Jump to content

Prestashop 1.7.6.1 infectado por virus - ficheros y buscando a otros. Modulo ExplorerPro Culpable de infección


gusman126

Recommended Posts

Hola, esta tarde me han avisado un cliente que no le funcionaba la web, después de ver algunos ficheros he visto que ha sido infectado con unos ficheros y ademas me ha extrañado mucho que la carpeta de asmcarrier tuviera un fichero 404.php infectado.

Obviamente lo he eliminado todo y cambiadas las contraseñas. pero mirad a ver si os ha entrado algún bicho , y sobre todo si utilizáis el modulo de asmcarrier mirad a ver si esta este fichero 404.php infectado.

Capturas de pantalla de ficheros

image.thumb.png.2e13d747e3630b86f39fb377098f280c.png

 

Edited by gusman126 (see edit history)
  • Like 1
  • Thanks 1
Link to comment
Share on other sites

Justo ahora, burrots dijo:

pozi.

este es tipico de wordpress, ya han pegado el salto a prestashop.

buen trabajo al encontralo e informarlo

 

No tiene wordpress, es lo que me ha extrañado. ni en otra carpeta, ni en un subdominio.

Veremos si salen mas infectados. Queria ponerlo en ingles, pero al ver que la carpeta de asmcarrier es de un modulo exclusivo de España no se hasta que punto puede ser algo generico a todos los Prestashop

 

Link to comment
Share on other sites

hace 11 minutos, burrots dijo:

se debe haber aprovechado de alguna vulnerabilidad de ese modulo.

Segun mi experiencia asm es un desastre, no me extrañaria q su modulo tmb lo fuera

No puedo asegurarlo, las fechas no coincidian. con los ficheros que te he enviado y con el 404.php , otra cosa es que fuera modificado despues .

Ahora mismo mirando otros posibles clientes que tengan el ASM , NO GLS

 

He mirado otro con el asmcarrier y no tiene nada...

Edited by gusman126 (see edit history)
Link to comment
Share on other sites

Otro cliente, pero esta vez es diferente ,

No tiene asmcarrier . Versión 1.7.4.4 y no tenia los ficheros de infección de index.php y tampoco los ficheros dentro de modules , la pagina funcionaba perfectamente

También el dia 17/08 

Me parece que han encontrado algún bug y están aprovechándose de el.

Comprobado lo de PHPINIT 

image.png.d30a82736a79489877dae39e30fa1fa6.png

 

 

Edited by gusman126 (see edit history)
Link to comment
Share on other sites

hace 2 minutos, Enrique Gómez dijo:

Échale un vistazo a

 

a ver si es uno de los modulos . A malas hay que revisar el log de accesos a ver si se detecta el coladero, típicamente un php para subir ficheros donde te suben lo que quieren..

 

Suerte

Gracias por el enlace, pero ,Mira las fechas, eso es del 2016, estamos hablando de agosto del 2020

 

Edited by gusman126 (see edit history)
Link to comment
Share on other sites

Vale, investigando algo mas , he podido ver que en el Prestashop 1.7.4.4 , si que es posible que hayan utilizado el phpinit , en un fichero estaba "PRIVET BOT BY XSam-XAdoo" , pero he instalado el modulo para verificar y no ha encontrado el phpinit...

Lo extraño es el de la versión 1.7.6.1

Edited by gusman126 (see edit history)
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...