Posible fallo aprovechado por bots en registro de clientes

[gusman126]

Me avisan varios clientes que en su tienda online se están registrando con email y apellidos con datos SPAM .

Este modulo gratuito hace que se pueda añadir un captcha en registro de usuarios

https://github.com/nenes25/eicaptcha/releases

ATENCION, ESTE MODULO NO IMPIDE EL REGISTRO DE USUARIOS.

SOLUCIÓN AQUI :

 

 

Edited April 21, 2019 by gusman126 (see edit history)

[GinM86]

32 minutes ago, gusman126 said:

Me avisan varios clientes que en su tienda online se están registrando con email y apellidos con datos SPAM .

Este modulo gratuito hace que se pueda añadir un captcha en registro de usuarios

https://github.com/nenes25/eicaptcha/releases

Hola,yo tengo el mismo problema desde hace 24 horas,añadí un captcha en registro y sigue pasando lo mismo,he estado probando módulos que prometían evitar esto y sigue igual,buscaba el modulo honeypot pero parece que no está disponible,se supone que esto debería crear un campo oculto en el formulario de registro,una persona real no lo vería y no lo rellenaría y podría registrarse,pero estos bots detectarían ese espacio y lo rellenarían,con ello se imposibilitaría el registro y además añadiríamos a la lista negra.

No sé que más hacer,he quitado más de 50 registros y estoy continuamente vigilando,salen como setas

[gusman126]

hace 12 minutos, GinM86 dijo:

Hola,yo tengo el mismo problema desde hace 24 horas,añadí un captcha en registro y sigue pasando lo mismo,he estado probando módulos que prometían evitar esto y sigue igual,buscaba el modulo honeypot pero parece que no está disponible,se supone que esto debería crear un campo oculto en el formulario de registro,una persona real no lo vería y no lo rellenaría y podría registrarse,pero estos bots detectarían ese espacio y lo rellenarían,con ello se imposibilitaría el registro y además añadiríamos a la lista negra.

No sé que más hacer,he quitado más de 50 registros y estoy continuamente vigilando,salen como setas

Pero lo has activado para que se muestre en el registro?

la nueva version deja activar o no que se muestre

 

[ipaelo]

Por mis pruebas, se saltan el captcha.

Creo que no están usando el formulario para  darse de alta.  En algunos de mis clientes se dan de alta con Newsletter y Optin y ninguno de los dos los tenemos en el registro.

[GinM86]

9 minutes ago, gusman126 said:

Pero lo has activado para que se muestre en el registro?

la nueva version deja activar o no que se muestre

 

Sí,lo tengo tanto en registro,como en el formulario,ya que hace un tiempo también recibía spam ruso desde el formulario,tenía recaptcha pero me dejó de funcionar e instale justo el que ofreces,lo tengo en el nivel más alto y aparecen las imágenes de verificación y continúan registrándose.
Además la semana pasada,ví unos movimientos extraños en los carritos y tuve que reinstalar el módulo porque funcionaba de manera totalmente incorrecta.

[GinM86]

1 minute ago, ipaelo said:

Por mis pruebas, se saltan el captcha.

Creo que no están usando el formulario para  darse de alta.  En algunos de mis clientes se dan de alta con Newsletter y Optin y ninguno de los dos los tenemos en el registro.

No sé como lo hacen,rellenan todos los campos,y se dan de alta en newsletters y optin y claro también deben marcar todas las casillas sobre el nuevo reglamento de protección de datos y todo lo demás.

[ipaelo]

Posible solución.  No la he probado todavía.

 

[gusman126]

Parece que funciona , solo si el bot pone una URL en apellido.

 

Edited April 20, 2019 by gusman126 (see edit history)

[ipaelo]

Yo lo hago de probar en un cliente y parece que va bien.

 

 

[GinM86]

Es lo mismo que me pasa,voy a mirar el enlace a ver si finalmente termino con este tormento.

[infinityl]

Sí, es un ataque generalizado por todo el mundo.

A un cliente le han borrado incluso la BD entera no se sabe aun como.

El captcha se lo saltan desde hace tiempo.

Solucion temporal:

1.- cambiar la funcion verificadora de nombre y apellido por una que no admite url. La del enlace funciona pero hace que de errores al eliminar y un par de cosas menores más.

2.- Baneo de ip (es por ahora desde ip: "46.22.220.10"
 hostname: "pro10.promodemais.com.br"
 city: "Tallinn"
 region: "Harjumaa"
 country: "EE" ç

en Lituania)

 

 

El modus operandi de este spammer es registrarse con emails del destinatario del spam, poniendo en el nombre y apellidos las url de las que quiere hacer spam, por lo que les llegan emails desde nuestras tiendas con url de spam porno.

 

Saludos!

