Jump to content
gusman126

Posible fallo aprovechado por bots en registro de clientes

Recommended Posts

Posted (edited)

Me avisan varios clientes que en su tienda online se están registrando con email y apellidos con datos SPAM .

Este modulo gratuito hace que se pueda añadir un captcha en registro de usuarios

https://github.com/nenes25/eicaptcha/releases

ATENCION, ESTE MODULO NO IMPIDE EL REGISTRO DE USUARIOS.

SOLUCIÓN AQUI :

 

 

Edited by gusman126 (see edit history)
  • Like 1

Share this post


Link to post
Share on other sites
32 minutes ago, gusman126 said:

Me avisan varios clientes que en su tienda online se están registrando con email y apellidos con datos SPAM .

Este modulo gratuito hace que se pueda añadir un captcha en registro de usuarios

https://github.com/nenes25/eicaptcha/releases

Hola,yo tengo el mismo problema desde hace 24 horas,añadí un captcha en registro y sigue pasando lo mismo,he estado probando módulos que prometían evitar esto y sigue igual,buscaba el modulo honeypot pero parece que no está disponible,se supone que esto debería crear un campo oculto en el formulario de registro,una persona real no lo vería y no lo rellenaría y podría registrarse,pero estos bots detectarían ese espacio y lo rellenarían,con ello se imposibilitaría el registro y además añadiríamos a la lista negra.

No sé que más hacer,he quitado más de 50 registros y estoy continuamente vigilando,salen como setas

Share this post


Link to post
Share on other sites
hace 12 minutos, GinM86 dijo:

Hola,yo tengo el mismo problema desde hace 24 horas,añadí un captcha en registro y sigue pasando lo mismo,he estado probando módulos que prometían evitar esto y sigue igual,buscaba el modulo honeypot pero parece que no está disponible,se supone que esto debería crear un campo oculto en el formulario de registro,una persona real no lo vería y no lo rellenaría y podría registrarse,pero estos bots detectarían ese espacio y lo rellenarían,con ello se imposibilitaría el registro y además añadiríamos a la lista negra.

No sé que más hacer,he quitado más de 50 registros y estoy continuamente vigilando,salen como setas

Pero lo has activado para que se muestre en el registro?

la nueva version deja activar o no que se muestre

 

Share this post


Link to post
Share on other sites

Por mis pruebas, se saltan el captcha.

Creo que no están usando el formulario para  darse de alta.  En algunos de mis clientes se dan de alta con Newsletter y Optin y ninguno de los dos los tenemos en el registro.

Share this post


Link to post
Share on other sites
9 minutes ago, gusman126 said:

Pero lo has activado para que se muestre en el registro?

la nueva version deja activar o no que se muestre

 

Sí,lo tengo tanto en registro,como en el formulario,ya que hace un tiempo también recibía spam ruso desde el formulario,tenía recaptcha pero me dejó de funcionar e instale justo el que ofreces,lo tengo en el nivel más alto y aparecen las imágenes de verificación y continúan registrándose.
Además la semana pasada,ví unos movimientos extraños en los carritos y tuve que reinstalar el módulo porque funcionaba de manera totalmente incorrecta.

Share this post


Link to post
Share on other sites
1 minute ago, ipaelo said:

Por mis pruebas, se saltan el captcha.

Creo que no están usando el formulario para  darse de alta.  En algunos de mis clientes se dan de alta con Newsletter y Optin y ninguno de los dos los tenemos en el registro.

No sé como lo hacen,rellenan todos los campos,y se dan de alta en newsletters y optin y claro también deben marcar todas las casillas sobre el nuevo reglamento de protección de datos y todo lo demás.

Share this post


Link to post
Share on other sites

Posible solución.  No la he probado todavía.

 

  • Like 1

Share this post


Link to post
Share on other sites

Yo lo hago de probar en un cliente y parece que va bien.

 

 

Share this post


Link to post
Share on other sites

Es lo mismo que me pasa,voy a mirar el enlace a ver si finalmente termino con este tormento.

Share this post


Link to post
Share on other sites
Posted (edited)

Sí, es un ataque generalizado por todo el mundo.

A un cliente le han borrado incluso la BD entera no se sabe aun como.

El captcha se lo saltan desde hace tiempo.

Solucion temporal:

1.- cambiar la funcion verificadora de nombre y apellido por una que no admite url. La del enlace funciona pero hace que de errores al eliminar y un par de cosas menores más.

2.- Baneo de ip (es por ahora desde ip: "46.22.220.10"
 hostname: "pro10.promodemais.com.br"
 city: "Tallinn"
 region: "Harjumaa"
 country: "EE" ç

en Lituania)

 

 

El modus operandi de este spammer es registrarse con emails del destinatario del spam, poniendo en el nombre y apellidos las url de las que quiere hacer spam, por lo que les llegan emails desde nuestras tiendas con url de spam porno.

 

Saludos!

