Me han hackeado la web dos veces y no sé si es o no a través de Prestashop.

[fesape79]

Hola a tod@s,

Quería exponer mi problema, a ver si alguien me puede ayudar. El caso es que llevo con una tienda en Prestashop bastantes años, al principio con la versión 1.6.1.6 y hace ya algún tiempo fue pasada a la -creo recordar- versión 1.6.1.17. Esta web estuvo años funcionando sin problemas, hasta que a mediados de enero de 2023 la hackearon. Justo unos días antes de ello, instalé (sin llegar a usarlo nunca) el módulo de pagos por Paypal, pues quería poner esa opción de pago en breve. El caso es que parece que intentaron modificar la web para que apareciera la posibilidad de pago por Paypal hacia la cuenta del hacker, ya que hasta ese momento la web solo aceptaba pago por transferencia o contrareembolso. Lo del módulo de Paypal me lo comentó el último cliente que compró, ya que me dijo algo sobre el pago por Paypal, y le extrañó, ya que yo le había comentado que la unica opción de pago era por transferencia o contrareembolso (no tengo ningún módulo para contrareembolso, simplemente en métodos de envío tenía puesto un método de envio con un precio para la transferencia, y otro método de envío con pago contrareembolso a otro precio). Sin embargo, misteriosamente la web dejó de funcionar al día siguiente, al entrar redirigía a una web rusa o india de criptomonedas, y no podía entrar ni al backend. Una cosa que me extrañó muchísimo fue que al entrar en CPanel ví que alguien había creado una cuenta de correo nueva... pero lo mejor de todo es que mi hosting (compartido, muy básico) solo permite tener una única cuenta de correo, y quien fuera que crease esa cuenta, se saltó totalmente la limitación de CPanel.

El caso es que intenté restaurar una copia de seguridad del servidor, pero finalmente no hubo esa posibilidad. Decidí borrarlo todo y aprovechar para hacer una web nueva. Por motivos muy diversos, probé Prestashop 1.7 y lo acabé borrando para volver a instalar el 1.6, aunque con la última version disponible, la 1.6.1.24 si no recuerdo mal. Cada vez que borraba, lo hacía a través de FTP, borrando todo el directorio public_htm, y además borrando la base de datos. Es decir, que empezaba totalmente de cero (o eso creo... no se si tenía que haber borrado algo más del hosting, pero que yo crea no). La web no la tenía aun configurada, y tan pronto como la instalé la puse en modo mantenimiento, sin haber instalado absolutamente ningún módulo ni nada de nada. Así ha estado aproximadamente un par de meses.

Pues bien, ayer me llega un email del proveedor de hosting indicandome que desde el "Anti Fraud Command Center" o algo así, han detectado que desde mi web se ha detectado que se hace phising. Efectivamente entro y desde google la tienen clasificada como web no segura (me la han borrado incluso de los resultados de búsqueda), y me meto en la FTP y veo que han aparecido unos cuantos directorios nuevos sospechosos, que deben ser los que ha metido el hacker. Acojonado, voy y lo borro todo a toda leche, no vaya a ser que me suponga eso un problema. Lo mejor de todo es que recordé que la primera vez me apareció en CPanel una cuenta de correo nueva, así que de nuevo entro en CPanel... y resulta que ahora hay no una, sino 2 o 3 cuentas de correo nuevas. Las he borrado, así como todo el directorio public_html desde FTP, y las bases de datos y su usuario.

El tema es que desde mi inexperto punto de vista, el problema puede ser del hosting y no mio... ¿no os parece? No se, pero me parece que eso de que me creen usuarios de email que sobrepasan los limites de uso de CPanel, es cosa de que hayan hackeado al hosting y no a mí a traves de Prestashop. Es que si fuera algún hacker que me ha pillado las contraseñas en mi ordenador, por mucho que quisiera no podría hacer eso... ¿o sí?

En breve me voy a pasar a otro hosting, donde estoy ahora me da muy poca confianza, tiene muy buenos precios, pero te dice que guarda backups diarios y semanales de la web, y luego resulta que no es así. Mientras tanto agradezco cualquier tipo de ayuda o consejos: que hacer para que no vuelva a pasar, si es probable como comento que el problema sea del hosting, que versión es mas recomendable, etc... Me gustaría volver a instalar el Prestashop 1.6, ya que usando la plantilla gratuita consigo que la web quede perfecta, pero ya no sé si vale la pena o no por tema de seguridad.

Muchas gracias por la ayuda.

[El Patron]

I was living in Spain when my PS 1.4 got hacked.  I got so pissed off.  When I looked at it, knowing when a file changes only then could an admin take action, i.e. trusted and non-trusted change.  So I wrote the module below that reports on file changes with additional benefit of allows one to restore a trusted file.  It detect new/changed and deleted files.

my advice?  go to shopify

spanish xlation

Estaba viviendo en España cuando hackearon mi PS 1.4. Me enojé tanto. Cuando lo miré, saber cuándo cambia un archivo solo entonces podría un administrador tomar medidas, es decir, un cambio confiable y no confiable. Así que escribí el módulo a continuación que informa sobre los cambios en los archivos con el beneficio adicional de permitir restaurar un archivo confiable. Detecta archivos nuevos/modificados y eliminados.

