carplab Posted May 14, 2020 Share Posted May 14, 2020 Ciao a tutti, è da un paio di mesi che il mio presta 1.6.1.14 è sotto attacco da hacker. Me ne sono accorto perchè il mio provider dell'hosting mi ha bloccato i servizi, mi avevano installato delle pagine fake e dei file per spammare mail e per fare phishing. Ora io ho fatto una pulizia generale (erano talmente tanti file che non so se ho pulito bene tutto) e sto tenendo monitorato, quando vedo file estranei li elimino subito, ma capite che non posso stare 24/24h su ftp per vedere se mi installano roba. Ho letto che generalmente per installare file sull'hosting sfruttano delle falle dei moduli, vi chiedo, non c'è un modo per capire da dove diavolo partono per installarmi queste robe? Magari una voce di un log che mi possa far capire qual'è la falla? Oppure, non so, un modulo che monitora i movimenti del server... Se c'è qualcuno esperto in analisi di sicurezza ecc che mi contatti... GRAZIE Link to comment Share on other sites More sharing options...
ziobudda Posted May 14, 2020 Share Posted May 14, 2020 Ciao, hai cambiato le varie password di FTP ed altro ? Hai cancellato in tutti i moduli tutte le cartelle phpUnit ? M. Link to comment Share on other sites More sharing options...
carplab Posted May 14, 2020 Author Share Posted May 14, 2020 si, non ci sono cartelle phpunit e che ho: disabilitato l'upload dai form , tolto l'upgrade con 1 click dai moduli e cambiato tutte le password sia di ftp che di admin del prestashop, ho cambiato il nome della cartella del back office... era pieno di file che si chiamavano leaf.php e sitemps.php... sembrava fossero dei file per monitorare le directori ftp perchè erano in quasi tutte le cartelle del presta.... Link to comment Share on other sites More sharing options...
ziobudda Posted May 14, 2020 Share Posted May 14, 2020 Ciao, la cosa che puoi fare è fare un backup del DB, e reinstallare tutto PS e i moduli installati (li stessi con la stessa versione) e poi importare il db. Se non hai più problemi allora era qualche file che ancora era presente nella macchina Altrimenti ci sono due possibilità - ti hanno bucato la macchina quindi ti entrano tramite una backdoor - il db è corrotto e c'è uno script malevolo da qualche parte. Non hai un backup di quando il sito era pulito ? M. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now