Jump to content

Edit History

Maxflor

Maxflor

On 8/12/2022 at 7:24 PM, sorinsxtj said:

i will reply again  in this topic , it could be a long message , but i hope that it  can be useful for the many nubs  like me whom are using Presta.

PresatVault  sounds very good and is not  expensive , but what  will happend  if they took the control of ur  back panel ans simple disable the module?

for this i will  tell all the story  about what hapened to me . maybe it can be useful also for experienced guys. if is too much to read just ignore it

* first i got the info via  email that older Presta  can be  hacked  with an injection .. bla bla , u could find on ur shop root file blm.php

i did not pay much atention coz i was in holiday and thought that the   super guys will solve it  fast , plus i am a very small shop  , nobody wants nothing from me .  i checked   , the blm.php was there , Smarty on etc . but nothing strange on the site . imunify360  shows some files  cleaned  , all  ok 

then , surprise .  i try to make an order on my site  and  when  i had to chose payment  method  , a window that looks  almost exactly like my theme apears  and ask me for my credit card details. it was almost perfect , somebody worked on it. if i  compile  all data on that window (even write  wrong data there) the  window vanish and turns me back to the standard  payment  page of my website . and  it never apeared again. but the i had a doubt and create another customer  acount . same window till i copleted all fields with credit card details.

i sayd upss , and like i was in holiday and not much activity i asked my host to rollback a backup and reset my cpanel/ftp password.  swithc off SMARTY ,all was okay then/

what  I DID NOT do was to change also password of the shop ,  and to check  if there is also some more new user in  back panel. 

SO , after a week or  so , a client called me  that he does not have Paypal account and cannot order but he needs   that tool very fast. UPSSS again 

Smarty ON , try to order something  on my site ....Paypal screen. beleave me that i was frustraded  , i dont have enough knowledge  to repair it , google , forums  , guy that i know  is a developer in holiday ,bla  bla , friendly guys ,cheapest one was 600 eur . the sky was over me.

 now what i did is the most important thing in this love story

i have seen in the root of site a file b2b.php - i dont have b2b shop sio i deleted- nothing happens it has 0 bytes , but i figure out they replace  BLP file with B2B

then i opened in CPanel Imunify360 and noted all files atacked and cured by it ( see the pic bellow)

 

repelaced manualy all those files from a backup before atacks,  i will my have some problems with database later ( like i had when deleted test orders from  search bar of the browser , dont do that, anyway is another topic). made a clean of  orfan  things in my myPhPadmin

And haleluja , all back to normal.

then change again Cpanel password , this time  ALSO SHOP PASSWORD , emails  passwords of that domain , a fully scan of all PC  using  to work

then everyday several times i check if new files apeared on the root of my site and Smarty is OFF. i will see the results anyway on Monday coz both atacks took place on weekend when hackers are bored i suppose

 and  for sure i will buy  Prestavault module   acording sugestion of @El Patron , it should be usefull

sorry once again for the long bla  bla , i hope it can help somebody in the future

 

 

 

image.png

I replaced and deleted all the files you listed here and I still can't log into the back office 😕 Can you give me any advice on what to try? well thank you

Maxflor

Maxflor

On 12. 8. 2022 at 19:24, sorinsxtj said:

Odpoviem znova v tejto téme, môže to byť dlhá správa, ale dúfam, že to môže byť užitočné pre mnohých nubov, ako som ja, ktorí používajú Presta.

PresatVault znie veľmi dobre a nie je drahý, ale čo sa stane, ak prevezmú kontrolu nad zadným panelom a jednoducho deaktivujú modul?

preto porozprávam celý príbeh o tom, čo sa mi stalo. možno to bude užitočné aj pre skúsených chlapov. ak je príliš veľa na čítanie, jednoducho to ignorujte

* Najprv som dostal e-mailom informáciu, že staršia Presta môže byť hacknutá injekciou .. bla bla, môžete nájsť koreňový súbor vášho obchodu blm.php

nevenoval som tomu veľkú pozornosť, pretože som bol na dovolenke a myslel som si, že super chalani to rýchlo vyriešia, navyše som veľmi malý obchod, nikto odo mňa nič nechce. skontroloval som , bol tam blm.php , Smarty zapnutý atď . ale na stránke nič divné . imunify360 zobrazuje niektoré súbory vyčistené, všetko je v poriadku 

potom prekvapenie. Snažím sa urobiť objednávku na mojej stránke a keď som si musel vybrať spôsob platby, zobrazí sa okno, ktoré vyzerá takmer presne ako moja téma, a požiada ma o údaje o mojej kreditnej karte. bolo to takmer dokonalé, niekto na tom pracoval. ak skompilujem všetky údaje v tomto okne (dokonca tam napíšem nesprávne údaje), okno zmizne a vráti ma späť na štandardnú platobnú stránku môjho webu. a už sa to nikdy neobjavilo. ale mal som pochybnosti a vytvorte si ďalšie zákaznícke konto. rovnaké okno, kým som nevyplnil všetky polia s údajmi o kreditnej karte.

Povedal som upss a ako keby som bol na dovolenke a nemal som veľa aktivít, požiadal som svojho hostiteľa, aby vrátil zálohu a obnovil moje heslo cpanel/ftp. vypni SMARTY, vtedy bolo všetko v poriadku/

čo som NEUrobil, bolo zmeniť aj heslo obchodu a skontrolovať, či sa v zadnom paneli nenachádza ešte nejaký nový používateľ. 

Takže asi po týždni mi volal klient, že nemá Paypal účet a nemôže si objednať, ale potrebuje tento nástroj veľmi rýchlo. Opäť UPSSS 

Smarty ON , skús si niečo objednať na mojej stránke ....Paypal obrazovka. verte mi, že som bol frustrovaný, nemám dostatok vedomostí na to, aby som to mohol opraviť, google, fóra, chlap, o ktorom viem, že je vývojár na dovolenke, bla bla, priateľskí chlapci, najlacnejšia bola 600 eur. obloha bola nado mnou.

 to, čo som urobil, je teraz najdôležitejšia vec v tomto milostnom príbehu

V koreňovom adresári stránky som videl súbor b2b.php - nemám obchod s b2b, takže som vymazal - nič sa nedeje, má 0 bajtov, ale zistil som, že nahradia súbor BLP súborom B2B

potom som otvoril v CPanel Imunify360 a zaznamenal som všetky napadnuté a vyliečené súbory (pozri obrázok nižšie)

 

manuálne nahradené všetky tieto súbory zo zálohy pred útokmi, neskôr budem mať nejaké problémy s databázou (ako som mal, keď som zmazal testovacie príkazy z vyhľadávacieho panela prehliadača, nerobte to, každopádne je iná téma). vyčistil som od sirotských vecí v mojom myPhPadmin

A haleluja, všetko späť do normálu.

potom znova zmeňte heslo Cpanel , tentoraz AJ HESLO OBCHODU , e - mailové heslá tejto domény , úplná kontrola všetkých počítačov používaných na prácu

potom každý deň niekoľkokrát skontrolujem, či sa v koreňovom adresári mojej stránky objavili nové súbory a Smarty je vypnutý. výsledky aj tak uvidím v pondelok, pretože oba útoky sa odohrali cez víkend, keď sa hackeri asi nudia

 a určite si kúpim modul Prestavault podľa návrhu@El Patron , malo by to byť užitočné

ešte raz sa ospravedlňujem za dlhé bla bla, dúfam, že to niekomu v budúcnosti pomôže

 

 

 

image.png

I replaced and deleted all the files you listed here and I still can't log into the back office 😕 Can you give me any advice on what to try? well thank you

×
×
  • Create New...