Inyección SQL tabla ps_configuration

[fjns29]

Hola, esta mañana al entrar a mi tienda, he detectado que algo no estaba funcionado bien, revisando tablas me he dado cuenta que me habían cambiado el value del campo PS_SHOP_NAME de la tabla  ps_configuration  por una cadena de texto que conducía a un js de una web maliciosa.

He revisado todos los log de apache y no he encontrado nada, lo mismo con todos los ficheros he buscado la cadena de texto softbylinux por todas partes pero ni rastro.

Tengo un prestashop  1.6.1.1.18

Estoy en proceso de migración a la última versión de prestashop.

Si alguien le pasó algo parecido agradezco ayuda.

Gracias.

[ComGrafPL]

Cambie la contraseña de la base de datos, las contraseñas de FTP/tienda y escanee el archivo con https://www.prestashop.com/forums/topic/1067200-hack-prestashop-sur-la-page-de-paiement-nettoyage/
1.6 está lleno de agujeros de seguridad.

[ventura]

Haz una revision profunda de tus logs de acceso y realiza un escaneo completo de malware en el servidor utilizando herramientas como ClamAV o Maldet para verificar si hay scripts maliciosos adicionales o backdoors. 

Estas utilizando una versión de Prestashop muy antigua y desatendida y por lo tanto muy vulnerable.

[fjns29]

Muchas gracias por vuestra ayuda, es gratificante no sentirse solo en momentos difíciles.

Muchas gracias.

[aixos]

Hola

Entiendo que estás experimentando problemas con tu tienda en PrestaShop.

Estás utilizando la versión PrestaShop 1.6.1.18, que fue lanzada el 5/2/2018.

Aunque no estoy seguro de si esto resolverá tu problema, es importante destacar que ambas versiones (la tuya y la que te recomiendo) son antiguas.

Te recomiendo actualizar a PrestaShop 1.6.1.24, que fue lanzada el 2/5/2019. Esta versión es más segura y estable, lo que puede ayudar a resolver algunos de los problemas que estás experimentando.

Importante: Nunca actualices sobre una tienda en producción. Esto puede causar problemas y perder datos importantes.

¿Qué debes hacer?

Crea un clon de tu tienda: Haz una copia de seguridad de tus archivos y base de datos, y crea un clon de tu tienda en un entorno de prueba.

Experimenta en el clon: Actualiza el clon a la versión más reciente de PrestaShop y experimenta con los cambios.

Verifica que todo funcione correctamente: Una vez que hayas verificado que todo funciona correctamente en el clon, puedes pasar a producción.

Sobre las versiones de PrestaShop

Cada versión de PrestaShop es diferente a la siguiente, y cambian muchas cosas. Actualizar a la última versión desde la 1.6 puede ser complicado si no estás acostumbrado. Por lo tanto, es importante tomar las precauciones necesarias y seguir los pasos que te he recomendado.

Para  actualizar:

1-Click Upgrade

Te lo bajas de GitHub  

Si desea actualizar una tienda propulsada por PrestaShop 1.6, por favor utilice la última versión 4.14.3 para actualizar a una versión 1.7.

Saludos

[ExpertoPrestaShop]

Este es un tutorial con un conjunto de revisiones que deberías hacer en tu tienda como mínimo tras un evento de hackeo. Suerte!!!

 

[jayb174]

Hola, tambien me ha pasado en dos veces en los ultimos 5 dias. Veo que le paso a otro persona en el Forum. Tambien si buscas en google softbylinux.com, puedes ver que otros sitios usando Prestashop tienen el script. Haz encontrado alguna causa o solucion? 

 

[fjns29]

Buenos días jayb174;

En mi caso realice un profundo análisis del todos los log de apache sin encontrar nada, esta claro que el cambio en la base de datos se realizo fuera de prestashop ya que la fecha de actualización del cambio no quedo registrada.

En mi caso he analizado todo el código con ClamAV sin encontrar nada infectado, también realicé búsquedas de modificación de ficheros, tampoco encontré nada.

Al final opte por bloquear varios países por ip a traves de .htaccess entre ellos Venezuela que era de donde me indicaba que esta la web softbylinux.com en la siguiente url https://www.ip2location.com/free/visitor-blocker puedes descargar un .htaccess para bloquear países.

En esto momentos estoy llevando a cabo un proceso de migración a la última versión de PrestaShop la 8.2

Siento no poder ayudar más, pero yo tampoco encontré mucho al respecto.

Saludos.

[jayb174]

Pude encontrarlo en los logs de apache buscando a "ps_configuration", ya que sabemos que fue cambiada. Ahi me di cuenta que inyecto la informacion atravez del modulo ph_simpleblog. Este modulo fue fichado como peligroso anteriormente.  https://security.friendsofpresta.org/module/2021/08/20/ph_simpleblog.html 

Trata ver tus logs del mes completo en que paso y busca por a "ps_configuration". Tambien arregla o borra el module ph_simpleblog. 

[Diego G]

Lo siento pero no hablo español así que estoy usando Google Translate para publicar la respuesta.

En mi caso, el problema estaba relacionado con el módulo "smartblog".

Si tiene un módulo smartblog con una versión menor que 4.0.6, puede estar expuesto a la siguiente vulnerabilidad:

https://pentest-tools.com/vulnerabilities-exploits/prestashop-smartblog-406-sql-injection_2182

Puede aplicar una solución usando intval como se sugiere en esta publicación:

https://blog.sorcery.ie/posts/smartblog_sqli/

[ExpertoPrestaShop]

Para los que quieren una herramienta automatizada: https://github.com/prestaalba/fop_publishedvulnerabilityscan/releases

[Sashok]

Saludos a todos

Desafortunadamente, vemos miles de sitios en todo el mundo que ya han sido pirateados debido a que tienen núcleos y módulos obsoletos.

Los chinos y los rusos están robando información bancaria y cualquier formulario o clic de su sitio web...

Posibles objetivos del código:
Seguimiento de la actividad del usuario:
- El código rastrea los cambios en los campos del formulario (entrada, selección) y los botones, así como los clics en los enlaces.
- Estas acciones se registran en sessionStorage o se envían al servidor.
- Monitoreo de interacciones con iframes incrustados:
El código intenta rastrear las acciones del usuario incluso dentro del contenido iframe.
- Envío de datos recopilados al servidor:
- Los datos de interacción se almacenan como parámetros y se envían a través de búsqueda al servidor softbylinux.com

Sí, actualizar el núcleo a Prestashop 8.2.1 y los módulos del blog ayuda a cerrar todas las vulnerabilidades del sitio

Si necesita asistencia profesional inmediata, escriba al soporte técnico de mi empresa de TI:
[email protected]
https://webPCstudio.com/en/
Su experto en TI en webPCstudio (Ucrania)
sitios web efectivos + SEO + pagespeed + hosting + ciberseguridad
Más de 18 años en la web (más de 300 proyectos web)
Más de 12 años con Prestashop (más de 100 proyectos en PrestaShop)