jajajaja@ Posted July 18, 2012 Author Share Posted July 18, 2012 (edited) En las demás versiones de Prestashop no hay constancia de que exista esa vulnerabilidad en concreto. pues ya tienen una nueva yo fui quien abrio este pos hace una señana y tengo esta version asi que estamos fastidiados ya no se que hacer encontre ese codigo en las Versiónes de PrestaShop: 1.4.8.2-1.4.6 y 1.4.7 Edited July 18, 2012 by elitemfitness (see edit history) Link to comment Share on other sites More sharing options...
Lire Posted July 18, 2012 Share Posted July 18, 2012 Fíjate que este parche es solamente para las versiones 1.4, 1.4.1, 1.4.2, 1.4.3 y 1.4.4 mmm pero si yo tengo PrestaShop™ 1.4.7.3 y me comentan de loading que me pusieron el parche... haber si no hablamos de lo mismo...xD Link to comment Share on other sites More sharing options...
jajajaja@ Posted July 18, 2012 Author Share Posted July 18, 2012 eliminado despues de 3h otra vez el pt bicho instalado Link to comment Share on other sites More sharing options...
Lire Posted July 18, 2012 Share Posted July 18, 2012 eliminado despues de 3h otra vez el pt bicho instalado Pudiste mirarlo con dreamweaver? es importante que no quede nada, absolutamente nada de codigo malicioso, aunque te dejes uno el tio cerdo se reproduce...xD yo en mi caso tuve que buscar estas dos palabras: whitecada y c3284d ,aunque cada uno por lo que e visto tiene diferentes. Ayer la web sobre las 4am quedo limpia y demomento no a entrado nada y sigo con los modulos de twitter y todo el rollo. Link to comment Share on other sites More sharing options...
jajajaja@ Posted July 18, 2012 Author Share Posted July 18, 2012 Pudiste mirarlo con dreamweaver? es importante que no quede nada, absolutamente nada de codigo malicioso, aunque te dejes uno el tio cerdo se reproduce...xD yo en mi caso tuve que buscar estas dos palabras: whitecada y c3284d ,aunque cada uno por lo que e visto tiene diferentes. Ayer la web sobre las 4am quedo limpia y demomento no a entrado nada y sigo con los modulos de twitter y todo el rollo. no se como buscar el codigo con ese programa Link to comment Share on other sites More sharing options...
Loadinges Posted July 18, 2012 Share Posted July 18, 2012 mmm pero si yo tengo PrestaShop™ 1.4.7.3 y me comentan de loading que me pusieron el parche... haber si no hablamos de lo mismo...xD Nosotros únicamente tenemos constancia de la vulnerabilidad en esas versiones mediante este post oficial: http://www.prestashop.com/forums/topic/126114-please-read-security-procedure/ Esto no descarta que puedan existir otras vulnerabilidades en el propio Prestashop o en algún módulo que se pueda instalar. En cuanto a tu caso particular lirelok, te abrimos un ticket de soporte desde Loading para intentar recabar más información, prefiero no hacerlo por aquí por temas de privacidad. Un saludo. Link to comment Share on other sites More sharing options...
Lire Posted July 18, 2012 Share Posted July 18, 2012 xDD pues mas facil no te lo e podido explicar!! Link to comment Share on other sites More sharing options...
Lire Posted July 18, 2012 Share Posted July 18, 2012 Nosotros únicamente tenemos constancia de la vulnerabilidad en esas versiones mediante este post oficial: http://www.prestasho...rity-procedure/ Esto no descarta que puedan existir otras vulnerabilidades en el propio Prestashop o en algún módulo que se pueda instalar. En cuanto a tu caso particular lirelok, te abrimos un ticket de soporte desde Loading para intentar recabar más información, prefiero no hacerlo por aquí por temas de privacidad. Un saludo. loadinges, comentaban los comapañeros en el hilo que el problema viene de los hosting´s, hay gente afectada que no usa prestashop, sobre el ticket no tengo ninguno en relacion sobre este tema, yo las 2 veces que hable de este tema lo hice por el chat de loading, inlcuso me comentaron que pondrian un parche y que no hacia falta poner un ticket, creo que lo que se refiere del modulo es otra cosa. En principio no persiste el problema, asi que por mi parte esta solucionado, si necesitan cualquier cosa, digame donde referirme. Link to comment Share on other sites More sharing options...