Edited April 20, 2019 by infinityl (see edit history)

[GinM86]

29 minutes ago, infinityl said:

Sí, es un ataque generalizado por todo el mundo.

A un cliente le han borrado incluso la BD entera no se sabe aun como.

El captcha se lo saltan desde hace tiempo.

Solucion temporal:

1.- cambiar la funcion verificadora de nombre y apellido por una que no admite url. La del enlace funciona pero hace que de errores al eliminar y un par de cosas menores más.

2.- Baneo de ip (es por ahora desde ip: "46.22.220.10"
 hostname: "pro10.promodemais.com.br"
 city: "Tallinn"
 region: "Harjumaa"
 country: "EE" ç

en Lituania)

 

 

El modus operandi de este spammer es registrarse con emails del destinatario del spam, poniendo en el nombre y apellidos las url de las que quiere hacer spam, por lo que les llegan emails desde nuestras tiendas con url de spam porno.

 

Saludos!

Siempre tiene que haber gente jodiendo...en fín,no me ha dado tiempo a probar lo del enlace,pero como has añadido esa ip,por el momento la he añadido al ban ip free.

Tengo copias recientes de BD pero haré nuevas,que nunca se sabe si te acuestas con tienda y te levantas sin nada.

Desde luego muchas gracias.

[pedros2k12]

Ayer noche cambiaron la ip del ataque por esta 46.22.220.49, bloquee el rango 46.22.0.0/16 

[gusman126]

hace 27 minutos, pedros2k12 dijo:

Ayer noche cambiaron la ip del ataque por esta 46.22.220.49, bloquee el rango 46.22.0.0/16 

No parece la mejor solución ir añadiendo IPs, en el tema en ingles han añadido algunos override para no tener que tocar el original.

 

[GinM86]

1 hour ago, gusman126 said:

No parece la mejor solución ir añadiendo IPs, en el tema en ingles han añadido algunos override para no tener que tocar el original.

 

¿El hilo es el que está publicado en este tema? lo de las ips funcionó al principio la cosa continúa.

[gusman126]

hace 56 minutos, GinM86 dijo:

¿El hilo es el que está publicado en este tema? lo de las ips funcionó al principio la cosa continúa.

Si, el enlace que puse arriba.

Sobre poner o no IPs, es una cuestión de estar atento a ver si han cambiado o es otro rango , otro pais etc. y los vendedores no van a tener tiempo, saben o van a pagar a alguien para que estén atentos a las IPs.

Mejor una solución sencilla, fija y que no estes cada X tiempo pendiente de ello

[Jonatan - Siabyte]

Me apunto al problema, uso prestashop 1.6 y desde hace 1 dia me está pasando exactamente lo mismo... y a eso añado que no entiendo demasiado de estos temas, que no soy muy profesional en todo este tema de desarrollo web y similares. Veo que habeis puesto un enlace por ahí en ingles para dar una solución temporal pero no se interpretarlo muy bien. Alguien me explica un poco como hacer ese proceso para que termine este "infierno" al menos de momento?

Saludos y gracias de antemano.

[gusman126]

Video explicando como hacer los cambios.

ANTES HACED COPIA DE TODA LA CARPETA Y ESOS FICHEROS

Necesario acceder a los ficheros sea por filezilla o usando el explorador de archivos del servidor de hospedaje

Os recuerdo que no soy responsable de los fallos o errores producidos al editar estos ficheros

Aquí el código que hay que poner en validate

public static function isCustomerName($name)
    {
        if (preg_match(Tools::cleanNonUnicodeSupport('/www|http/ui'),$name)) {
        	return false;
        }

        return preg_match(Tools::cleanNonUnicodeSupport('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u'), $name);
    }

 

Edited April 22, 2019 by gusman126 (see edit history)

[pedros2k12]

Gracias

[pedros2k12]

Cuidado al tocar estos ficheros, hacer una copia de seguridad antes del sitio

Al modificar los ficheros, me han aparecido estos errores en el log

/controllers/front/ContactController.php on line 257

/classes/shop/Shop.php on line 646

conclusión error 500 web inaccesible

después de unos sudores fríos..., y de revisarlo todo varias veces..., he tenido que volver a restaurar el directorio completo para dejarlo funcionando y analizarlo más tranquilo.

 

 

[gusman126]

hace 6 minutos, pedros2k12 dijo:

Cuidado al tocar estos ficheros, hacer una copia de seguridad antes del sitio

Al modificar los ficheros, me han aparecido estos errores en el log

/controllers/front/ContactController.php on line 257

/classes/shop/Shop.php on line 646

conclusión error 500 web inaccesible

después de unos sudores fríos..., y de revisarlo todo varias veces..., he tenido que volver a restaurar el directorio completo para dejarlo funcionando y analizarlo más tranquilo.

