más información, prefiero no hacerlo por aquí por temas de privacidad.

 

Un saludo.

Link to comment
Share on other sites

Nosotros únicamente tenemos constancia de la vulnerabilidad en esas versiones mediante este post oficial: http://www.prestasho...rity-procedure/

 

Esto no descarta que puedan existir otras vulnerabilidades en el propio Prestashop o en algún módulo que se pueda instalar.

 

En cuanto a tu caso particular lirelok, te abrimos un ticket de soporte desde Loading para intentar recabar más información, prefiero no hacerlo por aquí por temas de privacidad.

 

Un saludo.

 

loadinges, comentaban los comapañeros en el hilo que el problema viene de los hosting´s, hay gente afectada que no usa prestashop, sobre el ticket no tengo ninguno en relacion sobre este tema, yo las 2 veces que hable de este tema lo hice por el chat de loading, inlcuso me comentaron que pondrian un parche y que no hacia falta poner un ticket, creo que lo que se refiere del modulo es otra cosa.

 

En principio no persiste el problema, asi que por mi parte esta solucionado, si necesitan cualquier cosa, digame donde referirme.

Link to comment
Share on other sites

Nadie me contestas esto en el foro de ingles mi hosting dice que es prestashop y bosotros que ellos soy novato en esto

Creo que no es un problema de prestashop es el problema de la seguridad de tu hosting. Lo siento por mi Inglés

mi hosting es de dondominio puedes avisarles ellos dicen que esto es culpa de prestashop ati te aran mas caso

 

siento mucho insistir en esto pero hoy por hoy vivo y como de prestashop me encanta esta aplicacion y no quiero dejar de usarla

por favor los moderadores podeis ayudarnos gracias

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

Un aporte más, estas inyecciones de código son bastante putas en algunos casos y pueden pringar el ordenador y eso nos lleva a una nueva sorpresa si entra en juego... Filezilla! En resumen, la inyección puede meternos un bichito en la máquina que va a buscar la carpeta APPDATA donde Filezilla guarda los passwords. Eso permite que una persona externa (un hijo de su +*+* madre), use nuestros passwords para entrar directamente en nuestro(s) FTP(s) y pringarnos todos los archivos que pueda

 

Also there is new blackhole in FILEZILLA so hacker steals all your passwords from your computer stored in APPDATA folder which is hidden but data in that folder is text raw formated and anyone can easy read and steal all your FTP passwords.

 

http://www.slavisaristic.com/blog/388/

Link to comment
Share on other sites

Mike Kranzler, el 18 de Julio 2012 - 08:02, dijo:

Hola elitemfitness,

Tuve que nuestros desarrolladores se compruebe por mí, y Nadie es correcta, que el código no tiene nada que ver con PrestaShop. Se trata de un problema con su proveedor de hosting. Le sugiero que cambie su base de datos y contraseñas de FTP, a continuación, póngase en contacto con su anfitrión para resolverlo.

 

-Mike

 

hola Nadie es nuestro trabajo es muy apreciado en España, muchas gracias por su ayuda

IMPORTANTE

http://wmaraci.com/forum/wordpress/ftp-malware-virusu-temizleme-11861.html

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

Un aporte más, estas inyecciones de código son bastante putas en algunos casos y pueden pringar el ordenador y eso nos lleva a una nueva sorpresa si entra en juego... Filezilla! En resumen, la inyección puede meternos un bichito en la máquina que va a buscar la carpeta APPDATA donde Filezilla guarda los passwords. Eso permite que una persona externa (un hijo de su +*+* madre), use nuestros passwords para entrar directamente en nuestro(s) FTP(s) y pringarnos todos los archivos que pueda

 

 

 

http://www.slavisaristic.com/blog/388/

 

A mi el hosting me recomienda analizar mi pc por ese motivo, jordi eso solo le pasa a FILEZILLA? osea que seria apropiado a cambiar de soft? alguna recomendacion?

Link to comment
Share on other sites

A mi el hosting me recomienda analizar mi pc por ese motivo, jordi eso solo le pasa a FILEZILLA? osea que seria apropiado a cambiar de soft? alguna recomendacion?