Edited by infinityl (see edit history)

Share this post


Link to post
Share on other sites
29 minutes ago, infinityl said:

Sí, es un ataque generalizado por todo el mundo.

A un cliente le han borrado incluso la BD entera no se sabe aun como.

El captcha se lo saltan desde hace tiempo.

Solucion temporal:

1.- cambiar la funcion verificadora de nombre y apellido por una que no admite url. La del enlace funciona pero hace que de errores al eliminar y un par de cosas menores más.

2.- Baneo de ip (es por ahora desde ip: "46.22.220.10"
 hostname: "pro10.promodemais.com.br"
 city: "Tallinn"
 region: "Harjumaa"
 country: "EE" ç

en Lituania)

 

 

El modus operandi de este spammer es registrarse con emails del destinatario del spam, poniendo en el nombre y apellidos las url de las que quiere hacer spam, por lo que les llegan emails desde nuestras tiendas con url de spam porno.

 

Saludos!

Siempre tiene que haber gente jodiendo...en fín,no me ha dado tiempo a probar lo del enlace,pero como has añadido esa ip,por el momento la he añadido al ban ip free.

Tengo copias recientes de BD pero haré nuevas,que nunca se sabe si te acuestas con tienda y te levantas sin nada.

Desde luego muchas gracias.

Share this post


Link to post
Share on other sites

Ayer noche cambiaron la ip del ataque por esta 46.22.220.49, bloquee el rango 46.22.0.0/16 

Share this post


Link to post
Share on other sites
hace 27 minutos, pedros2k12 dijo:

Ayer noche cambiaron la ip del ataque por esta 46.22.220.49, bloquee el rango 46.22.0.0/16 

No parece la mejor solución ir añadiendo IPs, en el tema en ingles han añadido algunos override para no tener que tocar el original.

 

Share this post


Link to post
Share on other sites
1 hour ago, gusman126 said:

No parece la mejor solución ir añadiendo IPs, en el tema en ingles han añadido algunos override para no tener que tocar el original.

 

¿El hilo es el que está publicado en este tema? lo de las ips funcionó al principio la cosa continúa.

Share this post


Link to post
Share on other sites
hace 56 minutos, GinM86 dijo:

¿El hilo es el que está publicado en este tema? lo de las ips funcionó al principio la cosa continúa.

Si, el enlace que puse arriba.

Sobre poner o no IPs, es una cuestión de estar atento a ver si han cambiado o es otro rango , otro pais etc. y los vendedores no van a tener tiempo, saben o van a pagar a alguien para que estén atentos a las IPs.

Mejor una solución sencilla, fija y que no estes cada X tiempo pendiente de ello

Share this post


Link to post
Share on other sites

Me apunto al problema, uso prestashop 1.6 y desde hace 1 dia me está pasando exactamente lo mismo... y a eso añado que no entiendo demasiado de estos temas, que no soy muy profesional en todo este tema de desarrollo web y similares. Veo que habeis puesto un enlace por ahí en ingles para dar una solución temporal pero no se interpretarlo muy bien. Alguien me explica un poco como hacer ese proceso para que termine este "infierno" al menos de momento?

Saludos y gracias de antemano.

Share this post


Link to post
Share on other sites
Posted (edited)

Video explicando como hacer los cambios.

ANTES HACED COPIA DE TODA LA CARPETA Y ESOS FICHEROS

Necesario acceder a los ficheros sea por filezilla o usando el explorador de archivos del servidor de hospedaje

Os recuerdo que no soy responsable de los fallos o errores producidos al editar estos ficheros

Aquí el código que hay que poner en validate

public static function isCustomerName($name)
    {
        if (preg_match(Tools::cleanNonUnicodeSupport('/www|http/ui'),$name)) {
        	return false;
        }

        return preg_match(Tools::cleanNonUnicodeSupport('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u'), $name);
    }

 

Edited by gusman126 (see edit history)
  • Like 1

Share this post


Link to post
Share on other sites

Cuidado al tocar estos ficheros, hacer una copia de seguridad antes del sitio

Al modificar los ficheros, me han aparecido estos errores en el log

/controllers/front/ContactController.php on line 257

/classes/shop/Shop.php on line 646

conclusión error 500 web inaccesible

después de unos sudores fríos..., y de revisarlo todo varias veces..., he tenido que volver a restaurar el directorio completo para dejarlo funcionando y analizarlo más tranquilo.

 

 

Share this post


Link to post
Share on other sites
hace 6 minutos, pedros2k12 dijo:

Cuidado al tocar estos ficheros, hacer una copia de seguridad antes del sitio

Al modificar los ficheros, me han aparecido estos errores en el log

/controllers/front/ContactController.php on line 257

/classes/shop/Shop.php on line 646

conclusión error 500 web inaccesible

después de unos sudores fríos..., y de revisarlo todo varias veces..., he tenido que volver a restaurar el directorio completo para dejarlo funcionando y analizarlo más tranquilo.