 

https://prestaheroes.com/collections/all-modules/products/prestavault-malware-trojan-virus-protection?variant=40653346603215

[Enrique Gómez]

48 minutes ago, fesape79 said:

Hola a tod@s,

Quería exponer mi problema, a ver si alguien me puede ayudar. El caso es que llevo con una tienda en Prestashop bastantes años, al principio con la versión 1.6.1.6 y hace ya algún tiempo fue pasada a la -creo recordar- versión 1.6.1.17. Esta web estuvo años funcionando sin problemas, hasta que a mediados de enero de 2023 la hackearon. Justo unos días antes de ello, instalé (sin llegar a usarlo nunca) el módulo de pagos por Paypal, pues quería poner esa opción de pago en breve. El caso es que parece que intentaron modificar la web para que apareciera la posibilidad de pago por Paypal hacia la cuenta del hacker, ya que hasta ese momento la web solo aceptaba pago por transferencia o contrareembolso. Lo del módulo de Paypal me lo comentó el último cliente que compró, ya que me dijo algo sobre el pago por Paypal, y le extrañó, ya que yo le había comentado que la unica opción de pago era por transferencia o contrareembolso (no tengo ningún módulo para contrareembolso, simplemente en métodos de envío tenía puesto un método de envio con un precio para la transferencia, y otro método de envío con pago contrareembolso a otro precio). Sin embargo, misteriosamente la web dejó de funcionar al día siguiente, al entrar redirigía a una web rusa o india de criptomonedas, y no podía entrar ni al backend. Una cosa que me extrañó muchísimo fue que al entrar en CPanel ví que alguien había creado una cuenta de correo nueva... pero lo mejor de todo es que mi hosting (compartido, muy básico) solo permite tener una única cuenta de correo, y quien fuera que crease esa cuenta, se saltó totalmente la limitación de CPanel.

El caso es que intenté restaurar una copia de seguridad del servidor, pero finalmente no hubo esa posibilidad. Decidí borrarlo todo y aprovechar para hacer una web nueva. Por motivos muy diversos, probé Prestashop 1.7 y lo acabé borrando para volver a instalar el 1.6, aunque con la última version disponible, la 1.6.1.24 si no recuerdo mal. Cada vez que borraba, lo hacía a través de FTP, borrando todo el directorio public_htm, y además borrando la base de datos. Es decir, que empezaba totalmente de cero (o eso creo... no se si tenía que haber borrado algo más del hosting, pero que yo crea no). La web no la tenía aun configurada, y tan pronto como la instalé la puse en modo mantenimiento, sin haber instalado absolutamente ningún módulo ni nada de nada. Así ha estado aproximadamente un par de meses.

Pues bien, ayer me llega un email del proveedor de hosting indicandome que desde el "Anti Fraud Command Center" o algo así, han detectado que desde mi web se ha detectado que se hace phising. Efectivamente entro y desde google la tienen clasificada como web no segura (me la han borrado incluso de los resultados de búsqueda), y me meto en la FTP y veo que han aparecido unos cuantos directorios nuevos sospechosos, que deben ser los que ha metido el hacker. Acojonado, voy y lo borro todo a toda leche, no vaya a ser que me suponga eso un problema. Lo mejor de todo es que recordé que la primera vez me apareció en CPanel una cuenta de correo nueva, así que de nuevo entro en CPanel... y resulta que ahora hay no una, sino 2 o 3 cuentas de correo nuevas. Las he borrado, así como todo el directorio public_html desde FTP, y las bases de datos y su usuario.

El tema es que desde mi inexperto punto de vista, el problema puede ser del hosting y no mio... ¿no os parece? No se, pero me parece que eso de que me creen usuarios de email que sobrepasan los limites de uso de CPanel, es cosa de que hayan hackeado al hosting y no a mí a traves de Prestashop. Es que si fuera algún hacker que me ha pillado las contraseñas en mi ordenador, por mucho que quisiera no podría hacer eso... ¿o sí?

En breve me voy a pasar a otro hosting, donde estoy ahora me da muy poca confianza, tiene muy buenos precios, pero te dice que guarda backups diarios y semanales de la web, y luego resulta que no es así. Mientras tanto agradezco cualquier tipo de ayuda o consejos: que hacer para que no vuelva a pasar, si es probable como comento que el problema sea del hosting, que versión es mas recomendable, etc... Me gustaría volver a instalar el Prestashop 1.6, ya que usando la plantilla gratuita consigo que la web quede perfecta, pero ya no sé si vale la pena o no por tema de seguridad.

Muchas gracias por la ayuda.