 

 

extraño lo he realizado en varias web de mis clientes y todo ok

 

[GinM86]

2 minutes ago, gusman126 said:

extraño lo he realizado en varias web de mis clientes y todo ok

 

He realizado 2 copias de validate.php y customer.php unos están tal cual y en los otros los he modificado según el tutorial,me ha funcionado y de momento no tengo ningún fallo,he probado a registrarme añadiendo una url y efectivamente no te deja,por el momento está todo tranquilo y no he visto nuevos registros de spam.

Esperemos que funcione definitivamente y no les de por dar otra vuelta de tuerca.

No viene al caso sobre prestashop pero hoy han ocurrido otras cosas extrañas en mi familia,reventar la cuenta de ubisoft y un mensaje de whatsapp con un audio extraño y al rato han empezado a llamar desde ese número,han formateado el teléfono para asegurarse de no tener nada raro dentro pero las llamadas continúan.

Se que no tiene que ver con esto,pero todo así de repente es algo más que curioso.

[pedros2k12]

si, parece que los problemas no vienen solos.

Ya mañana voy a revisar todos los errores del log y ver que ha pasado... lo que descubra os lo cuento

Buenas noches

[Jonatan - Siabyte]

Pues yo acabo de seguir el vídeo al pie de la letra, que por cierto, muchas gracias! jeje. Pero me deja la web inaccesible. Al parecer el problema está en el primero de los archivos, el Validate.php, en el momento que modifico ese, me da error y la web no carga, ni la web ni el backoffice :_S

Menos mal que hice backup de los archivos y los he vuelto a poner originales como estaban y me vuelve a funcionar la web, pero como es lógico sigo con el problema del spam :_S

¿Alguien podria echarme un cable por si he de revisar alguna otra cosa?

PD: he probado a modificar también el otro archivo (customer) manteniendo el "validate.php" original, y si que me carga, pero entonces cuando intento crear un usuario, la web da error..., en fin, me debe estar faltando alguna tonteria, ¿alguna idea por favor?, estoy agobiadisimo y no se que mas hacer :_S

Saludos y gracias de ante mano.

[gusman126]

hace 33 minutos, Jonatan - Siabyte dijo:

Pues yo acabo de seguir el vídeo al pie de la letra, que por cierto, muchas gracias! jeje. Pero me deja la web inaccesible. Al parecer el problema está en el primero de los archivos, el Validate.php, en el momento que modifico ese, me da error y la web no carga, ni la web ni el backoffice :_S

Menos mal que hice backup de los archivos y los he vuelto a poner originales como estaban y me vuelve a funcionar la web, pero como es lógico sigo con el problema del spam :_S

¿Alguien podria echarme un cable por si he de revisar alguna otra cosa?

PD: he probado a modificar también el otro archivo (customer) manteniendo el "validate.php" original, y si que me carga, pero entonces cuando intento crear un usuario, la web da error..., en fin, me debe estar faltando alguna tonteria, ¿alguna idea por favor?, estoy agobiadisimo y no se que mas hacer :_S

Saludos y gracias de ante mano.

comprueba que añades al final del archivo, antes de la ultima }

activa debug y guarda, prueba, a ver que error sale

 

[Jonatan - Siabyte]

hace 34 minutos, gusman126 dijo:

comprueba que añades al final del archivo, antes de la ultima }

activa debug y guarda, prueba, a ver que error sale

 

Si si, si yo copio y pego tal cual aparece en el vídeo, justo antes de la última "}" del final del todo, lo que no se a que te refieres con eso de "activar debug"... eso asi de primeras no se que es, a que te refieres?

Yo lo que hago es conectarme al servidor con filezilla, duplico el archivo original para hacer un "backup", bajo el original a mi PC local, lo edito, guardo, compruebo que se ha guardado bien... lo subo al servidor y sobreescribo al original, vuelvo a bajar el archivo para comprobar que mantiene los cambios y que se ha subido bien y tal... y luego voy a intentar cargar la web y "meeeeeeee", error! :_S

¿Me puedes explicar que es eso del debug?, o que otra cosa podría comprobar?

PD: yo copio el texto ese del post ese que poníais, ya que en el vídeo no aparece en la descripción para copiar.. pero he estado comparando así por encima y parece exactamente el mismo, supongo que lo estaré dejando bien. Es mas, os pongo una foto para que veáis como queda, a ver si detectáis alguna cosa rara.

[gusman126]

debug = depuracion

[Jonatan - Siabyte]

hace 3 horas, gusman126 dijo:

debug = depuracion

mmm, vale, pero y donde tengo que hacer eso exactamente?, en el back office supongo?, perdona mi ignorancia... como ya dije no soy demasiado experto y ando algo verde, jeje.

Saludos y muchísimas gracias de antemano.

[chuski711]

hace 5 horas, Jonatan - Siabyte dijo:

mmm, vale, pero y donde tengo que hacer eso exactamente?, en el back office supongo?, perdona mi ignorancia... como ya dije no soy demasiado experto y ando algo verde, jeje.