 

 

extraño lo he realizado en varias web de mis clientes y todo ok

 

Share this post


Link to post
Share on other sites
2 minutes ago, gusman126 said:

extraño lo he realizado en varias web de mis clientes y todo ok

 

He realizado 2 copias de validate.php y customer.php unos están tal cual y en los otros los he modificado según el tutorial,me ha funcionado y de momento no tengo ningún fallo,he probado a registrarme añadiendo una url y efectivamente no te deja,por el momento está todo tranquilo y no he visto nuevos registros de spam.

Esperemos que funcione definitivamente y no les de por dar otra vuelta de tuerca.

No viene al caso sobre prestashop pero hoy han ocurrido otras cosas extrañas en mi familia,reventar la cuenta de ubisoft y un mensaje de whatsapp con un audio extraño y al rato han empezado a llamar desde ese número,han formateado el teléfono para asegurarse de no tener nada raro dentro pero las llamadas continúan.

Se que no tiene que ver con esto,pero todo así de repente es algo más que curioso.

Share this post


Link to post
Share on other sites

si, parece que los problemas no vienen solos.

Ya mañana voy a revisar todos los errores del log y ver que ha pasado... lo que descubra os lo cuento

Buenas noches

  • Like 1

Share this post


Link to post
Share on other sites

Pues yo acabo de seguir el vídeo al pie de la letra, que por cierto, muchas gracias! jeje. Pero me deja la web inaccesible. Al parecer el problema está en el primero de los archivos, el Validate.php, en el momento que modifico ese, me da error y la web no carga, ni la web ni el backoffice :_S

Menos mal que hice backup de los archivos y los he vuelto a poner originales como estaban y me vuelve a funcionar la web, pero como es lógico sigo con el problema del spam :_S

¿Alguien podria echarme un cable por si he de revisar alguna otra cosa?

PD: he probado a modificar también el otro archivo (customer) manteniendo el "validate.php" original, y si que me carga, pero entonces cuando intento crear un usuario, la web da error..., en fin, me debe estar faltando alguna tonteria, ¿alguna idea por favor?, estoy agobiadisimo y no se que mas hacer :_S

Saludos y gracias de ante mano.

Share this post


Link to post
Share on other sites
hace 33 minutos, Jonatan - Siabyte dijo:

Pues yo acabo de seguir el vídeo al pie de la letra, que por cierto, muchas gracias! jeje. Pero me deja la web inaccesible. Al parecer el problema está en el primero de los archivos, el Validate.php, en el momento que modifico ese, me da error y la web no carga, ni la web ni el backoffice :_S

Menos mal que hice backup de los archivos y los he vuelto a poner originales como estaban y me vuelve a funcionar la web, pero como es lógico sigo con el problema del spam :_S

¿Alguien podria echarme un cable por si he de revisar alguna otra cosa?

PD: he probado a modificar también el otro archivo (customer) manteniendo el "validate.php" original, y si que me carga, pero entonces cuando intento crear un usuario, la web da error..., en fin, me debe estar faltando alguna tonteria, ¿alguna idea por favor?, estoy agobiadisimo y no se que mas hacer :_S

Saludos y gracias de ante mano.

comprueba que añades al final del archivo, antes de la ultima }

activa debug y guarda, prueba, a ver que error sale

 

Share this post


Link to post
Share on other sites
hace 34 minutos, gusman126 dijo:

comprueba que añades al final del archivo, antes de la ultima }

activa debug y guarda, prueba, a ver que error sale

 

Si si, si yo copio y pego tal cual aparece en el vídeo, justo antes de la última "}" del final del todo, lo que no se a que te refieres con eso de "activar debug"... eso asi de primeras no se que es, a que te refieres?

Yo lo que hago es conectarme al servidor con filezilla, duplico el archivo original para hacer un "backup", bajo el original a mi PC local, lo edito, guardo, compruebo que se ha guardado bien... lo subo al servidor y sobreescribo al original, vuelvo a bajar el archivo para comprobar que mantiene los cambios y que se ha subido bien y tal... y luego voy a intentar cargar la web y "meeeeeeee", error! :_S

¿Me puedes explicar que es eso del debug?, o que otra cosa podría comprobar?

PD: yo copio el texto ese del post ese que poníais, ya que en el vídeo no aparece en la descripción para copiar.. pero he estado comparando así por encima y parece exactamente el mismo, supongo que lo estaré dejando bien. Es mas, os pongo una foto para que veáis como queda, a ver si detectáis alguna cosa rara.

Captura_archivo_validate.php_.JPG

Share this post


Link to post
Share on other sites
hace 3 horas, gusman126 dijo:

debug = depuracion

mmm, vale, pero y donde tengo que hacer eso exactamente?, en el back office supongo?, perdona mi ignorancia... como ya dije no soy demasiado experto y ando algo verde, jeje.

Saludos y muchísimas gracias de antemano.

