Prestashop 1.7 hackeada

[jromangmail2023]

Buenos días, seguramente este problema ya ha sido reportado en varias ocasiones pero no logro dar con la solución

Hace aproximadamente 6 meses nos hackearon la tienda en prestahop 1.7 con los archivo php.unit, realizamos la limpieza ccorrespondiente pero cuando accedes a la página del carrito en la parte final del HTML aparece el siguiente script

var _0x5aa5=["\x62\x6E\x70\x6D\x65\x72\x63\x61\x6E\x65\x74\x63\x77\x5F\x63\x6F\x6E\x74\x65\x6E\x74","\x70\x61\x79\x2D\x77\x69\x74\x68\x2D\x70\x61\x79\x6D\x65\x6E\x74\x2D\x6F\x70\x74\x69\x6F\x6E\x2D\x34\x2D\x66\x6F\x72\x6D","\x70\x61\x79\x2D\x77\x69\x74\x68\x2D\x70\x61\x79\x6D\x65\x6E\x74\x2D\x6F\x70\x74\x69\x6F\x6E\x2D\x33\x2D\x66\x6F\x72\x6D","\x70\...............

Perdon por lo largo que es

LLevo meses buscando una solucción a este asunto ya que cuando voy a pagar me está saltando un formulario falso para poner la tarjeta, adjunto pantallazo

No se si alguien me puede oriemntar un poco más porque me estoy quedando sin ideas y es una transtorno bastante serio

Os agradeceria culquier luz que me podais dar

Muchas gracias

[ComGrafPL]

¿Has leído esto? Podría ayudar a limpiarlo https://www.prestashop.com/forums/topic/1067200-hack-prestashop-sur-la-page-de-paiement-nettoyage/

[decimoarte]

hace 10 minutos, ComGrafPL dijo:

¿Has leído esto? Podría ayudar a limpiarlo https://www.prestashop.com/forums/topic/1067200-hack-prestashop-sur-la-page-de-paiement-nettoyage/

Gracias 

Voy a ver, entiendo que es de fiar el script... No sea que la liemos más, jjejejeje

[Nickz]

1 hour ago, jromangmail2023 said:

Hace aproximadamente 6 meses nos hackearon la tienda en prestahop 1.7 con los archivo php.unit, realizamos la limpieza ccorrespondiente pero cuando accedes a la página del carrito en la parte final del HTML aparece el siguiente script

Mejor hacer la Tienda nueva. Donde estan hospeadas?

[decimoarte]

hace 17 minutos, Nickz dijo:

Mejor hacer la Tienda nueva. Donde estan hospeadas?

 

[jromangmail2023]

5 hours ago, Nickz said:

Mejor hacer la Tienda nueva. Donde estan hospeadas?

Está en IONOS 

 

[Nickz]

21 hours ago, jromangmail2023 said:

Está en IONOS 

verifica tu access.log, si hay sospecha que tu hosting tiene que ver buscate un VPS. Tengo mala experiencia con los mega Hosting.   

[Fabry]

On 4/29/2023 at 12:10 PM, jromangmail2023 said:

Buenos días, seguramente este problema ya ha sido reportado en varias ocasiones pero no logro dar con la solución

Hace aproximadamente 6 meses nos hackearon la tienda en prestahop 1.7 con los archivo php.unit, realizamos la limpieza ccorrespondiente pero cuando accedes a la página del carrito en la parte final del HTML aparece el siguiente script

var _0x5aa5=["\x62\x6E\x70\x6D\x65\x72\x63\x61\x6E\x65\x74\x63\x77\x5F\x63\x6F\x6E\x74\x65\x6E\x74","\x70\x61\x79\x2D\x77\x69\x74\x68\x2D\x70\x61\x79\x6D\x65\x6E\x74\x2D\x6F\x70\x74\x69\x6F\x6E\x2D\x34\x2D\x66\x6F\x72\x6D","\x70\x61\x79\x2D\x77\x69\x74\x68\x2D\x70\x61\x79\x6D\x65\x6E\x74\x2D\x6F\x70\x74\x69\x6F\x6E\x2D\x33\x2D\x66\x6F\x72\x6D","\x70\...............

Perdon por lo largo que es

LLevo meses buscando una solucción a este asunto ya que cuando voy a pagar me está saltando un formulario falso para poner la tarjeta, adjunto pantallazo

No se si alguien me puede oriemntar un poco más porque me estoy quedando sin ideas y es una transtorno bastante serio

Os agradeceria culquier luz que me podais dar

Muchas gracias

 

Hola!