Saludos y muchísimas gracias de antemano.

Buenos días; por si te puede servir... a tí y a otros... yo lo hice y me funcionó; pero no he aplicado el primer código sino el segundo; si te fijas en el video y en el código que has puesto tú no es exactamente igual, le faltan cierres de llaves ... no se si influyen, eso que lo digan los programadores de verdad

El que yo he puesto es este:

    public static function isCustomerName($name)
    {
        if (preg_match('/www|http/ui',$name)) {
        	return false;
        }

        return preg_match('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u', $name);
    }

[gusman126]

hace 26 minutos, chuski711 dijo:

Buenos días; por si te puede servir... a tí y a otros... yo lo hice y me funcionó; pero no he aplicado el primer código sino el segundo; si te fijas en el video y en el código que has puesto tú no es exactamente igual, le faltan cierres de llaves ... no se si influyen, eso que lo digan los programadores de verdad

El que yo he puesto es este:

    public static function isCustomerName($name)
    {
        if (preg_match('/www|http/ui',$name)) {
        	return false;
        }

        return preg_match('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u', $name);
    }

Lo subo arriba al mensaje del video. 

en el video es ese, en mi blog es ese , no se de donde ha salido el que no tiene llaves en el if

 

Edited April 22, 2019 by gusman126 (see edit history)

[pedros2k12]

Sale de post. En la primera no figuran las llaves, en el patch si figuran.

Una pregunta que versión de php teneís instalada, a mi me siguen saliendo errores en varios ficheros, a ver si por ahí....

 

[GinM86]

6 minutes ago, pedros2k12 said:

Sale de post. En la primera no figuran las llaves, en el patch si figuran.

Una pregunta que versión de php teneís instalada, a mi me siguen saliendo errores en varios ficheros, a ver si por ahí....

 

7.2

[chuski711]

De ahí sale, del primer post... y me di de cuenta con el video de Gusman (No lo vi en el Blog, porque no sabia cual era 😉; pero fijándome en el código que ponías....

Yo tengo PHP 7.2; 

Mi web va bien, sin errores

[gusman126]

Ok, ya veo, yo use el de un poco mas abajo, bueno ahora esta en el mensaje del video, esperemos que no le pase a otros.

Versiones PS , desde la 1.6.12 hasta la 1.7.5.1 y php 5.6 -> 7.2

[pedros2k12]

Gracias,

En local va bien, pero en el host no dejan de salir errores, voy a ver si subiendo el php a la 7.1 en el hosting...

Porque esto siguen con el ataque, van cambiando de ip cada pocas horas.

[gusman126]

Los de Factoriadigital han desarrollado un modulo gratuito que hace los cambios , no tengo relacion con ellos cualquier consulta o pregunta en su post

 

[juanky1969]

Buenas, a mi me pasaba lo mismo, version prestashop 1.6.1.12

Editar fichero /controllers/front/AuthController.php

line 408:

        // Preparing customer
        $customer = new Customer();
        $lastnameAddress = Tools::getValue('lastname');

Añadir esto debajo para bloquear el apellido del robot que usa www etc....

         if (preg_match('/www|http/ui',$lastnameAddress)) {
            $this->errors[] = Tools::displayError('lastname spam disable');
        }

 

[pedros2k12]

Buenas noches,

Nosotros teníamos un problema adicional, ya resuelto, que pasa si tocas demasiado las plantillas...

Hemos probado las soluciones del overraide que creo que es la más adecuada.

Primero hacer copias de seguridad, importante

Descomprimir el fichero que os deja Factoría digital

Comprimir la carpeta raíz con el nombre

factocreateoverride.zip

si la subís como esta no vais a ver el módulo por ningún sitio.

Una vez subido probar que funciona

Si no funciona

-          Revisar en override/classes/validate.php. Debe estar en utf-8 creo que hay un problema con el carácter “ º ” si no esta en utf-8 no va a funcionar correctamente

           return preg_match(Tools::cleanNonUnicodeSupport('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u'), $name);

-          Si sigue sin funcionar, limpiar la cache que utilicéis. Para los que utilicen smarty igual tenéis que borrar a mano los directorios

           cache/smarty/compile 

          cache/smarty/cache

          dejando siempre el fichero index.php

-          Si sigue sin funcionar

           Borrar el fichero

            cache/class_index.php

            se regenera solo

copia de seguridad y cuidadin

Edited April 22, 2019 by pedros2k12 (see edit history)

[Skin Thinks]

1 hour ago, juanky1969 said:

Buenas, a mi me pasaba lo mismo, version prestashop 1.6.1.12

Editar fichero /controllers/front/AuthController.php

line 408:

        // Preparing customer
        $customer = new Customer();
        $lastnameAddress = Tools::getValue('lastname');

Añadir esto debajo para bloquear el apellido del robot que usa www etc....

         if (preg_match('/www|http/ui',$lastnameAddress)) {
            $this->errors[] = Tools::displayError('lastname spam disable');
        }

 

Mismo problema. Aplico estas dos líneas y aparentemente resuelto.