Share this post


Link to post
Share on other sites
hace 5 horas, Jonatan - Siabyte dijo:

mmm, vale, pero y donde tengo que hacer eso exactamente?, en el back office supongo?, perdona mi ignorancia... como ya dije no soy demasiado experto y ando algo verde, jeje.

Saludos y muchísimas gracias de antemano.

Buenos días; por si te puede servir... a tí y a otros... yo lo hice y me funcionó; pero no he aplicado el primer código sino el segundo; si te fijas en el video y en el código que has puesto tú no es exactamente igual, le faltan cierres de llaves ... no se si influyen, eso que lo digan los programadores de verdad ;)

El que yo he puesto es este:

    public static function isCustomerName($name)
    {
        if (preg_match('/www|http/ui',$name)) {
        	return false;
        }

        return preg_match('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u', $name);
    }

Share this post


Link to post
Share on other sites
Posted (edited)
hace 26 minutos, chuski711 dijo:

Buenos días; por si te puede servir... a tí y a otros... yo lo hice y me funcionó; pero no he aplicado el primer código sino el segundo; si te fijas en el video y en el código que has puesto tú no es exactamente igual, le faltan cierres de llaves ... no se si influyen, eso que lo digan los programadores de verdad ;)

El que yo he puesto es este:


    public static function isCustomerName($name)
    {
        if (preg_match('/www|http/ui',$name)) {
        	return false;
        }

        return preg_match('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u', $name);
    }

Lo subo arriba al mensaje del video. 

en el video es ese, en mi blog es ese , no se de donde ha salido el que no tiene llaves en el if

 

Edited by gusman126 (see edit history)

Share this post


Link to post
Share on other sites

Sale de post. En la primera no figuran las llaves, en el patch si figuran.

Una pregunta que versión de php teneís instalada, a mi me siguen saliendo errores en varios ficheros, a ver si por ahí....

 

Share this post


Link to post
Share on other sites
6 minutes ago, pedros2k12 said:

Sale de post. En la primera no figuran las llaves, en el patch si figuran.

Una pregunta que versión de php teneís instalada, a mi me siguen saliendo errores en varios ficheros, a ver si por ahí....

 

7.2

Share this post


Link to post
Share on other sites

De ahí sale, del primer post... y me di de cuenta con el video de Gusman (No lo vi en el Blog, porque no sabia cual era 😉; pero fijándome en el código que ponías....

Yo tengo PHP 7.2; 

Mi web va bien, sin errores

Share this post


Link to post
Share on other sites

Ok, ya veo, yo use el de un poco mas abajo, bueno ahora esta en el mensaje del video, esperemos que no le pase a otros.

Versiones PS , desde la 1.6.12 hasta la 1.7.5.1 y php 5.6 -> 7.2

Share this post


Link to post
Share on other sites

Gracias,

En local va bien, pero en el host no dejan de salir errores, voy a ver si subiendo el php a la 7.1 en el hosting...

Porque esto siguen con el ataque, van cambiando de ip cada pocas horas.

Share this post


Link to post
Share on other sites

Los de Factoriadigital han desarrollado un modulo gratuito que hace los cambios , no tengo relacion con ellos cualquier consulta o pregunta en su post

 

  • Like 1

Share this post


Link to post
Share on other sites

Buenas, a mi me pasaba lo mismo, version prestashop 1.6.1.12

Editar fichero /controllers/front/AuthController.php

line 408:

        // Preparing customer
        $customer = new Customer();
        $lastnameAddress = Tools::getValue('lastname');

Añadir esto debajo para bloquear el apellido del robot que usa www etc....

         if (preg_match('/www|http/ui',$lastnameAddress)) {
            $this->errors[] = Tools::displayError('lastname spam disable');
        }

 

Share this post


Link to post
Share on other sites
Posted (edited)

Buenas noches,

Nosotros teníamos un problema adicional, ya resuelto, que pasa si tocas demasiado las plantillas...

Hemos probado las soluciones del overraide que creo que es la más adecuada.

Primero hacer copias de seguridad, importante

Descomprimir el fichero que os deja Factoría digital

Comprimir la carpeta raíz con el nombre

factocreateoverride.zip

si la subís como esta no vais a ver el módulo por ningún sitio.

Una vez subido probar que funciona

Si no funciona

-          Revisar en override/classes/validate.php. Debe estar en utf-8 creo que hay un problema con el carácter “ º ” si no esta en utf-8 no va a funcionar correctamente

           return preg_match(Tools::cleanNonUnicodeSupport('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u'), $name);

-          Si sigue sin funcionar, limpiar la cache que utilicéis. Para los que utilicen smarty igual tenéis que borrar a mano los directorios

           cache/smarty/compile 

          cache/smarty/cache

          dejando siempre el fichero index.php

-          Si sigue sin funcionar

           Borrar el fichero

            cache/class_index.php

            se regenera solo

copia de seguridad y cuidadin

Edited by pedros2k12 (see edit history)

Share this post


Link to post
Share on other sites
1 hour ago, juanky1969 said:

Buenas, a mi me pasaba lo mismo, version prestashop 1.6.1.12

Editar fichero /controllers/front/AuthController.php

line 408:

        // Preparing customer
        $customer = new Customer();
        $lastnameAddress = Tools::getValue('lastname');

Añadir esto debajo para bloquear el apellido del robot que usa www etc....

         if (preg_match('/www|http/ui',$lastnameAddress)) {
            $this->errors[] = Tools::displayError('lastname spam disable');
        }

 

Mismo problema. Aplico estas dos líneas y aparentemente resuelto.