 

Recientemente tuve algunas tiendas donde alteraron este archivo inyectando un código como el que indicaste

/vendor/composer/autoreal.php

el archivo original suele tener un tamaño de 2.7k/2.8k..si lo ves diferente abrelo y comprueba.....el archivo debe ser reemplazado por una copia de seguridad de tu instalacion y no por cualquier prestashop porque tiene un cierto código interior diferente de cada instalación.

Ps:¡Perdonad mi español no muy correcto!

Ciao

Fabrizio

[jromangmail2023]

12 minutes ago, Fabry said:

 

Hola!

 

Recientemente tuve algunas tiendas donde alteraron este archivo inyectando un código como el que indicaste

/vendor/composer/autoreal.php

el archivo original suele tener un tamaño de 2.7k/2.8k..si lo ves diferente abrelo y comprueba.....el archivo debe ser reemplazado por una copia de seguridad de tu instalacion y no por cualquier prestashop porque tiene un cierto código interior diferente de cada instalación.

Ps:¡Perdonad mi español no muy correcto!

Ciao

Fabrizio

Muchas gracias por la aclaración.. voy a probar...

Y tu español perfecto

Os digo algo 

Gracias de nuevo 

[jromangmail2023]

1 hour ago, Nickz said:

verifica tu access.log, si hay sospecha que tu hosting tiene que ver buscate un VPS. Tengo mala experiencia con los mega Hosting.   

Gracias 

Lo comprobaré 

Ya te comentaré 

Un saludo 

[ExpertoPrestaShop]

Este hackeo modifica ficheros del núcleo de PS para incluir este código malicioso. Busca en tu BackOffice Parámetros Avanzados -> Información -> Listado de archivos modificados y allí encontrarás todos los archivos afectados. Con sobrescribirlos restaurándolos a la version original de PS ya debería desaparecer el problema. PERO eso no evitará que vuelvan a hackearte la tienda, porque probablemente entraron a través de alguna vulnerabilidad de un modulo obsoleto.

[jromangmail2023]

11 hours ago, ExpertoPrestaShop said:

Este hackeo modifica ficheros del núcleo de PS para incluir este código malicioso. Busca en tu BackOffice Parámetros Avanzados -> Información -> Listado de archivos modificados y allí encontrarás todos los archivos afectados. Con sobrescribirlos restaurándolos a la version original de PS ya debería desaparecer el problema. PERO eso no evitará que vuelvan a hackearte la tienda, porque probablemente entraron a través de alguna vulnerabilidad de un modulo obsoleto.

No se cómo agraderte el cable que me has lanzado

He seguido tus indicaciones y se solucionó, por si a alguien le sirve de ayuda, este fue mi reporter de archivos modificados 

robots.txt
classes/Carrier.php
classes/Customer.php
classes/Dispatcher.php
classes/Employee.php
classes/Hook.php
classes/Link.php
classes/Product.php
classes/Store.php
classes/Tools.php
classes/controller/Controller.php
classes/controller/FrontController.php
classes/controller/ModuleFrontController.php
classes/helper/HelperList.php
classes/shop/Shop.php
config/smarty.config.inc.php
controllers/admin/AdminLoginController.php
controllers/front/AuthController.php
controllers/front/IndexController.php
controllers/front/ProductController.php
src/PrestaShopBundle/Install/Install.php

Pues bien, subiendo los mismos archivos de una versión similar todo volvió a su ser

De nuevo muchas gracias, ahora me toca analizar posibles fallas de seguridad en algún módulo o algo.. 

Que tengas un gran día

 

 

[ExpertoPrestaShop]

Tienes que revisar los access logs de tu tienda para intentar encontrar desde que IP te escanearon la web y que archivos revisaron para entrar y hacer el hackeo. Otra detalle, este hackeo "vigila" las contraseñas de empleados, así que cualquiera que haya accedido al BackOffice en estos días debería cambiar su contraseña urgentemente.

[pascualandres01]

Pues parece ser que estan entrando en varias..   como bloqueais para que no vuelvan a entrar? hay algun firewall? 

 

Edited May 2, 2023 by pascualandres01 (see edit history)

[Nickz]

20 hours ago, jromangmail2023 said:

este fue mi reporter de archivos modificados 

Te toca rehacer tu tienda. Aprovecha y mejorala después de haber encontrado la entrada y haberla tapada. .

[ExpertoPrestaShop]

7 hours ago, pascualandres01 said:

Pues parece ser que estan entrando en varias..   como bloqueais para que no vuelvan a entrar? hay algun firewall? 

 

Cloudflare que es gratis. Bloqueas el acceso a todos los países distintos al tuyo y con eso debería bastar. Aunque la solución es actualizar/eliminar los módulos con problemas.