Me ha parecido más sencillo. Muchas gracias juanky1969

Saludos!

 

[juanky1969]

De nada, Skin Thinks

Si hay mas ataques de este tipo bastaría con cambiar el preg_match('/www|http/ui' y adecuarlo al texto que pongan los paletos.

Saludos!

[inusnet]

Tras probar código, todo ok, pero me genera una pregunta adicional:  ¿como permitir "ñ" o tildes en apellidos?, cosa no infrecuente en España

Edited April 23, 2019 by inusnet (see edit history)

[Jose Pina]

Buenas!!!

12 hours ago, Skin Thinks said:

Mismo problema. Aplico estas dos líneas y aparentemente resuelto.

Me ha parecido más sencillo. Muchas gracias juanky1969

Saludos!

 

Pues lo he aplicado al archivo en cuestión. Testeamos unas horas, a ver qué tal.

Gracias a tod@s l@s que aportáis en este foro, y nos ayudáis a quienes tenemos menos conocimientos.

Saludos!

Jose Pina

[Martehoy]

On 4/22/2019 at 10:30 AM, gusman126 said:

Lo subo arriba al mensaje del video. 

en el video es ese, en mi blog es ese , no se de donde ha salido el que no tiene llaves en el if

 

Pues a mi me ha funcionado a la primera ( Prestashop 1.6.1.14 y Php 5.6.40) Me dí cuenta de que faltaban las llaves en la función al ver el codigo de github. Por lo demas todo bien.
Nota: A los que os da errores de "cabecera" comprobad que no queden lineas vacias en el código de los ficheros de override.
Gracias por el aporte y saludos.

Edited April 23, 2019 by Martehoy (see edit history)

[pedros2k12]

21 hours ago, inusnet said:

Tras probar código, todo ok, pero me genera una pregunta adicional:  ¿como permitir "ñ" o tildes en apellidos?, cosa no infrecuente en España

Buenas,

Si se permite poner la "ñ" en los apellidos

[inusnet]

39 minutes ago, pedros2k12 said:

Buenas,

Si se permite poner la "ñ" en los apellidos

Cierto y parece que también las tildes. Hice la prueba combinando ñ, tilde y número en una sola prueba.

Muchas gracias

[escardette]

Hola a todos,

Yo he probado los tres metodos y no me ha funcionado ninguno. Me pasa lo mismo que a pedros2k12; he seguido las instrucciones tal y como se explica en el video y  me da error 500 (dos veces me ha pasado). He intentado instalar el modulo y lo sube correctamente pero no lo veo (le he cambiado el nombre al modulo como aconsejan y tampoco lo veo asi que lo he dejado por imposible) .

Por último tambien he probado con la opcion de juanki1969 en el authcontroller.php y me siguen entrando los dichosos correos. Mi versión de prestashop es 1.61.23 y PHP 7.1

hartito me tiene el tema...

Edited April 24, 2019 by escardette (see edit history)

[chuski711]

Que raro, yo tengo la 1.6.1.23 y php 7.2 y me ha funcionado lo del video; (con las llaves de cierre)

Donde la tienes alojado?

Edited April 24, 2019 by chuski711 (see edit history)

[i12fehea]

Buenas noches, para los usuarios de ps 1.6 yo he comprobado que teniendo el módulo EiCaptcha y en la configuración de crear la cuenta (Preferencias->Clientes) Tipo de proceso de registración (crear cuenta y dirección) de esta forma no se pueden registrar.

 

Módulo-> https://github.com/nenes25/eicaptcha/

 

[gusman126]

hace 1 hora, i12fehea dijo:

Buenas noches, para los usuarios de ps 1.6 yo he comprobado que teniendo el módulo EiCaptcha y en la configuración de crear la cuenta (Preferencias->Clientes) Tipo de proceso de registración (crear cuenta y dirección) de esta forma no se pueden registrar.

 

Módulo-> https://github.com/nenes25/eicaptcha/

 

A mi no me funciono , fijate que en el primer mensaje esta el enlace a ese modulo,comprueba bien , puede que esta atacando otra web y no este en la tuya

Edited April 24, 2019 by gusman126 (see edit history)

[i12fehea]

Tengo 15 tiendas y tenía en todas ese módulo, pero las que tienen  Tipo de proceso de registración (crear cuenta y dirección) , no son atacadas.