 

Me he bajado la última actualización, se ve que eso ya está parcheado. De todos modos y por precaución, he eliminado todos los sites del filezilla y he vuelto al leech ftp que, aunque sea un cagarro, no da esos problemas :)

Link to comment
Share on other sites

Sip. Yo he modificado todos los FTPs. Con los wordpress (que es donde me ha entrado a mí) he modificado los useradmins y los passwords también. Además, he instalado el wp firewall, por si os puede ayudar.

 

En el caso de Prestashop, lo mejor es usar el parche de loading y vigilar muy de cerca los header.php, header.tpl y el .htaccess.

Link to comment
Share on other sites

Comentar que me ha sucedido lo mismo, aunque con otro código, el archivo se añadió en el index.php del admin y en los .htacces una redirección a una web. También me paso en worpress, en este caso aparecieron archivos .htacces con redirecciones.

 

He aplicado el parche que se comenta en este hilo y limpiado los archivos, a ver que sucede :)

 

 

Un gran aporte el realizado por todos en este hilo, gracias!

Link to comment
Share on other sites

Comentar que me ha sucedido lo mismo, aunque con otro código, el archivo se añadió en el index.php del admin y en los .htacces una redirección a una web. También me paso en worpress, en este caso aparecieron archivos .htacces con redirecciones.

 

He aplicado el parche que se comenta en este hilo y limpiado los archivos, a ver que sucede :)

 

 

Un gran aporte el realizado por todos en este hilo, gracias!

 

M'alegro! :D

Link to comment
Share on other sites

ATENCION! revisen los ordenadores mediante algun anti-malware, ya que la infeccion por lo menos a mi me a dejado un troyano que hace una semana no tenia, posiblemente pueda haver venido a traves de esto.

Link to comment
Share on other sites

Cierto, yo tengo la versión pro... y no veas la cantidad de webs con prestashop que visito y son bloqueadas.

 

Saludos

 

Sip y wordpress también. El malware se está distribuyendo cosa fina. Como ya dije, mucho ojo a los htaccess

Link to comment
Share on other sites

Yo por mi parte si tenía 2 troyanos en el pc, usé Anti-Malware , y Spybot - Shearch & Destroy (este último muy recomendable)

 

Bien hecho! además, yo cambiaría todos los passwords del FTP, como te he comentado el *^** virus este te pilla los passwords del FileZilla

  • Like 1
Link to comment
Share on other sites

Bien hecho! además, yo cambiaría todos los passwords del FTP, como te he comentado el *^** virus este te pilla los passwords del FileZilla

 

Correcto jordiob, nosotros recomendamos fervientemente cambiar las contraseñas cuando se producen ataques de estos y no volver a utilizarlas porque con el tiempo pueden volver a hacer un barrido y colarse de nuevo.

 

Un saludo

Link to comment
Share on other sites

Correcto jordiob, nosotros recomendamos fervientemente cambiar las contraseñas cuando se producen ataques de estos y no volver a utilizarlas porque con el tiempo pueden volver a hacer un barrido y colarse de nuevo.

 

Un saludo

 

Correctísimo. Además, si podemos cambiar los usernames de las backoffice de Prestashop y Wordpress, ya sería la hostia ;)

 

Gracias por los aportes loading!

  • Like 1
Link to comment
Share on other sites

Hola otra mas con el mismo problema tengo 4 webs infectadas, hace 1 mes y medio me infecto unas 25 webs, intente todo como vosotros pero la única opción que me resulto fue hacer un back up de algunas y en otras abrir un usuario nuevo en el servidor y empezar de 0 cambiando contraseñas etc etc , fue un caos total y ahora otra vez con la basura esta,suerte que solo me entro en 4 si vamos a estar así cada 2 por 3, los de prestashop podrían hacer algo? si alguien lo consigue solucionar sin empezar de 0 que me diga que le pago lo que sea que estoy hasta el moño del .ru

Link to comment
Share on other sites

Hola otra mas con el mismo problema tengo 4 webs infectadas, hace 1 mes y medio me infecto unas 25 webs, intente todo como vosotros pero la única opción que me resulto fue hacer un back up de algunas y en otras abrir un usuario nuevo en el servidor y empezar de 0 cambiando contraseñas etc etc , fue un caos total y ahora otra vez con la basura esta,suerte que solo me entro en 4 si vamos a estar así cada 2 por 3, los de prestashop podrían hacer algo? si alguien lo consigue solucionar sin empezar de 0 que me diga que le pago lo que sea que estoy hasta el moño del .ru

 

Sigue estos pasos: http://jordiob.com/2012/07/como-resolver-los-ataques-de-malware-yo-virus-a-prestashop/ y, sobre todo, cambia los passwords de los FTP

Link to comment
Share on other sites

Siguiendo los pasos que te indica jordi conseguiras erradicarlo, una vez desinfectado, analiza tu pc en busca de troyanos que muy posiblemente te haya entrado, seguidamente eliminar "Filezilla" si lo usas , ya que por el es donde infecta las web´s, busca otro cliente FTP, a mi recomendaron "WinSCP", como dice jordi debes cambiar las contraseñas de FTP y aplicar los parches para solventar la vulnerabilidad.

