Ataque; añaden archivo en ~/PrestashopV16/js/mailer.php

[chuski711]

Tengo un problema con mi tienda On-Line, ya es la 5ª vez que me pasa en 1 mes; he buscado información pero no encuentro como solucionarlo.

Tengo Prestashop 1.6.1.24 (ultima version estable de 1.6) y mi proveedor de servicios IONOS (antes 1&1) me informa que su equipo de seguridad ha detectado envio de mails a traves de un fichero de mi espacio web, el fichero es   ~/PrestashopV16/js/mailer.php --Adjunto captura del mensaje-- ;

He eliminado el fichero pero vuelven a subirlo y se ve que envian correos electronicos a traves de mi web con ese fichero... he actualizado la version, tengo Captcha pero no se ahora que hacer para solucionarlo.

Agradeceria ayuda, ya que cada vez que me pasa, el proveedor me bloquea todas las cuentas de correo electronico.

Saludos

[chuski711]

Bueno, todo indica que tengo la web hackeada; introducen un archivo "mailer.php" que envia correos electronicos desde mi prestashop.

En el log de los correos electronicos me he encontrado envio de 2.500 correos en 2 dias, esto es un ejemplo...

2020-01-29 20:09:12 u74961336 zRZBwo-1ja14T3bYv-014FeQ => [email protected] msmtp.kundenserver.de[172.19.35.7] 250 Requested mail action okay, completed: id=1MGzI3-1ijygN3ju7-00E66g
2020-01-29 20:09:12 u74961336 zR4oc9-1j7Ipa44Uo-00SOiH |< REMOTE=196.70.175.0 SCRIPT=/PrestashopV16/Core/mailer.php -- /usr/sbin/sendmail -t -i
2020-01-29 20:09:12 u74961336 zR4oc9-1j7Ipa44Uo-00SOiH <= [email protected] SZ=7208 D=0 SID=497358608
2020-01-29 20:09:13 u74961336 zR4oc9-1j7Ipa44Uo-00SOiH => [email protected] msmtp.kundenserver.de[172.19.35.7] 250 Requested mail action okay, completed: id=1MvKTJ-1jnCLg04qP-00rFZJ
2020-01-29 20:10:02 u74961336 zRoaAU-1jXrIh4AIb-00bZdI |< REMOTE=196.70.175.0 SCRIPT=/PrestashopV16/Core/mailer.php -- /usr/sbin/sendmail -t -i
2020-01-29 20:10:02 u74961336 zRoaAU-1jXrIh4AIb-00bZdI <= [email protected] SZ=7251 D=0 SID=497358608
2020-01-29 20:10:03 u74961336 zRoaAU-1jXrIh4AIb-00bZdI => [email protected] msmtp.kundenserver.de[172.19.35.7] 250 Requested mail action okay, completed: id=1MqZE0-1jIl9n2akC-00mdBI

 

Sigo investigando

[chuski711]

Bueno, ya he avanzado algo... lo comento por si a alguien le sirve para ir erradicando 🤔

A traves de los logs de Prestashop fui averiguando, en principio la IP de este individuo, y mediante el Htaccess la he bloqueado; la cambia casi a diario, con lo que tengo que andar bloqueandola a diario, pero asi al menos lo tengo a raya (eso creo). Y no es capaz de subir el archivo para envio de email. (eso espero)

Adjunto archivo de texto con sus andanzas de hoy, no se si es que intenta buscar algun agujero para subir el archivo, o lo que hace 😔

Lo que me queda es cada vez que le pillo la ip, bloquearla, a ver si se aburre...

alguien aporta otra solucion?

 

Log hacker

[PIELRACING]

Hola, yo tengo el mismo problema.

He visto esto y lo he realizado, creo que aquí está la solución, ahora toca esperar.

https://soluka.fr/blog/prestashop/prestashop-faille-phpunit-xsamxadoo-bot/

Un saludo.

 

Edited February 18, 2020 by PIELRACING (see edit history)

[chuski711]

He visto eso buscando solucion y lo he aplicado, junto con lo que habia hecho de bloquear las ip, he ocnseguido que no me vuelva a suceder.

El atacante salia siempre con una IP ubicada en Marruecos, con lo que he bloqueado todas las ip de Marruecos, además de aplicar el modulo que comentas y actualizar PHP; llevo ya tiempo sin detectarlo.

Saludos