[@toneig]

Buenas noches, yo tengo la configuración crear cuenta y dirección y si reciben el spam

[jajalfplv]

2 tiendas son atacadas crear y dirreccion

[escardette]

10 hours ago, chuski711 said:

Que raro, yo tengo la 1.6.1.23 y php 7.2 y me ha funcionado lo del video; (con las llaves de cierre)

Donde la tienes alojado?

En IONOS. Tambien tengo instalado el modulo captcha en el registro y el contacto y es un coladero. He comprobado varias veces el codigo y es correcto, el caso es que la tienda se peta en el momento en que pongo el codigo en los dos archivos

Edited April 25, 2019 by escardette (see edit history)

[jajalfplv]

controllers / front / authcontroller Ajoutez ces lignes dans la fonction protégée processSubmitAccount ()

 

 if (! Validate :: isName (str_replace ('www.', '$ www', $ _ POST ['nom' ')))) {
                $ this-> errors [] = Tools :: displayError (' invalid name. ') ;
            }

 

 

simple and it works

Edited April 25, 2019 by jajalfplv
translation (see edit history)

[@toneig]

Hola, buenos días, estoy probando la respuesta de jajalfplv pero en ese archivo hay dos bloques de código con processSubmitAccount () mando las capturas de pantalla, en cual hay que añadir las lineas de código?

Gracias, saludos

[jajalfplv]

i did it just after this line:

$this->errors = array_unique(array_merge($this->errors, $customer->validateController()));

 

[@toneig]

He probado a poner el código, pero aparte de que me da un error, al probar la tienda se rompe

[jajalfplv]

 if (!Validate::isName(str_replace('www.','$www',$_POST['lastname']))) {
                $this->errors[] = Tools::displayError('invalid name.');
            }

Edited April 25, 2019 by jajalfplv
translate (see edit history)

[jajalfplv]

sorry it was the automatic translation. texte above is the good one

[@toneig]

El fallo si se quita, la web no se rompe.....pero valida el campo con una web

 

Edited April 25, 2019 by @toneig (see edit history)

[jajalfplv]

clic submit

[@toneig]

Si efectivamente si no le das ha enviar no te da errores (que tonto ji ji), bueno efectivamente funciona bien, he probado ha poner una web y el resultado es este:

[jajalfplv]

you can translate "invalide name" as you want in the code

[@toneig]

Ahora si modificas el campo apellido y pones un apellido, lo valida correctamente, es un inmenso alivio ver que funciona correctamente, muchísimas gracias por el aporte, ahora voy a modificar otras webs que tienen el mismo problema. 

[jajalfplv]

😉

[nadie]

Aunque esta añadido en el pinned del foro, lo comento por aquí de todos modos.

Prestashop publica finalmente un artículo relacionado con el problema en el blog de desarrolladores: http://build.prestashop.com/news/fighting-against-spamming-again/. En las proximas variantes tanto de Prestashop 1.6.X como de 1.7.X vendrá aplicado el parche por defecto. 

En este enlace del repositorio de código oficial: https://github.com/PrestaShop/PrestaShop/pull/13549 . (https://github.com/PrestaShop/PrestaShop/pull/13549/commits) podéis ver (por ejemplo) un parche para Prestashop 1.7.X. Digo oficial...

Edited April 25, 2019 by nadie (see edit history)

[gusman126]

hace 1 hora, nadie dijo:

Aunque esta añadido en el pinned del foro, lo comento por aquí de todos modos.

Prestashop publica finalmente un artículo relacionado con el problema en el blog de desarrolladores: http://build.prestashop.com/news/fighting-against-spamming-again/. En las proximas variantes tanto de Prestashop 1.6.X como de 1.7.X vendrá aplicado el parche por defecto. 

En este enlace del repositorio de código oficial: https://github.com/PrestaShop/PrestaShop/pull/13549 . (https://github.com/PrestaShop/PrestaShop/pull/13549/commits) podéis ver (por ejemplo) un parche para Prestashop 1.7.X. Digo oficial...

Ok gracias.

Veo que han usado la función de validar el nombre, por lo que 

AVISO ->

LAS ACTUALIZACIONES HARÁN QUE TODO EL CÓDIGO AÑADIDO MANUALMENTE SE PIERDA

LOS OVERRIDE SE QUEDARAN, DEBERÍAN FUNCIONAR, PERO ESTAD ATENTOS DESPUÉS DE ACTUALIZAR.

 

[tortuboyFran]

hace 1 hora, nadie dijo:

Aunque esta añadido en el pinned del foro, lo comento por aquí de todos modos.

Prestashop publica finalmente un artículo relacionado con el problema en el blog de desarrolladores: http://build.prestashop.com/news/fighting-against-spamming-again/. En las proximas variantes tanto de Prestashop 1.6.X como de 1.7.X vendrá aplicado el parche por defecto. 