Bueno, lo mejor es que vayas a un hosting nuevo, empezar con 1.6 ahora mismo no es una opción ... los problemas de hackeos siempre han venido de módulos de terceros por lo que hay que ser cuidadoso de que se instala

Vale mas la pena pagar algo mas y tener la tranquilidad de que el hackeo no venga de un fallo del hosting

Saludos

[gusman126]

Versiones anteriores a 1.7.5 son hackeables , cuidado con tener estás versiones viejas si alguien denuncia por robo de datos a la GDPR puede caer una multa gorda por no tener los sistemas actualizados.

Hay módulos con errores de seguridad y el propio PrestaShop también tiene fallos de seguridad.

Si te han entrado te volverán a entrar, obviamente cambia todas las contraseñas de todo, de todo.

 

Igual con Windows y php y sistemas viejos.

 

[Nickz]

1 hour ago, gusman126 said:

Versiones anteriores a 1.7.5 son hackeables

Tiene valor decir esto. No hay tienda que no es haqueable. O la unica no haqueable no tiene conexion internet.

 

On 3/16/2023 at 12:38 PM, fesape79 said:

pero ya no sé si vale la pena o no por tema de seguridad.

Debes aprender a monitorear tu tienda, intentar hacerla tan seguro que puedas y observar los accesos no debidos.

[gusman126]

Me refería oficialmente, obviamente todos los sistemas tienen fallos de seguridad, pero tener una versión anterior a la que indican los propios desarrolladores de PS es un riesgo mayor.

Sin contar con módulos de terceros con fallos gordos de seguridad como el que tenía correos con posibilidad de bajar el fichero parameters.php 

[Nickz]

1 hour ago, gusman126 said:

Sin contar con módulos de terceros con fallos gordos de seguridad como el que tenía correos con posibilidad de bajar el fichero parameters.php 

Claro la falta de prudencia/experiencia en manipular una tienda online aumenta el riesgo.
Reitero que una vez vendiendo deben tener una persona a cargo o alternativamente una agencia que monitorea.

[idnovate.com]

Mírate esto también:

https://www.prestashop.com/forums/topic/1067200-hack-prestashop-sur-la-page-de-paiement-nettoyage/

[Pacof]

Muchas veces buscamos al culpable fuera de nosotros mismos, pero primero tenemos que revisar nuestras conductas, que son las que dejan esa puerta de entrada.

En nuestras conductas están los sistemas operativos del pc y del móvil tienen que estar actualizados y con una protección mínima, los navegadores actualizados, cómo guardamos las contraseñas, creación de contraseñas con una decencia mínima calidad, evita los wifis públicos o protégete de forma extra. No existe nada infalible, pero la mayoría de veces nuestra comodidad crea puertas para los que las buscan. Me refiero que puedes cambiar de hosting, pero tus ip personales y el dominio seguirá siendo los mismos, por lo que volverán a intentarlo.

Sé que para muchos esto es obvio, pero aquí muchos no disponen del tiempo requerido y nos lleva a cometer errores muy básicos.

[Enrique Gómez]

24 minutes ago, Pacof said:

Muchas veces buscamos al culpable fuera de nosotros mismos, pero primero tenemos que revisar nuestras conductas, que son las que dejan esa puerta de entrada.

En nuestras conductas están los sistemas operativos del pc y del móvil tienen que estar actualizados y con una protección mínima, los navegadores actualizados, cómo guardamos las contraseñas, creación de contraseñas con una decencia mínima calidad, evita los wifis públicos o protégete de forma extra. No existe nada infalible, pero la mayoría de veces nuestra comodidad crea puertas para los que las buscan. Me refiero que puedes cambiar de hosting, pero tus ip personales y el dominio seguirá siendo los mismos, por lo que volverán a intentarlo.

Sé que para muchos esto es obvio, pero aquí muchos no disponen del tiempo requerido y nos lleva a cometer errores muy básicos.

Cierto, en poco tiempo tengo dos clientes que les han hackeado la cuenta de FB/Instagram, en un caso era una cuenta importante y si la quería recuperar tenía que pagar un rescate.. realmente hay que tener mucha disciplina y cuidado con el tema de la seguridad.

[idnovate.com]

On 3/23/2023 at 10:29 AM, Enrique Gómez said:

Cierto, en poco tiempo tengo dos clientes que les han hackeado la cuenta de FB/Instagram, en un caso era una cuenta importante y si la quería recuperar tenía que pagar un rescate.. realmente hay que tener mucha disciplina y cuidado con el tema de la seguridad.

¿Pero sabes cómo se la han hackeado?

[Enrique Gómez]

3 minutes ago, idnovate.com said:

¿Pero sabes cómo se la han hackeado?

Creo que fue con algún malware que instalaron (al darle click a algún mensaje/link) de forma que ya tenían el móvil "hackeado"..  Una vez el movil "hackeado" con el tiempo ya tienen lo que quieren, el password de acceso. Luego puede ser que con la doble autenticación le dieron que sí sin saber muy bien lo que hacían..