prestashop 1.6 atacado - paypal

[edsmiths]

Boa tarde,

Coloco aqui esta questão uma vez que não tive resposta na versão inglesa do fórum.

No fim do ano passado, um site que ajudei a construir teve um ataque de hackers.

Além de alterações no index.php (na homepage surgia o banner do hacker) houve também injecção de vários ficheiros .php por todo o alojamento. Em paralelo, o servidor de e-mail começou a enviar spam.

O index.php foi rapidamente corrigido e o site voltou a funcionar normalmente. Instalei também o módulo recaptcha e desinstalei alguns módulos como o "send to a friend" que resolveu o problema de envio massivo de spam. Fui ainda eliminado todos os ficheiros suspeitos via ftp.

A situação mais grave ocorreu com a modificação das ligações API do módulo paypal para uma conta estranha. Após eliminação e atualização do módulo paypal julgava que o problema estaria solucionado. Mas acontece que no módulo, as API keys são frequentemente alteradas.

Para piorar a situação, não consigo atualizar via 1 click upgrade o prestashop... ocorre sempre uma connection timeout. A vesrão atual é a 1.6.1.18

Vinha perguntar se já se depararam com situação semelhante e quais as pastas/ficheiros mais suscetíveis de serem infetados ou onde possa procurar ficheiros maliciosos.

Desde já o meu obrigado,

Eduardo

 

 

 

 

 

[Rodrigo B Laurindo]

Olá @edsmiths

Seu servidor está configurado para aceitar conexão remota ao servidor MySQL?

Foram trocadas todas as senhas de usuários do back office e do banco de dados após a recuperação?

Os arquivos modificados tinham um padrão, como por exemplo sempre um código adicionado à primeira linha?

[edsmiths]

Obrigado pelo input rblaurin.

 

Sim, existem um módulo (emagicone) que conecta com o mysql. Existem uns arquivos  php (bridge) na raiz do site que julgo que fazem essa ligação. Como não fui eu que instalei ou configurei este módulo não tenho muito conhecimento sobre o mesmo.

Após o ataque trocámos todas as senhas (cpanel, ftp, admin), excepto as do mysql... que irei fazer de imediato.

Não me recordo exatamente do tipo de alterações nos arquivos (entretanto foram apagados)... mas creio que não tinham esse padrão de adição de código na 1ª linha.

Mais uma vez obrigado

 

 

 

 

 

[Rodrigo B Laurindo]

Perceba que se a conexão com MySQL for feita através de arquivos no servidor, não necessariamente o servidor estará aceitando conexões remotas. Creio que este é um dos pontos chave. Se o servidor não aceita conexões remotas, o código malicioso deve estar em seu servidor. Seu servidor tem cPanel? Tentou um Scan com ClamAV?

[Rodrigo B Laurindo]

Procure também em seu servidor arquivos PHP que contenham no código as palavras base64 ou gzinflate, por exemplo. São suspeitos.

E, claro, os que façam referência a PayPal.

[edsmiths]

Obrigado rblaurin

Sim, tenho a certeza que existe um backdoor qualquer.

O servidor é partilhado e será complicado instalar o ClamAV.

Tenho uma cópia do site no meu computador, poderia recomendar um programa que corresse em windows de modo a fazer um scanner aos arquivos .php?

Obrigado mais uma vez.

 

 

[Rodrigo B Laurindo]

Uma boa opção é o Notepad++

[edsmiths]

Olá rblaurin,

O notepad++ é útil para verificar arquivos individuais.

A ideia é fazer um scanner a todas as pasta e arquivos. Já corri o windows defender mas não detetou nada.

Recomenda algum programa que pesquise trojans e que possa ser instalado no windows?

 

cumprimentos

[Rodrigo B Laurindo]

O Notepad++ pode pesquisar todos os arquivos PHP em uma pasta, recursivamente, buscando por ocorrências das palavras base64 e gzinflate

[edsmiths]

Bom dia,

Nem sabia dessa funcionalidade do notepad++, pelos vistos é um autêntico canivete suiço.

Estou a varrer as pastas.... adicionei também "eval".

Obrigado

 

[selectshop.at]

Acredito que o seu servidor foi atacado e infectado através de uma página WordPress. Nestes últimos dias XMLRPC e WLWMANIFEST estao sendo atacados em todos os servidores. Estes dois ficheiros sao scripts que abrem apis.

O clamav somente o administrador do servidor pode instalar, por isso vc. deveria além de mais nada entrar em contato com o administrador do servidor, se o seu Prestashop estiver limpo. Servidores partilhados sempre possuem o problema de risco com outras páginas no mesmo host.

Quanto ao emagic: eu também o uso, como conexao direta com o banco de dados e em alguns clientes através de bridge. Nao tenho verificado nenhum problema com ataques ou código malício. No meu servidor corre o clamav e o RKHunter e ambos nao mostram nada com risco nesta software.

[edsmiths]

Venho apenas fazer um update e encerrar esta thread.

Não conseguimos identificar o código malicioso e a opção foi fazer um fresh install com a mesma versão do prestashop e reinstalar o template e os módulos. Assim resolvemos o problema.

Quero também agradecer os inputs dados pelo Rodrigo Laurindo e selectshop.at.

Obrigado.

[selectshop.at]

Outra alternativa para o notepad++ seria o  PSPad, idem gratuíto.

[Rodrigo B Laurindo]

3 hours ago, selectshop.at said:

Outra alternativa para o notepad++ seria o  PSPad, idem gratuíto.

Também muito bom.