En este enlace del repositorio de código oficial: https://github.com/PrestaShop/PrestaShop/pull/13549 . (https://github.com/PrestaShop/PrestaShop/pull/13549/commits) podéis ver (por ejemplo) un parche para Prestashop 1.7.X. Digo oficial...

Y para los que usan una version como la 1.5.X?

[tortuboyFran]

Alguna solucion para versiones 1.5.x ?

[gusman126]

hace 1 hora, tortuboyFran dijo:

Alguna solucion para versiones 1.5.x ?

si el codigo que se ha puesto como solución no te sirve, no va a haber ninguna actualización para esa version .

bloquear por IP o actualizar

[Eusebio100]

hace 2 horas, tortuboyFran dijo:

Alguna solucion para versiones 1.5.x ?

Por un lado está el módulo de factoría digital que (según ellos, yo no lo he instalado) funciona en ps 1.5, aquí el enlace.

Por otro lado está este código puesto más arriba, que hasta donde mi memoria alcanza es totalmente extrapolable a ps1.5 y fácil de modificar.

En 22/4/2019 a las 11:12 PM, juanky1969 dijo:

Buenas, a mi me pasaba lo mismo, version prestashop 1.6.1.12

Editar fichero /controllers/front/AuthController.php

line 408:

        // Preparing customer
        $customer = new Customer();
        $lastnameAddress = Tools::getValue('lastname');

Añadir esto debajo para bloquear el apellido del robot que usa www etc....

         if (preg_match('/www|http/ui',$lastnameAddress)) {
            $this->errors[] = Tools::displayError('lastname spam disable');
        }

 

 

[warrant]

Hola

Tenía este problema, se daban de alta unos 10 clientes spam cada día, y se me ocurrió cambiar la configuración  en preferencias-clientes, y lo puse en "estándar (creación de cuenta y dirección)",  y por ahora he dejado de recibir altas de usuarios spam, no sé si será casualidad o no pero llevo 2 días que no he recibido nuevos registros de clientes. No creo que funcione a todo el mundo, quizás depende de la plantilla, pero bueno, por si lo queréis probar sin tener que tocar código...

Tengo PS 1.6.0.11

Saludos

Edited April 25, 2019 by warrant (see edit history)

[Eusebio100]

hace 14 minutos, warrant dijo:

Hola

Tenía este problema, se daban de alta unos 10 clientes spam cada día, y se me ocurrió cambiar la configuración  en preferencias-clientes, y lo puse en "estándar (creación de cuenta y dirección)",  y por ahora he dejado de recibir altas de usuarios spam, no sé si será casualidad o no pero llevo 2 días que no he recibido nuevos registros de clientes. No creo que funcione a todo el mundo, quizás depende de la plantilla, pero bueno, por si lo queréis probar sin tener que tocar código...

Tengo PS 1.6.0.11

Saludos

Supongo que será casualidad, yo siempre lo he tenido en estandard y todo el fin de semana fue catastrófico con los registros, + de 100 registros. El lunes puse un parche muy parecido al que indica juanky1969 más arriba y hasta ahora problema resuelto.

[marisol]

Otra afectada que lleva mas de una semana luchando con esta  invasión de spam ... Unos 60 registros diarios que me han llevado de cabeza a pesar de  instalar EiCaptcha esto ha seguido sin cesar toda la semana,  noche y día hasta que  leí a i12fehea y antes de abandonar esta odisea por agotamiento y seguir otro día mas con ello,  hice un ultimo intento en  (Preferencias->Clientes) Tipo de proceso de registración: lo tenia en (Solo registración)  cambie a  (Estandar creación de cuenta y dirección) y por fin se soluciono totalmente el problema. Agradecida por haber encontrado aquí la solución por lo menos en mi caso   Versión de PrestaShop 1.6.1.23 .

On 4/24/2019 at 10:06 PM, i12fehea said:

Buenas noches, para los usuarios de ps 1.6 yo he comprobado que teniendo el módulo EiCaptcha y en la configuración de crear la cuenta (Preferencias->Clientes) Tipo de proceso de registración (crear cuenta y dirección) de esta forma no se pueden registrar.

 

Módulo-> https://github.com/nenes25/eicaptcha/

 

 

[globals]

Hola,

para los usuarios de PS 1.6 aquí está la solución del repositorio oficial:

Merge pull request #13559 from matks/forbid-urls-in-name-fields-161x

Sólo és necesario modificar el archivo classes/Validate.php

Yo lo acabo de implementar y funciona sin problemas.

 

Saludos.