Me ha parecido más sencillo. Muchas gracias juanky1969

Saludos!

 

Share this post


Link to post
Share on other sites

De nada, Skin Thinks

Si hay mas ataques de este tipo bastaría con cambiar el preg_match('/www|http/ui' y adecuarlo al texto que pongan los paletos.

Saludos!

Share this post


Link to post
Share on other sites
Posted (edited)

Tras probar código, todo ok, pero me genera una pregunta adicional:  ¿como permitir "ñ" o tildes en apellidos?, cosa no infrecuente en España

Edited by inusnet (see edit history)

Share this post


Link to post
Share on other sites

Buenas!!!

12 hours ago, Skin Thinks said:

Mismo problema. Aplico estas dos líneas y aparentemente resuelto.

Me ha parecido más sencillo. Muchas gracias juanky1969

Saludos!

 

Pues lo he aplicado al archivo en cuestión. Testeamos unas horas, a ver qué tal.

Gracias a tod@s l@s que aportáis en este foro, y nos ayudáis a quienes tenemos menos conocimientos.

Saludos!

Jose Pina

Share this post


Link to post
Share on other sites
Posted (edited)
On 4/22/2019 at 10:30 AM, gusman126 said:

Lo subo arriba al mensaje del video. 

en el video es ese, en mi blog es ese , no se de donde ha salido el que no tiene llaves en el if

 

Pues a mi me ha funcionado a la primera ( Prestashop 1.6.1.14 y Php 5.6.40) Me dí cuenta de que faltaban las llaves en la función al ver el codigo de github. Por lo demas todo bien.
Nota: A los que os da errores de "cabecera" comprobad que no queden lineas vacias en el código de los ficheros de override.
Gracias por el aporte y saludos.

Edited by Martehoy (see edit history)

Share this post


Link to post
Share on other sites
21 hours ago, inusnet said:

Tras probar código, todo ok, pero me genera una pregunta adicional:  ¿como permitir "ñ" o tildes en apellidos?, cosa no infrecuente en España

Buenas,

Si se permite poner la "ñ" en los apellidos

Share this post


Link to post
Share on other sites
39 minutes ago, pedros2k12 said:

Buenas,

Si se permite poner la "ñ" en los apellidos

Cierto y parece que también las tildes. Hice la prueba combinando ñ, tilde y número en una sola prueba.

Muchas gracias

Share this post


Link to post
Share on other sites
Posted (edited)

Hola a todos,

Yo he probado los tres metodos y no me ha funcionado ninguno. Me pasa lo mismo que a pedros2k12; he seguido las instrucciones tal y como se explica en el video y  me da error 500 (dos veces me ha pasado). He intentado instalar el modulo y lo sube correctamente pero no lo veo (le he cambiado el nombre al modulo como aconsejan y tampoco lo veo asi que lo he dejado por imposible) .

Por último tambien he probado con la opcion de juanki1969 en el authcontroller.php y me siguen entrando los dichosos correos. Mi versión de prestashop es 1.61.23 y PHP 7.1

hartito me tiene el tema...

Edited by escardette (see edit history)

Share this post


Link to post
Share on other sites
Posted (edited)

Que raro, yo tengo la 1.6.1.23 y php 7.2 y me ha funcionado lo del video; (con las llaves de cierre)

Donde la tienes alojado?

Edited by chuski711 (see edit history)

Share this post


Link to post
Share on other sites

Buenas noches, para los usuarios de ps 1.6 yo he comprobado que teniendo el módulo EiCaptcha y en la configuración de crear la cuenta (Preferencias->Clientes) Tipo de proceso de registración (crear cuenta y dirección) de esta forma no se pueden registrar.

 

Módulo-> https://github.com/nenes25/eicaptcha/

 

Share this post


Link to post
Share on other sites
Posted (edited)
hace 1 hora, i12fehea dijo:

Buenas noches, para los usuarios de ps 1.6 yo he comprobado que teniendo el módulo EiCaptcha y en la configuración de crear la cuenta (Preferencias->Clientes) Tipo de proceso de registración (crear cuenta y dirección) de esta forma no se pueden registrar.

 

Módulo-> https://github.com/nenes25/eicaptcha/

 

A mi no me funciono , fijate que en el primer mensaje esta el enlace a ese modulo,comprueba bien , puede que esta atacando otra web y no este en la tuya

Edited by gusman126 (see edit history)

Share this post


Link to post
Share on other sites

Tengo 15 tiendas y tenía en todas ese módulo, pero las que tienen  Tipo de proceso de registración (crear cuenta y dirección) , no son atacadas.