jajajaja@ Posted July 18, 2012 Author Share Posted July 18, 2012 lo e pasado a #184Mike Kranzler de prestashop espero que el nos pueda ayudar Link to comment Share on other sites More sharing options...
jajajaja@ Posted July 18, 2012 Author Share Posted July 18, 2012 segun ellos el parche de Loadinges no sirve para 1.4.6-1.4.7.1.4.8 creo que esto se lo han encontrado de nuevo en estas versiones tendran que sacar otro parche ire informando Link to comment Share on other sites More sharing options...
Lire Posted July 18, 2012 Share Posted July 18, 2012 (edited) oki ya comentaras Edited July 18, 2012 by lirelok (see edit history) Link to comment Share on other sites More sharing options...
jajajaja@ Posted July 18, 2012 Author Share Posted July 18, 2012 (edited) Nadie me contestas esto en el foro de ingles mi hosting dice que es prestashop y bosotros que ellos soy novato en esto Creo que no es un problema de prestashop es el problema de la seguridad de tu hosting. Lo siento por mi Inglés mi hosting es de dondominio puedes avisarles ellos dicen que esto es culpa de prestashop ati te aran mas caso siento mucho insistir en esto pero hoy por hoy vivo y como de prestashop me encanta esta aplicacion y no quiero dejar de usarla por favor los moderadores podeis ayudarnos gracias Edited July 18, 2012 by elitemfitness (see edit history) Link to comment Share on other sites More sharing options...
jordiob Posted July 18, 2012 Share Posted July 18, 2012 Un aporte más, estas inyecciones de código son bastante putas en algunos casos y pueden pringar el ordenador y eso nos lleva a una nueva sorpresa si entra en juego... Filezilla! En resumen, la inyección puede meternos un bichito en la máquina que va a buscar la carpeta APPDATA donde Filezilla guarda los passwords. Eso permite que una persona externa (un hijo de su +*+* madre), use nuestros passwords para entrar directamente en nuestro(s) FTP(s) y pringarnos todos los archivos que pueda Also there is new blackhole in FILEZILLA so hacker steals all your passwords from your computer stored in APPDATA folder which is hidden but data in that folder is text raw formated and anyone can easy read and steal all your FTP passwords. http://www.slavisaristic.com/blog/388/ Link to comment Share on other sites More sharing options...
jajajaja@ Posted July 18, 2012 Author Share Posted July 18, 2012 (edited) Mike Kranzler, el 18 de Julio 2012 - 08:02, dijo: Hola elitemfitness, Tuve que nuestros desarrolladores se compruebe por mí, y Nadie es correcta, que el código no tiene nada que ver con PrestaShop. Se trata de un problema con su proveedor de hosting. Le sugiero que cambie su base de datos y contraseñas de FTP, a continuación, póngase en contacto con su anfitrión para resolverlo. -Mike hola Nadie es nuestro trabajo es muy apreciado en España, muchas gracias por su ayuda IMPORTANTE http://wmaraci.com/forum/wordpress/ftp-malware-virusu-temizleme-11861.html Edited July 18, 2012 by elitemfitness (see edit history) Link to comment Share on other sites More sharing options...
