Jump to content

Tienda hackeada


lafamilia0

Recommended Posts

Buenas noches, hoy me disponía a subir unos archivos a mi servidor por FTP, cuando me he encontrado unos archivos rarisimos:
 

xSHGx.php
 
shg.html

En el archivo shg.html, buscando con el explorador de windows, tiene esta descripción:

"hacked by Shkupi Team"

También tengo una carpeta como si en mi servidor, estuviera alojado wordpress, cuando nunca lo instalé, es la carpeta "wp-config"

Y más archivos desperdigados por más carpetas, vamos un hackeo en toda regla.

A alguien más le ha pasado? Si es así, como se soluciona? Solo borrando esos archivos?

Espero que alguien me pueda ayudar, porque en este mundo de los hackeos web si que estoy un tanto perdido.

Muchas gracias, un saludo.
Link to comment
Share on other sites

yo te recomendaría que borres los archivos y la base de datos y subas una copia de seguridad de antes que pasara
 

y luego inmediatamente actualiza la versión

 

( tambien sería recomendable que cambiaras el user y el nombre de la base de datos ... )

Edited by nersolar (see edit history)
Link to comment
Share on other sites

Hola, si no dispones de una copia de seguridad también podrás recuperar el sitio pero ya es algo más largo y tedioso, contando que si la copia no tiene menos de 24h estarás perdiendo facturas, altas de clientes y un largo etc..

 

Lo ideal es que trabajes con un proveedor que se preocupe por esos aspectos, ya que lo lógico es realizar copias de los datos en un plazo de tiempo razonable, añadir filtrados a las peticiones http (muchas de las inyecciones sql entran así..) a veces estos métodos no son la panacea pero ayudan bastante, como consejo básicamente eso, si dispones de copia restaurala, si no contacta con el proveedor u alguien que pueda limpiarla y valora usar un proveedor que te facilite lo que indico, que la diferencia de precio de unos a otros... no está solo en querer llenarse el bolsillo :)

 

Un abrazo y suerte!!

Link to comment
Share on other sites

Buenas tardes, muchas gracias por las contestaciones. el soporte técnico del hosting, me dijo que estas inyecciones no suelen afectar a la base de datos, que solamente revisando todas las carpetas de prestashop y eliminando los archivos "raros", y luego actualizando, o bien los módulos que hay por actualizar, o actualizar todo.

Lo que hice, fue descargar la tienda online, la tengo en localhost, y desde ahí fue donde hice la actualización a la última versión, actualicé desde la versión 1.6.0.14 a la última 1.6.1.6

Copia de seguridad no tenía, por lo que para evitar problemas futuros por si no está bien limpia. hacer una instalación limpia de prestashop en localhost, y volcar ahí las tablas importantes, de categorías, clientes, productos, etc ¿?

Muchas gracias.

Link to comment
Share on other sites

Buenas,

 

Te recomendaría que instalaras Sitelock ; es un antivirus que te analiza a tiempo real tu página y si encuentra malware lo elimina automáticamente. Además, siempre va bien si conoces la arquitectura de archivos de prestashop, todo aquello extraño lo borres. Además, mira la fecha de modificación de dichos archivos en el FTP. Si ese archivo estraño, está subido o modificado a una hora o dia en el cual no tocaste para nada esa web, tienes que dudar de ello.

 

Por otra parte también puedes descargarte todo el site y pasarle un antivirus, dependiendo el antivirus que tengas en tu pc, es capaz también de detectar malware generado en php.

 

Saludos y espero que se resuelva!

Link to comment
Share on other sites

Empezando por el principio, antes de encontrar esos archivos en el FTP, he detectado que habían dejado de funcionar los correos electrónicos, desde el backoffice, yendo a Parametros avanzados > Correo electrónico, ahí si sale que los envía correctamente, también haciendo en esa misma página abajo de todo, el envío de correo electrónico de prueba, tampoco funcionaba, supuse que algo estaba pasando y no sabía lo que.

Por lo que fue cuando entré por FTP y descubrí esos archivos. A parte de esos archivos, también encontré en la tabla ps_connections 3 enlaces que al final del todo sale el archivo arriba nombrado "shg.html"

En la tabla ps_connections_source también hay 3 enlaces, que también pone www.madleets.com/elhacker.cur

Adjunto una captura de lo que pone al entrar en los enlaces que tengo en las tablas.