[pascualandres01]

Hola, si cloudflare lo conozco, lo tenemos activado para asia, pero europa y eeuu no podemos tenerlo activado ya que entran y compran a través de web... el tema de los módulos los hemos actualizado, pero hay algo que se me escapa, estoy buscando por log a ver... la web esta actualizada a la versión 1.7.8.9...

[Nickz]

4 hours ago, ExpertoPrestaShop said:

Cloudflare que es gratis.

Puede ser pero te va bloquear clientes y hasta a ti mismo.

Cloud es una desventaja, entregas el control de tu tienda a la cloud.

[jromangmail2023]

12 hours ago, pascualandres01 said:

Pues parece ser que estan entrando en varias..   como bloqueais para que no vuelvan a entrar? hay algun firewall? 

 

A lo mejor si como me han comentado tienes la posibilidad de chequear el log para ver las IP'S que consideres extrañas podrías bloquearlas desde el htacces, a parte aquí tienes un módulo que hace esa función, no lo he probado pero navegando en el foro hacen referencia a el y no pinta mal...

https://dh42.com/free-prestashop-modules/prestashop-htaccess-module/#

Ya me contarás 

Un saludo 

[Jonnathan]

Hola tambien fui vicitima del mismo hackeo, me toco montar la tienda nuevamente, lo que no se como identificar es cual modulo es el vulnerable. Por lo que veo fue un hack masivo

[jromangmail2023]

5 hours ago, Jonnathan said:

Hola tambien fui vicitima del mismo hackeo, me toco montar la tienda nuevamente, lo que no se como identificar es cual modulo es el vulnerable. Por lo que veo fue un hack masivo

Hola, pues ya sería una paliza no? Con respecto a los módulos que se pueden ver afectados mírate esto

https://www.lineagrafica.es/seguridad-prestashop-vulnerabilidad-malware/

Quizas te oriente un poco 

Espero que tengas suerte 

Un saludo 

[bera_ramazan]

Después de realizar una copia de seguridad de la base de datos, elimine todos los archivos y vuelva a instalarla.

[Jonnathan]

6 hours ago, jromangmail2023 said:

Hola, pues ya sería una paliza no? Con respecto a los módulos que se pueden ver afectados mírate esto

https://www.lineagrafica.es/seguridad-prestashop-vulnerabilidad-malware/

Quizas te oriente un poco 

Espero que tengas suerte 

Un saludo 

Gracias por la info 😉

Realice la limpieza en mi nuevo sitio pero me parece raro que teniendo una versión limpia y reciente del prestashop este sea vulnerable

Prestashop 1.7.8.9

Les dejo por acá lo que encontre

root@23hg4234hg3:/storage/prestashop/html# find /storage/prestashop/html/ -type d -iname phpunit
/storage/prestashop/html/modules/ps_facebook/vendor/phpunit
/storage/prestashop/html/modules/psxmarketingwithgoogle/vendor/phpunit
/storage/prestashop/html/vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit
/storage/prestashop/html/vendor/doctrine/deprecations/lib/Doctrine/Deprecations/PHPUnit

Elimine todos los directorios phpunit a exepción del html/vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit como lo indican en la documentación 

https://build.prestashop-project.org/news/2020/critical-security-vulnerability-in-prestashop-modules/

 

[jromangmail2023]

20 minutes ago, Jonnathan said:

Gracias por la info 😉

Realice la limpieza en mi nuevo sitio pero me parece raro que teniendo una versión limpia y reciente del prestashop este sea vulnerable

Prestashop 1.7.8.9

Les dejo por acá lo que encontre

root@23hg4234hg3:/storage/prestashop/html# find /storage/prestashop/html/ -type d -iname phpunit
/storage/prestashop/html/modules/ps_facebook/vendor/phpunit
/storage/prestashop/html/modules/psxmarketingwithgoogle/vendor/phpunit
/storage/prestashop/html/vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit
/storage/prestashop/html/vendor/doctrine/deprecations/lib/Doctrine/Deprecations/PHPUnit

Elimine todos los directorios phpunit a exepción del html/vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit como lo indican en la documentación 

https://build.prestashop-project.org/news/2020/critical-security-vulnerability-in-prestashop-modules/

 

No es raro, ya que estos archivos acceden a través de una vulnerabilidad cómo has podido comprobar, pero vamos, sita has realizado la limpieza esperemos que no se aburran...

Si encuentras algo más házmelo saber para chequear yo la mía 

Estamos en contacto

Un saludo 

[ExpertoPrestaShop]

18 hours ago, Nickz said:

Puede ser pero te va bloquear clientes y hasta a ti mismo.

Cloud es una desventaja, entregas el control de tu tienda a la cloud.

En la vida había escuchado una opinion tan disruptiva 😆 Por si gustas aprender poquito mas del tema: https://youtu.be/g2qR2YY4kGw

 

[Nickz]

1 hour ago, ExpertoPrestaShop said:

En la vida había escuchado una opinion tan disruptiva 😆

Tengo más que 18 años en este medio.