[tortuboyFran]

hace 11 horas, marisol dijo:

Otra afectada que lleva mas de una semana luchando con esta  invasión de spam ... Unos 60 registros diarios que me han llevado de cabeza a pesar de  instalar EiCaptcha esto ha seguido sin cesar toda la semana,  noche y día hasta que  leí a i12fehea y antes de abandonar esta odisea por agotamiento y seguir otro día mas con ello,  hice un ultimo intento en  (Preferencias->Clientes) Tipo de proceso de registración: lo tenia en (Solo registración)  cambie a  (Estandar creación de cuenta y dirección) y por fin se soluciono totalmente el problema. Agradecida por haber encontrado aquí la solución por lo menos en mi caso   Versión de PrestaShop 1.6.1.23 .

 

Mi empresa tambien tiene lo de Estandar de creacion de cuenta y se sigue registrando, nuestra version de prestashop es 1.5.3.1, es una version antigua y el modulo de "Ban IP FREE" no funciona y otros modulos no son compatibles.

[dwilden]

On 4/24/2019 at 10:06 PM, i12fehea said:

Buenas noches, para los usuarios de ps 1.6 yo he comprobado que teniendo el módulo EiCaptcha y en la configuración de crear la cuenta (Preferencias->Clientes) Tipo de proceso de registración (crear cuenta y dirección) de esta forma no se pueden registrar.

 

Módulo-> https://github.com/nenes25/eicaptcha/

 

A mi esta solución me ha funcionado bien, sobre PS1.6.1.23 y con PHP 7.2

Yo descartaría de modificar archivos con el parche de antes, ese parche solo funciona si el bot pone en apellidos una url, lo cual ese parche solo servirá momentáneamente para este bot en concreto, pero a la que cambie el perfil del ataque, ese parche no servirá para nada.

Intentar aplicar el captcha con el registro en dos pasos, si no es santo de vuestra devoción, al menos hacerlo temporalmente hasta que saquen el parche oficial la gente de prestashop http://build.prestashop.com/news/fighting-against-spamming-again/

Los usuarios de PS 1.5 que no solventáis el problema ni con captcha, intentar de hacer un estudio para actualizar a 1.6, seguramente en la versión 1.5 estarán usando otro sistema de ataque mediante inyección directa a mysql

Edited April 26, 2019 by dwilden (see edit history)

[Eusebio100]

hace 1 hora, dwilden dijo:

A mi esta solución me ha funcionado bien, sobre PS1.6.1.23 y con PHP 7.2

Yo descartaría de modificar archivos con el parche de antes, ese parche solo funciona si el bot pone en apellidos una url, lo cual ese parche solo servirá momentáneamente para este bot en concreto, pero a la que cambie el perfil del ataque, ese parche no servirá para nada

Pues a mi no me funcionó, desde siempre he tenido lo de crear cuenta y dirección y se registraban a montón. No tengo exactamente ninguno de los parches que se nombran por aquí, pero si muy parecido y me funciona; si cambian el perfil del ataque cambiaré el perfil en el parche.

En cualquier caso y por muy oficial que sea el parche, antes o después, por un lado o por otro, nunca estaremos libres de este tipo de gentuza.

[Antakarana]

En 21/4/2019 a las 7:53 PM, gusman126 dijo:

Video explicando como hacer los cambios.

ANTES HACED COPIA DE TODA LA CARPETA Y ESOS FICHEROS

Necesario acceder a los ficheros sea por filezilla o usando el explorador de archivos del servidor de hospedaje

Os recuerdo que no soy responsable de los fallos o errores producidos al editar estos ficheros

Aquí el código que hay que poner en validate

public static function isCustomerName($name)
    {
        if (preg_match(Tools::cleanNonUnicodeSupport('/www|http/ui'),$name)) {
        	return false;
        }

        return preg_match(Tools::cleanNonUnicodeSupport('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u'), $name);
    }

 

Gracias por el video, por ahora lo he aplicado en un PS 1.6.0.9 y ha funcionado... aunque en el caso del customer.php lo que hice fue localizar donde ponia "isname" y lo sustituí por "isCustomerName"

Lo he probado y efectivamente no permite registrarse con nombres que empiecen por www

Esperemos que dure...

[GinM86]

Hola de nuevo, para mi este problema está solucionado,pero desde anoche estoy viendo que mi servidor de correo me envía emails de correos no enviados de la confirmación de alta en la newsletter,algunos emails son bastante raros,no sé si tendrá que ver con esto¿os está pasando también? . Un saludo.

Edited May 29, 2019 by GinM86 (see edit history)

[Danielrpsr1]

On 5/29/2019 at 4:03 PM, GinM86 said:

Hola de nuevo, para mi este problema está solucionado,pero desde anoche estoy viendo que mi servidor de correo me envía emails de correos no enviados de la confirmación de alta en la newsletter,algunos emails son bastante raros,no sé si tendrá que ver con esto¿os está pasando también? . Un saludo.

Hola, me ocurre exactamente lo mismo, no con el registro, sino con el newsletter. Cientos de suscritos nuevos cada día con direcciones raras. Después el servidor me reporta que el email no ha podido ser enviado porque la dirección no existe.