Share this post


Link to post
Share on other sites

Buenas noches, yo tengo la configuración crear cuenta y dirección y si reciben el spam

Share this post


Link to post
Share on other sites
Posted (edited)
10 hours ago, chuski711 said:

Que raro, yo tengo la 1.6.1.23 y php 7.2 y me ha funcionado lo del video; (con las llaves de cierre)

Donde la tienes alojado?

En IONOS. Tambien tengo instalado el modulo captcha en el registro y el contacto y es un coladero. He comprobado varias veces el codigo y es correcto, el caso es que la tienda se peta en el momento en que pongo el codigo en los dos archivos

Edited by escardette (see edit history)

Share this post


Link to post
Share on other sites
Posted (edited)

controllers / front / authcontroller Ajoutez ces lignes dans la fonction protégée processSubmitAccount ()

 

 if (! Validate :: isName (str_replace ('www.', '$ www', $ _ POST ['nom' ')))) {
                $ this-> errors [] = Tools :: displayError (' invalid name. ') ;
            }

 

 

simple and it works

Edited by jajalfplv
translation (see edit history)

Share this post


Link to post
Share on other sites

Hola, buenos días, estoy probando la respuesta de jajalfplv pero en ese archivo hay dos bloques de código con processSubmitAccount () mando las capturas de pantalla, en cual hay que añadir las lineas de código?

Gracias, saludos

Captura de pantalla 2019-04-25 a la(s) 10.17.45.png

Captura de pantalla 2019-04-25 a la(s) 10.18.31.png

Share this post


Link to post
Share on other sites

i did it just after this line:

$this->errors = array_unique(array_merge($this->errors, $customer->validateController()));

 

Share this post


Link to post
Share on other sites

He probado a poner el código, pero aparte de que me da un error, al probar la tienda se rompe

Captura de pantalla 2019-04-25 a la(s) 11.38.43.png

Share this post


Link to post
Share on other sites
Posted (edited)

 if (!Validate::isName(str_replace('www.','$www',$_POST['lastname']))) {
                $this->errors[] = Tools::displayError('invalid name.');
            }

Edited by jajalfplv
translate (see edit history)
  • Like 1

Share this post


Link to post
Share on other sites

Si efectivamente si no le das ha enviar no te da errores (que tonto ji ji), bueno efectivamente funciona bien, he probado ha poner una web y el resultado es este:

Captura de pantalla 2019-04-25 a la(s) 12.15.58.png

Share this post


Link to post
Share on other sites

Ahora si modificas el campo apellido y pones un apellido, lo valida correctamente, es un inmenso alivio ver que funciona correctamente, muchísimas gracias por el aporte, ahora voy a modificar otras webs que tienen el mismo problema. 

Share this post


Link to post
Share on other sites
Posted (edited)

Aunque esta añadido en el pinned del foro, lo comento por aquí de todos modos.

Prestashop publica finalmente un artículo relacionado con el problema en el blog de desarrolladores: http://build.prestashop.com/news/fighting-against-spamming-again/. En las proximas variantes tanto de Prestashop 1.6.X como de 1.7.X vendrá aplicado el parche por defecto. 

En este enlace del repositorio de código oficial: https://github.com/PrestaShop/PrestaShop/pull/13549 . (https://github.com/PrestaShop/PrestaShop/pull/13549/commits) podéis ver (por ejemplo) un parche para Prestashop 1.7.X. Digo oficial...

Edited by nadie (see edit history)

Share this post


Link to post
Share on other sites
hace 1 hora, nadie dijo:

Aunque esta añadido en el pinned del foro, lo comento por aquí de todos modos.

Prestashop publica finalmente un artículo relacionado con el problema en el blog de desarrolladores: http://build.prestashop.com/news/fighting-against-spamming-again/. En las proximas variantes tanto de Prestashop 1.6.X como de 1.7.X vendrá aplicado el parche por defecto. 

En este enlace del repositorio de código oficial: https://github.com/PrestaShop/PrestaShop/pull/13549 . (https://github.com/PrestaShop/PrestaShop/pull/13549/commits) podéis ver (por ejemplo) un parche para Prestashop 1.7.X. Digo oficial...

Ok gracias.

Veo que han usado la función de validar el nombre, por lo que 

AVISO ->

LAS ACTUALIZACIONES HARÁN QUE TODO EL CÓDIGO AÑADIDO MANUALMENTE SE PIERDA

LOS OVERRIDE SE QUEDARAN, DEBERÍAN FUNCIONAR, PERO ESTAD ATENTOS DESPUÉS DE ACTUALIZAR.

 

Share this post


Link to post
Share on other sites
hace 1 hora, nadie dijo:

Aunque esta añadido en el pinned del foro, lo comento por aquí de todos modos.