Después también tengo muchísimos correos electrónicos raros, imagino que será que no llegan.

Copio el código de uno de los correos electrónicos modificado, por si acaso, porque despues de todo lo que estoy pasando estos días, como para recibir más ataques de esos o inyecciones, que no estoy enfermo ni nada jajajaja
 

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  [email protected]
    retry time not reached for any host after a long failure period
Reporting-MTA: dns; NOMBRE.SERVIDOR

Action: failed
Final-Recipient: rfc822;[email protected]
Status: 5.0.0
Return-path: <mi.correo.electronico>
Received: from familia by NOMBRE.SERVIDOR with local (Exim 4.87)
    (envelope-from <mi.correo.electronico>)
    id 1bReOO-0000jg-5m
    for [email protected]; Mon, 25 Jul 2016 13:49:52 +0200
To: Laura  Amor <[email protected]>
Subject: =?utf-8?Q?[lafamilia]_Confirmaci=C3=B3n_de_pedido?=
X-PHP-Script: tienda/modules/redsys/validation.php for 195.76.9.222
X-PHP-Originating-Script: 518:MailSend.php
From: familia <mi.correo.electronico>
Reply-To: familia <mi.correo.electronico>
Date: Mon, 25 Jul 2016 13:49:52 +0200
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="_=_swift-5769093785795fce028ac30.85399611_=_"
Content-Transfer-Encoding: 7bit
Message-ID: <[email protected]>
X-Exim-DSN-Information: Due to administrative limits only headers are returned

Gracias.

 

post-1206944-0-22989500-1469714427_thumb.png

Edited by lafamilia0 (see edit history)
Link to comment
Share on other sites

Buenas tardes Enrique, gracias por la contestación y por ese enlace, ya que eso no lo había visto

Pues, si he tenido uno de esos módulos instalados, concretamente el "Homepageadvertise" pero ya lo he desinstalado y eliminado, tengo que hacerle alguna limpieza más a la base de datos por ese módulo?

Muchas gracias

Link to comment
Share on other sites

Buenas tardes Enrique, gracias por la contestación y por ese enlace, ya que eso no lo había visto

 

Pues, si he tenido uno de esos módulos instalados, concretamente el "Homepageadvertise" pero ya lo he desinstalado y eliminado, tengo que hacerle alguna limpieza más a la base de datos por ese módulo?

 

Muchas gracias

Entiendo que tienes el tema warehouse,

el autor del tema ya envío un mail con el parche, ya que se trata de varios módulos

http://iqit-commerce.com/securityhotfix/

Parche

https://drive.google.com/file/d/0B6yfaCTJqFdeYldDNmg0d0Iwd1U/view

 

Si no dispones de acceso ssh para  ejecutar los comandos que se mencionan en

http://iqit-commerce.com/securityhotfix/

 

La unica opción sensata es descargarse la web entera y buscar patrones de scripts maliciosos..

Lo fácil es cuando estan en ficheros aparte, en ese caso se borran. En el caso de estar incrustados en ficheros estándards, se debe borrar el script del fichero (puedes machacarlo con el original de prestashop)

Link to comment
Share on other sites

No tengo el tema warehouse, solo estaba utilizando ese módulo en concreto, pero con el tema por defecto de prestashop.

He visto en post que me envíaste en el primer mensaje, donde hablan del tema warehouse, que hay un script para poder limpiarlo, lo estoy buscando, pero no lo encuentro.

Me aconsejas que haga un copia y pega, de todos los archivos de prestashop en la tienda? Se podría solucionar así el problema, el resto de la tienda funciona correctamente, el problema está con los correos electrónicos.

Un saludo.

Link to comment
Share on other sites

script no hay ninguno, en el post que te comento

http://iqit-commerce.com/securityhotfix/

se mencionan varios comandos unix para detectar ficheros maliciosos. Se trata de buscar patrones y diversas técnicas

 

Lo del copia y pega puede funcionar para eliminar los scripts inyectados en el core y módulos oficiales.  Pero existe la posibilidad que esten en otros puntos (ficheros index.php dentro de imagenes..etc). El tema esta que una vez han entrado pueden haber metido sus scripts en los lugares que menos imaginas..

 

Prueba a machacar los ficheros del core con los "estandard", si tienes suerte se solucionará , sino .. lo dicho descarga de la web y ha analizarla ya que no puedes estar seguro de donde han metido su código

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...