Chińskie spam linki - włamanie przez bota

[Timmlion]

Cześć wszystkim,

 

od niedawna administruję sklepem postawionym na PrestaShop a wcześniej nie miałem z Prestą doświadczenia. Dziś jak przeglądałem mapę strony zauważyłem dziwne linki. Podsyłam przykładowy:

 

http://sklep.growatt.pl/yvyimaiizzqwm-a106-ujc-r41813-qe/

 

 

 

z tego co wstępnie ustaliłem jest ich ponad 10K. 

 

Wygląda na to że miało to miejsce w okolicach marca tego roku, i najprawdopodobniej był to bot który wykorzystał jakaś lukę.

 

Macie jakieś doświadczenie w tego typu sytuacjach ? jakiś pomysł jak się tego wszystkiego pozbyć ? 

 

Ze wstępnych działań zablokowałem dostęp wszystkim użytkowników ( na wypadek jak by to był jakiś wyciek hasła ) i stworzyłem nowe konto Super Admina

 

EDIT:

Trochę z tym pokombinowałem i odświeżyłem plik .htaccess ( wyłączając i włączając ponownie przyjazne linki ) zmieniłem też "Przekieruj do kanonicznego URL" z 302 na 301. Któraś z tych operacji pomogła ponieważ teraz już po wejściu na link wyskakuje nam błąd 404.

Edited June 29, 2017 by Timmlion (see edit history)

[endriu107]

Tylko to raczej nie rozwiązało problemu, prawdopodobnie masz zainfekowane pliki na serwerze i sytuacja się powtórzy więc poszukaj jaką dziurą się tam ktoś dostał załataj ją i przeskanuj pliki pod kątem złośliwego kodu.

[Timmlion]

Dzięki za odpowiedź!

 

Też się boję że raczej wyleczyłem tylko objawy niż przyczyny. Masz może jakąś sugestię jak zabrać się za przeszukiwanie kodu ? 

[endriu107]

Na początek sprawdź które pliki są zmienione i które są dodane a nie powinno ich być. Czasami pliki są tak sprytnie schowane że ciężko je odnaleźć a kod tak napisany że skanery go nie wyłapują jako potencjalne zagrożenie więc trzeba znaleźć jakiś punkt zaczepienia, a najważniejsze pozbyć się dziury.