Fallo de seguridad 1.7.4.1

[fnieto]

Hemos creado una tienda en prestashop 1.7.4.1 totalmente nueva, y nos han secuestrado la sesión de backoffice, reistalando de nuevo todas las carpetas de nuevo y eliminando todos los usuarios tanto a nivel backoffice como ftp, cambiando claves en base de datos, vuelve a colarse y colocar mensajes amenazantes solicitando un pago a a cambio de no enviar un mail masivo a toda la base de contactos de prestashop.

Adjunto captura de los mensajes y su cronologia:

 

¿Teneís constancia de algún fallo de seguridad en la versión?

[gusman126]

Lo primero que tienes que hacer es enviar un email a todos tus clientes avisando que te han atacado y que vas a tener la pagina web desactivada hasta solucionar el problema,

Debes avisar por ley a todos los clientes que tu tienda ha sido comprometida.

Envia un mensaje parecido a este

 

"La cuenta que tienes en nuestra tienda (nombre) puede estar comprometida, Hemos sido atacados por hackers y nos han capturado y robado los datos de los clientes.

En ningun caso tenemos datos de tarjetas de nuestros clientes ni datos bancarios o datos personales ademas de los añadidos obligatoriamente para enviar los productos comprados.

Hasta que solucionemos el problema la pagina web estará desactivada, te recomendamos que una vez este activa ( te avisaremos ) cambies la contraseña de tu cuenta 

Disculpa las molestias "

 

Puede que haya habido un bug o error , pero no se esta oyendo nada por el foro o internet que sea un problema general de Prestashop, lo mas seguro es que tengas algun virus o programa que te este capturando tus contraseñas.

Luego lo que tienes que hacer es 

usar un ordenador con Antivirus, ordenador limpio o incluso uno nuevo.

Recuperar copia de seguridad del servidor dias anteriores al hackeo.

Cambiar contraseñas de tus email, contraseña de hospedaje, cambiar contraseñas de FTP , cambiar contraseña de usuarios MYSQL y base de datos , cambiar todas las contraseñas de todos los usuarios de la tienda.

Cambiar contraseñas inmediatamente, TODAS, 

No puedes evitar que envien esa información, no eres el primero ni el ultimo que le pasa, incluso grandes empresas, pero debes avisar lo antes posible a tus clientes

 

 

Edited August 25, 2018 by gusman126 (see edit history)

[aixos]

Hola,

pásale un antivirus y antimalware a todo tu ordenador y cuentas de tú hosting, tal como te comenta @gusman126

Las contraseña han de ser al menos 10 digitos alfanumericos ( mayúsculas, minúsculas, números y símbolos )

ejemplo de contraseña:de 10 digitos:  A3bz2*PwR* 

La solución drástica si nada te funciona y se te repite de nuevo es:

Hacer una instalación limpia en tu ordenador, o sea formatear todo el disco y empezar desde cero ( esta solución no falla, todo virus desaparce  )

Se supone que lo tienes, has de tener un antivirus activado siempre online en tu ordenador, para que no se cuele nada

Cuando tengas todo controlado y estabilizado, te actualizas a prestashop 1.7.4.2 , que tiene muchas mejoras y parches

Saludos

Edited August 26, 2018 by aixos (see edit history)

[PSBlog]

¡Buenos días!

Probablemente tengas un módulo con un fallo conocido y por eso entran una y otra vez. Si quieres ponerles difíciles las cosas puedes usar un addon de seguridad, como el nuestro:

https://addons.prestashop.com/es/seguridad-y-accesos/26644-bloqueador-tor-e-ip.html

 

A parte de ser preventivo también es correctivo, incluyendo un escáner de PHP shells y archivos maliciosos y sobretodo negando la entrada a IP's que ya son conocidas por realizar ataques. 

Si necesitas de una auditoría también podemos ayudarte, preparando un informe de todo lo que se encuentre que te ayudará a presentar denuncia a la policía, que no estaría de más hacerla.

La prioridad ahora sería:

- Desinstalar módulos de terceros

- Usar un escáner de PHP shells para limpiar posibles infecciones

- Volver online y esperar para ver si repite y así descartar

 

Como bien te dicen el RGPD te obliga a informar a tus usuarios de la brecha de seguridad. Sea como sea no pagues esos 0.5 BTC (más de 2.000 euros!)

 

¡Un saludo!

 

[ventura]

Estaría bien para tener mejor perspectiva, que aportaras informaciones sobre el tipo de hosting que tienes contratado y la manera a la que accedes normalmente a los archivos, ftp, sftp, gestor de archivos del hosting ..... Modulos de terceros que tienes instalados y cosas asi.

Saludos

[ventura]

On 27/8/2018 at 9:18 AM, PSBlog said:

 

Sea como sea no pagues esos 0.5 BTC (más de 2.000 euros!)

 

¡Un saludo!

 

Para ser exactos a cambio de hoy 3.100€.

No los pagues ni bajo los efectos del alcohol

[AMA1MD]

¿Tienes más información? ¿has resuelto el problema?

Cuando dices que han secuestrado la sesión creo que sabes de que hablas con lo que entiendo que ya habeis actualizado a la última versión.