Prestashop publica finalmente un artículo relacionado con el problema en el blog de desarrolladores: http://build.prestashop.com/news/fighting-against-spamming-again/. En las proximas variantes tanto de Prestashop 1.6.X como de 1.7.X vendrá aplicado el parche por defecto. 

En este enlace del repositorio de código oficial: https://github.com/PrestaShop/PrestaShop/pull/13549 . (https://github.com/PrestaShop/PrestaShop/pull/13549/commits) podéis ver (por ejemplo) un parche para Prestashop 1.7.X. Digo oficial...

Y para los que usan una version como la 1.5.X?

Share this post


Link to post
Share on other sites
hace 1 hora, tortuboyFran dijo:

Alguna solucion para versiones 1.5.x ?

si el codigo que se ha puesto como solución no te sirve, no va a haber ninguna actualización para esa version .

bloquear por IP o actualizar

Share this post


Link to post
Share on other sites
hace 2 horas, tortuboyFran dijo:

Alguna solucion para versiones 1.5.x ?

Por un lado está el módulo de factoría digital que (según ellos, yo no lo he instalado) funciona en ps 1.5, aquí el enlace.

Por otro lado está este código puesto más arriba, que hasta donde mi memoria alcanza es totalmente extrapolable a ps1.5 y fácil de modificar.

En 22/4/2019 a las 11:12 PM, juanky1969 dijo:

Buenas, a mi me pasaba lo mismo, version prestashop 1.6.1.12

Editar fichero /controllers/front/AuthController.php

line 408:

        // Preparing customer
        $customer = new Customer();
        $lastnameAddress = Tools::getValue('lastname');

Añadir esto debajo para bloquear el apellido del robot que usa www etc....

         if (preg_match('/www|http/ui',$lastnameAddress)) {
            $this->errors[] = Tools::displayError('lastname spam disable');
        }

 

 

Share this post


Link to post
Share on other sites
Posted (edited)

Hola

Tenía este problema, se daban de alta unos 10 clientes spam cada día, y se me ocurrió cambiar la configuración  en preferencias-clientes, y lo puse en "estándar (creación de cuenta y dirección)",  y por ahora he dejado de recibir altas de usuarios spam, no sé si será casualidad o no pero llevo 2 días que no he recibido nuevos registros de clientes. No creo que funcione a todo el mundo, quizás depende de la plantilla, pero bueno, por si lo queréis probar sin tener que tocar código...

Tengo PS 1.6.0.11

Saludos

Edited by warrant (see edit history)

Share this post


Link to post
Share on other sites
hace 14 minutos, warrant dijo:

Hola

Tenía este problema, se daban de alta unos 10 clientes spam cada día, y se me ocurrió cambiar la configuración  en preferencias-clientes, y lo puse en "estándar (creación de cuenta y dirección)",  y por ahora he dejado de recibir altas de usuarios spam, no sé si será casualidad o no pero llevo 2 días que no he recibido nuevos registros de clientes. No creo que funcione a todo el mundo, quizás depende de la plantilla, pero bueno, por si lo queréis probar sin tener que tocar código...

Tengo PS 1.6.0.11

Saludos

Supongo que será casualidad, yo siempre lo he tenido en estandard y todo el fin de semana fue catastrófico con los registros, + de 100 registros. El lunes puse un parche muy parecido al que indica juanky1969 más arriba y hasta ahora problema resuelto.

Share this post


Link to post
Share on other sites

Otra afectada que lleva mas de una semana luchando con esta  invasión de spam ... Unos 60 registros diarios que me han llevado de cabeza a pesar de  instalar EiCaptcha esto ha seguido sin cesar toda la semana,  noche y día hasta que  leí a i12fehea y antes de abandonar esta odisea por agotamiento y seguir otro día mas con ello,  hice un ultimo intento en  (Preferencias->Clientes) Tipo de proceso de registración: lo tenia en (Solo registración)  cambie a  (Estandar creación de cuenta y dirección) y por fin se soluciono totalmente el problema. Agradecida por haber encontrado aquí la solución por lo menos en mi caso   Versión de PrestaShop 1.6.1.23 .

On 4/24/2019 at 10:06 PM, i12fehea said:

Buenas noches, para los usuarios de ps 1.6 yo he comprobado que teniendo el módulo EiCaptcha y en la configuración de crear la cuenta (Preferencias->Clientes) Tipo de proceso de registración (crear cuenta y dirección) de esta forma no se pueden registrar.

 

Módulo-> https://github.com/nenes25/eicaptcha/

 

 

Share this post


Link to post
Share on other sites
hace 11 horas, marisol dijo:

Otra afectada que lleva mas de una semana luchando con esta  invasión de spam ... Unos 60 registros diarios que me han llevado de cabeza a pesar de  instalar EiCaptcha esto ha seguido sin cesar toda la semana,  noche y día hasta que  leí a i12fehea y antes de abandonar esta odisea por agotamiento y seguir otro día mas con ello,  hice un ultimo intento en  (Preferencias->Clientes) Tipo de proceso de registración: lo tenia en (Solo registración)  cambie a  (Estandar creación de cuenta y dirección) y por fin se soluciono totalmente el problema. Agradecida por haber encontrado aquí la solución por lo menos en mi caso   Versión de PrestaShop 1.6.1.23 .