Lire Posted July 18, 2012 Share Posted July 18, 2012 Un aporte más, estas inyecciones de código son bastante putas en algunos casos y pueden pringar el ordenador y eso nos lleva a una nueva sorpresa si entra en juego... Filezilla! En resumen, la inyección puede meternos un bichito en la máquina que va a buscar la carpeta APPDATA donde Filezilla guarda los passwords. Eso permite que una persona externa (un hijo de su +*+* madre), use nuestros passwords para entrar directamente en nuestro(s) FTP(s) y pringarnos todos los archivos que pueda http://www.slavisaristic.com/blog/388/ A mi el hosting me recomienda analizar mi pc por ese motivo, jordi eso solo le pasa a FILEZILLA? osea que seria apropiado a cambiar de soft? alguna recomendacion? Link to comment Share on other sites More sharing options...
jordiob Posted July 18, 2012 Share Posted July 18, 2012 A mi el hosting me recomienda analizar mi pc por ese motivo, jordi eso solo le pasa a FILEZILLA? osea que seria apropiado a cambiar de soft? alguna recomendacion? Me he bajado la última actualización, se ve que eso ya está parcheado. De todos modos y por precaución, he eliminado todos los sites del filezilla y he vuelto al leech ftp que, aunque sea un cagarro, no da esos problemas Link to comment Share on other sites More sharing options...
jajajaja@ Posted July 18, 2012 Author Share Posted July 18, 2012 se comenta por hay que es el filezilla que estran como quieren y si se desistala problema solicionado canviar totas las contraseños base etc.. Link to comment Share on other sites More sharing options...
jordiob Posted July 18, 2012 Share Posted July 18, 2012 Sip. Yo he modificado todos los FTPs. Con los wordpress (que es donde me ha entrado a mí) he modificado los useradmins y los passwords también. Además, he instalado el wp firewall, por si os puede ayudar. En el caso de Prestashop, lo mejor es usar el parche de loading y vigilar muy de cerca los header.php, header.tpl y el .htaccess. Link to comment Share on other sites More sharing options...
jajajaja@ Posted July 18, 2012 Author Share Posted July 18, 2012 (edited) Me he bajado la última actualización, se ve que eso ya está parcheado. De todos modos y por precaución, he eliminado todos los sites del filezilla y he vuelto al leech ftp que, aunque sea un cagarro, no da esos problemas Edited July 18, 2012 by elitemfitness (see edit history) Link to comment Share on other sites More sharing options...
JValenzuela Posted July 19, 2012 Share Posted July 19, 2012 Comentar que me ha sucedido lo mismo, aunque con otro código, el archivo se añadió en el index.php del admin y en los .htacces una redirección a una web. También me paso en worpress, en este caso aparecieron archivos .htacces con redirecciones. He aplicado el parche que se comenta en este hilo y limpiado los archivos, a ver que sucede Un gran aporte el realizado por todos en este hilo, gracias! Link to comment Share on other sites More sharing options...
jordiob Posted July 19, 2012 Share Posted July 19, 2012 Comentar que me ha sucedido lo mismo, aunque con otro código, el archivo se añadió en el index.php del admin y en los .htacces una redirección a una web. También me paso en worpress, en este caso aparecieron archivos .htacces con redirecciones. He aplicado el parche que se comenta en este hilo y limpiado los archivos, a ver que sucede Un gran aporte el realizado por todos en este hilo, gracias! M'alegro! Link to comment Share on other sites More sharing options...
Lire Posted July 19, 2012 Share Posted July 19, 2012 ATENCION! revisen los ordenadores mediante algun anti-malware, ya que la infeccion por lo menos a mi me a dejado un troyano que hace una semana no tenia, posiblemente pueda haver venido a traves de esto. Link to comment Share on other sites More sharing options...
jordiob Posted July 19, 2012 Share Posted July 19, 2012 ATENCION! revisen los ordenadores mediante algun anti-malware, ya que la infeccion por lo menos a mi me a dejado un troyano que hace una semana no tenia, posiblemente pueda haver venido a traves de esto. Malware bytes anti malware: http://www.malwarebytes.org/products/malwarebytes_free Mano de santo, amigos. Link to comment Share on other sites More sharing options...
jordiob Posted July 19, 2012 Share Posted July 19, 2012 Cierto, yo tengo la versión pro... y no veas la cantidad de webs con prestashop que visito y son bloqueadas. Saludos Sip y wordpress también. El malware se está distribuyendo cosa fina. Como ya dije, mucho ojo a los htaccess Link to comment Share on other sites More sharing options...