[ExpertoPrestaShop]

 

[Hue2]

Hola,

Quiero esclarecer alguna cosa por aquí ya que creo que puedo dar respuesta a algunos puntos, debido a que parte de mis funciones recaen en la seguridad.

1. Nos encontramos ante un ataque XSS. Es importante comprender que muchas veces no vale con actualizar la tienda ya que suelen ser los módulos los que tienen estas debilidades y permiten la inyección de código.

2. Es vital comprender por donde han accedido  por ello podemos tratar de mirar la fecha de modificación de los ficheros para tener una hora aproximada de los ataques. Filtra los logs de acceso con las peticiones POST que han tenido éxito (código 200), suelen haber peticiones muy seguidas a los ficheros afectados. Suelen usar lo que se denominan diccionarios que no es otra cosa que una lista con ficheros conocidos que contienen la vulnerabilidad, seguramente encontraras varias peticiones a ficheros que no existen y que les devuelve un 404. 
3. Infórmate de los módulos que encuentres como sospechosos, es probable que exista un CVE reportado.
4. Actualiza o des-instala el módulo afectado, dependiendo de tus necesidades. 

Aclaro un par de cosas más:

Cloudflare puede ser una buena medida de seguridad ya que pone un servidor entre el tuyo y los usuarios, por lo que el escaneo de tú maquina se complica bastante. Esta suele ser una solución a dolores de cabeza como trafico innecesario. Además viene con su certificado SSL, por lo que si has prescindido de él en tú máquina cloudflare lo hace por ti. Es cierto que tiene algunas pegas pero que si las conoces y sabes lidiar con ello al final no es para tanto.

Estoy estudiando el código malicioso ya que añade más cosa de lo que parece. No tengo claro que es lo que has usado para detectar los archivos, pero con la información del backoffice no te bastara ya que comprueba los archivos nativos de prestashop, la inyección añade archivos que no forman parte y por ende estos no se verán reflejados.
Aunque ya he podido leer la mayoría del código ofuscado puedo trasladar unos conceptos generales de lo que hace el código:

* Los usuarios del backoffice que inicien sesión durante el tiempo que la tienda ha estado comprometida tienen comprometidos sus datos ya que realiza phishing del mail, contraseña e incluso del directorio del backoffice.

*Añaden una imagen codificada que no es más que un script de js que añade un método de pago, el mismo que has mostrado. Como dato curioso parece que esta basado en el módulo de mercanet. aunque modificado claro, preserva alguna clase con el nombre del módulo. Aunque no es importante hay nombres de variables que pertenecen con ascii unicode a caracteres chinos, pero me parece curioso comentarlo.

*Recuperan la información mediante curl, haciendo un POST con unos token específicos.

*El código malicioso esta enfocado a tres tecnologías distintas por llamarlo de alguna forma: PrestaShop, Magento y aparentemente Nextcloud, este último no lo tengo claro aún. Ya que hace una consulta a la tabla employee de prestashop, admin_user de Magento y oc_user, Nextcloud parece usar una tabla que se llama así. De hecho un archivo que añaden esta en el directorio app que se llama Mage.php este es un archivo usado en Magento en ese mismo directorio. 

No quiero alargar esto demasiado, espero finalizar la interpretación del código que inyectan pronto, de momento queda claro que renovar las contraseñas de los usuarios del back y renovar el nombre del back por otro como medida urgente. 

Un saludo

[Nickz]

On 7/4/2023 at 5:34 AM, Hue2 said:

No quiero alargar esto demasiado, espero finalizar la interpretación del código que inyectan pronto,

Unica forma efectiva de evitar es validar los campos de contacto. Si un Modulo muestra debilidad deshabilitalo y encuentra una solucion

 

Edited November 9, 2023 by Nickz (see edit history)

[prestaconfig]

Buenos dias,

También tenemos el caso del hack que modifica periódicamente el archivo /vendor/composer/autoload_real.php.

¿Tiene una solución para evitar la modificación de este archivo o para detectar modificaciones en este archivo?

Esto es lo que se probó:

- Cambiar permisos de escritura (esto no es suficiente)
- Parchear Prestashop con los últimos CVE (esto no es suficiente).
- Uso del script eolia (esto no es suficiente)

Versión de Prestashop: 1.7.8.9
Versión de PHP: 7.4

Gracias.

[Jonnathan]

Al momento del hackeo cree este script para monitorear archivos nuevos y modificados mediante hash, espero les sirva ✌️

 

[prestaconfig]

Buenos dias,

¡Gracias por este recurso!

Buen dia.