 

Tambien me indica loading que mi version prestashop, en este caso 1.4.7.3, esta versión esta libre de esta vulnerabilidad.

 

Después de revisar los logs hemos comprobado que este hack vino por FTP, y no por la vulnerabilidad de Prestashop como te indicamos erróneamente. Se puede comprobar desde Plesk, en sitios web y dominios -> mostrar operaciones avanzadas -> registros -> xferlog_processed. Se pueden ver varias IPs distintas que corresponden al extranjero, y además las fechas en las que se modificaron los archivos coinciden con estos accesos.

 

Demomento ya llevamos 3 dias limpios y sin rastro de infeccion, parece que el problema esta resuelto.

Link to comment
Share on other sites

Buenas a tod@s, hablais de las contraseñas y usuarios a nivel administración. Y de como desinfectar algo que está infectado... Despues de reinventar la rueda y quedar como expertos en el tema. Se os olvida un dato muy importante... y es el, por qué está en vuetra web y que es lo que hace el malware :o (no viene de vuestros ordenadores, ni acceden por el ftp)... no está ahi para hacer la puñeta, está para otro motivo... pero lo dejo en manos de los expertos para que lo expliquen mejor.

 

Saludos statictic

 

Si te refieres a coger datos de tus usuarios, no está ahí por eso. No accede a la BD ni a la backoffice, solo a archivos comunes que permitan mover el iframe por todo tu site con el mínimo de inyecciones.

Link to comment
Share on other sites

  • 1 month later...

a ver...y si ya no le va a modificar nada a la tienda...por que no eliminan los archivos con codigo malicioso y vuelven a subir el original que de seguro lo tienen en local....y dos...cambiar los permisos de escritura del archivo a solo lectura.....esto servira??

Link to comment
Share on other sites

a ver...y si ya no le va a modificar nada a la tienda...por que no eliminan los archivos con codigo malicioso y vuelven a subir el original que de seguro lo tienen en local....y dos...cambiar los permisos de escritura del archivo a solo lectura.....esto servira??

 

No. Tienes que modificar el password de tu FTP, no es necesario cambiar los permisos de las carpetas

Link to comment
Share on other sites

  • 6 months later...

Siguiendo los pasos que te indica jordi conseguiras erradicarlo, una vez desinfectado, analiza tu pc en busca de troyanos que muy posiblemente te haya entrado, seguidamente eliminar "Filezilla" si lo usas , ya que por el es donde infecta las web´s, busca otro cliente FTP, a mi recomendaron "WinSCP", como dice jordi debes cambiar las contraseñas de FTP y aplicar los parches para solventar la vulnerabilidad.

 

Tambien me indica loading que mi version prestashop, en este caso 1.4.7.3, esta versión esta libre de esta vulnerabilidad.

 

 

 

Demomento ya llevamos 3 dias limpios y sin rastro de infeccion, parece que el problema esta resuelto.

 

¿Creéis que realmente es necesario "eliminar "Filezila""?

Si limpiamos la web, pasamos el antivirus por nuestro ordenador y cambiamos las contraseñas, deberíamos poder continuar usando Filezila, ¿no? Lo pregunto además porque, por otra parte, he tenido problemas con las transferencias de archivos, pero aún no tengo claro a qué atribuirlo.

 

Espero vuestros comentarios :)

Link to comment
Share on other sites

Hola a todos. No creo que sea necesario eliminar Filezilla, sólo con cumplir ciertas normas de seguridad puede usarlo sin ningún temor. Por ejemplo, puedes desactivar que Filezilla te guarde las contraseñas (Opciones > Interfaz), pasar el anti-malware de vez en cuando, y por supuesto disponer de un antivirus instalado.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
×
×
  • Create New...