Buenas a todos.
Gestiono un ecommerce en Prestashop 1.7.
De la noche a la mañana apareció un método de pago inyectado por javascript que es imposible de localizar. Hemos buscado todo el equipo con todo lo que hemos podido y se nos ha ocurrido para averiguar dónde se encuentra el fragmento de código que lo muestra o donde se haya el script que lo inyecta. También hemos revisado posibles agujeros de seguridad en módulos y temas, pero nada. Hemos buscado las cadenas del código que vemos en la consola en todos los archivos del sitio, por SSH, en la DB, rebuscado en todos los módulos por carpetas phpUnit, cambiado permisos y contraseñas y hasta hemos actualizado de la V1.7.6 a la V1.7.8 pero nada... Hemos conseguido mitigar el impacto reemplazando las carpetas "controllers" y "classes" por las de una instalación original y desaparece, pero a los 3-4 días vuelve a aparecer y aunque en que lo hace podemos volver a reemplazar dichas carpetas y desaparece, no es una opción viable de mantenimiento...
Hemos revisado los logs de Prestashop, los del servidor de peticiones http, SSH e incluso de la DB, pero no ha habido suerte y ya llevamos mas de 3 meses así. Además que el atacante ya habrá dejado la semilla hace mas de 6 meses para que las copias de seguridad contengan el nicho.
Agradecería ayuda e ideas que no sean: Instalación nueva e importación de datos
Gracias de antemano! Adjunto captura donde se ve como es y como sale en consola el código js