Jump to content

Recommended Posts

Boa tarde,

Coloco aqui esta questão uma vez que não tive resposta na versão inglesa do fórum.

No fim do ano passado, um site que ajudei a construir teve um ataque de hackers.

Além de alterações no index.php (na homepage surgia o banner do hacker) houve também injecção de vários ficheiros .php por todo o alojamento. Em paralelo, o servidor de e-mail começou a enviar spam.

O index.php foi rapidamente corrigido e o site voltou a funcionar normalmente. Instalei também o módulo recaptcha e desinstalei alguns módulos como o "send to a friend" que resolveu o problema de envio massivo de spam. Fui ainda eliminado todos os ficheiros suspeitos via ftp.

A situação mais grave ocorreu com a modificação das ligações API do módulo paypal para uma conta estranha. Após eliminação e atualização do módulo paypal julgava que o problema estaria solucionado. Mas acontece que no módulo, as API keys são frequentemente alteradas.

Para piorar a situação, não consigo atualizar via 1 click upgrade o prestashop... ocorre sempre uma connection timeout. A vesrão atual é a 1.6.1.18

Vinha perguntar se já se depararam com situação semelhante e quais as pastas/ficheiros mais suscetíveis de serem infetados ou onde possa procurar ficheiros maliciosos.

Desde já o meu obrigado,

Eduardo

 

 

 

 

 

Share this post


Link to post
Share on other sites

Olá @edsmiths

Seu servidor está configurado para aceitar conexão remota ao servidor MySQL?

Foram trocadas todas as senhas de usuários do back office e do banco de dados após a recuperação?

Os arquivos modificados tinham um padrão, como por exemplo sempre um código adicionado à primeira linha?

Share this post


Link to post
Share on other sites

Obrigado pelo input rblaurin.

 

Sim, existem um módulo (emagicone) que conecta com o mysql. Existem uns arquivos  php (bridge) na raiz do site que julgo que fazem essa ligação. Como não fui eu que instalei ou configurei este módulo não tenho muito conhecimento sobre o mesmo.

Após o ataque trocámos todas as senhas (cpanel, ftp, admin), excepto as do mysql... que irei fazer de imediato.

Não me recordo exatamente do tipo de alterações nos arquivos (entretanto foram apagados)... mas creio que não tinham esse padrão de adição de código na 1ª linha.

Mais uma vez obrigado

 

 

 

 

 

Share this post


Link to post
Share on other sites

Perceba que se a conexão com MySQL for feita através de arquivos no servidor, não necessariamente o servidor estará aceitando conexões remotas. Creio que este é um dos pontos chave. Se o servidor não aceita conexões remotas, o código malicioso deve estar em seu servidor. Seu servidor tem cPanel? Tentou um Scan com ClamAV?

Share this post


Link to post
Share on other sites

Procure também em seu servidor arquivos PHP que contenham no código as palavras base64 ou gzinflate, por exemplo. São suspeitos.

E, claro, os que façam referência a PayPal.

Share this post


Link to post
Share on other sites

Obrigado rblaurin

Sim, tenho a certeza que existe um backdoor qualquer.

O servidor é partilhado e será complicado instalar o ClamAV.

Tenho uma cópia do site no meu computador, poderia recomendar um programa que corresse em windows de modo a fazer um scanner aos arquivos .php?

Obrigado mais uma vez.

 

 

Share this post


Link to post
Share on other sites

Olá rblaurin,

O notepad++ é útil para verificar arquivos individuais.

A ideia é fazer um scanner a todas as pasta e arquivos. Já corri o windows defender mas não detetou nada.

Recomenda algum programa que pesquise trojans e que possa ser instalado no windows?

 

cumprimentos

Share this post


Link to post
Share on other sites

Bom dia,

Nem sabia dessa funcionalidade do notepad++, pelos vistos é um autêntico canivete suiço.

Estou a varrer as pastas.... adicionei também "eval".

Obrigado

 

Share this post


Link to post
Share on other sites

Acredito que o seu servidor foi atacado e infectado através de uma página WordPress. Nestes últimos dias XMLRPC e WLWMANIFEST estao sendo atacados em todos os servidores. Estes dois ficheiros sao scripts que abrem apis.

O clamav somente o administrador do servidor pode instalar, por isso vc. deveria além de mais nada entrar em contato com o administrador do servidor, se o seu Prestashop estiver limpo. Servidores partilhados sempre possuem o problema de risco com outras páginas no mesmo host.

Quanto ao emagic: eu também o uso, como conexao direta com o banco de dados e em alguns clientes através de bridge. Nao tenho verificado nenhum problema com ataques ou código malício. No meu servidor corre o clamav e o RKHunter e ambos nao mostram nada com risco nesta software.

Share this post


Link to post
Share on other sites

Venho apenas fazer um update e encerrar esta thread.

Não conseguimos identificar o código malicioso e a opção foi fazer um fresh install com a mesma versão do prestashop e reinstalar o template e os módulos. Assim resolvemos o problema.

Quero também agradecer os inputs dados pelo Rodrigo Laurindo e selectshop.at.

Obrigado.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More