 

Mi empresa tambien tiene lo de Estandar de creacion de cuenta y se sigue registrando, nuestra version de prestashop es 1.5.3.1, es una version antigua y el modulo de "Ban IP FREE" no funciona y otros modulos no son compatibles.

Share this post


Link to post
Share on other sites
Posted (edited)
On 4/24/2019 at 10:06 PM, i12fehea said:

Buenas noches, para los usuarios de ps 1.6 yo he comprobado que teniendo el módulo EiCaptcha y en la configuración de crear la cuenta (Preferencias->Clientes) Tipo de proceso de registración (crear cuenta y dirección) de esta forma no se pueden registrar.

 

Módulo-> https://github.com/nenes25/eicaptcha/

 

A mi esta solución me ha funcionado bien, sobre PS1.6.1.23 y con PHP 7.2

Yo descartaría de modificar archivos con el parche de antes, ese parche solo funciona si el bot pone en apellidos una url, lo cual ese parche solo servirá momentáneamente para este bot en concreto, pero a la que cambie el perfil del ataque, ese parche no servirá para nada.

Intentar aplicar el captcha con el registro en dos pasos, si no es santo de vuestra devoción, al menos hacerlo temporalmente hasta que saquen el parche oficial la gente de prestashop http://build.prestashop.com/news/fighting-against-spamming-again/

Los usuarios de PS 1.5 que no solventáis el problema ni con captcha, intentar de hacer un estudio para actualizar a 1.6, seguramente en la versión 1.5 estarán usando otro sistema de ataque mediante inyección directa a mysql

Edited by dwilden (see edit history)

Share this post


Link to post
Share on other sites
hace 1 hora, dwilden dijo:

A mi esta solución me ha funcionado bien, sobre PS1.6.1.23 y con PHP 7.2

Yo descartaría de modificar archivos con el parche de antes, ese parche solo funciona si el bot pone en apellidos una url, lo cual ese parche solo servirá momentáneamente para este bot en concreto, pero a la que cambie el perfil del ataque, ese parche no servirá para nada

Pues a mi no me funcionó, desde siempre he tenido lo de crear cuenta y dirección y se registraban a montón. No tengo exactamente ninguno de los parches que se nombran por aquí, pero si muy parecido y me funciona; si cambian el perfil del ataque cambiaré el perfil en el parche.

En cualquier caso y por muy oficial que sea el parche, antes o después, por un lado o por otro, nunca estaremos libres de este tipo de gentuza.

Share this post


Link to post
Share on other sites
En 21/4/2019 a las 7:53 PM, gusman126 dijo:

Video explicando como hacer los cambios.

ANTES HACED COPIA DE TODA LA CARPETA Y ESOS FICHEROS

Necesario acceder a los ficheros sea por filezilla o usando el explorador de archivos del servidor de hospedaje

Os recuerdo que no soy responsable de los fallos o errores producidos al editar estos ficheros

Aquí el código que hay que poner en validate


public static function isCustomerName($name)
    {
        if (preg_match(Tools::cleanNonUnicodeSupport('/www|http/ui'),$name)) {
        	return false;
        }

        return preg_match(Tools::cleanNonUnicodeSupport('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u'), $name);
    }

 

Gracias por el video, por ahora lo he aplicado en un PS 1.6.0.9 y ha funcionado... aunque en el caso del customer.php lo que hice fue localizar donde ponia "isname" y lo sustituí por "isCustomerName"

Lo he probado y efectivamente no permite registrarse con nombres que empiecen por www

Esperemos que dure...

Share this post


Link to post
Share on other sites
Posted (edited)

Hola de nuevo, para mi este problema está solucionado,pero desde anoche estoy viendo que mi servidor de correo me envía emails de correos no enviados de la confirmación de alta en la newsletter,algunos emails son bastante raros,no sé si tendrá que ver con esto¿os está pasando también? . Un saludo.

Edited by GinM86 (see edit history)

Share this post


Link to post
Share on other sites
On 5/29/2019 at 4:03 PM, GinM86 said:

Hola de nuevo, para mi este problema está solucionado,pero desde anoche estoy viendo que mi servidor de correo me envía emails de correos no enviados de la confirmación de alta en la newsletter,algunos emails son bastante raros,no sé si tendrá que ver con esto¿os está pasando también? . Un saludo.

Hola, me ocurre exactamente lo mismo, no con el registro, sino con el newsletter. Cientos de suscritos nuevos cada día con direcciones raras. Después el servidor me reporta que el email no ha podido ser enviado porque la dirección no existe.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More