JValenzuela Posted July 19, 2012 Share Posted July 19, 2012 Yo por mi parte si tenía 2 troyanos en el pc, usé Anti-Malware , y Spybot - Shearch & Destroy (este último muy recomendable) Link to comment Share on other sites More sharing options...
jordiob Posted July 19, 2012 Share Posted July 19, 2012 Yo por mi parte si tenía 2 troyanos en el pc, usé Anti-Malware , y Spybot - Shearch & Destroy (este último muy recomendable) Bien hecho! además, yo cambiaría todos los passwords del FTP, como te he comentado el *^** virus este te pilla los passwords del FileZilla 1 Link to comment Share on other sites More sharing options...
Loadinges Posted July 19, 2012 Share Posted July 19, 2012 Bien hecho! además, yo cambiaría todos los passwords del FTP, como te he comentado el *^** virus este te pilla los passwords del FileZilla Correcto jordiob, nosotros recomendamos fervientemente cambiar las contraseñas cuando se producen ataques de estos y no volver a utilizarlas porque con el tiempo pueden volver a hacer un barrido y colarse de nuevo. Un saludo Link to comment Share on other sites More sharing options...
jordiob Posted July 19, 2012 Share Posted July 19, 2012 Correcto jordiob, nosotros recomendamos fervientemente cambiar las contraseñas cuando se producen ataques de estos y no volver a utilizarlas porque con el tiempo pueden volver a hacer un barrido y colarse de nuevo. Un saludo Correctísimo. Además, si podemos cambiar los usernames de las backoffice de Prestashop y Wordpress, ya sería la hostia Gracias por los aportes loading! 1 Link to comment Share on other sites More sharing options...
hermes9 Posted July 20, 2012 Share Posted July 20, 2012 Hola otra mas con el mismo problema tengo 4 webs infectadas, hace 1 mes y medio me infecto unas 25 webs, intente todo como vosotros pero la única opción que me resulto fue hacer un back up de algunas y en otras abrir un usuario nuevo en el servidor y empezar de 0 cambiando contraseñas etc etc , fue un caos total y ahora otra vez con la basura esta,suerte que solo me entro en 4 si vamos a estar así cada 2 por 3, los de prestashop podrían hacer algo? si alguien lo consigue solucionar sin empezar de 0 que me diga que le pago lo que sea que estoy hasta el moño del .ru Link to comment Share on other sites More sharing options...
jordiob Posted July 20, 2012 Share Posted July 20, 2012 Hola otra mas con el mismo problema tengo 4 webs infectadas, hace 1 mes y medio me infecto unas 25 webs, intente todo como vosotros pero la única opción que me resulto fue hacer un back up de algunas y en otras abrir un usuario nuevo en el servidor y empezar de 0 cambiando contraseñas etc etc , fue un caos total y ahora otra vez con la basura esta,suerte que solo me entro en 4 si vamos a estar así cada 2 por 3, los de prestashop podrían hacer algo? si alguien lo consigue solucionar sin empezar de 0 que me diga que le pago lo que sea que estoy hasta el moño del .ru Sigue estos pasos: http://jordiob.com/2012/07/como-resolver-los-ataques-de-malware-yo-virus-a-prestashop/ y, sobre todo, cambia los passwords de los FTP Link to comment Share on other sites More sharing options...
Lire Posted July 20, 2012 Share Posted July 20, 2012 Siguiendo los pasos que te indica jordi conseguiras erradicarlo, una vez desinfectado, analiza tu pc en busca de troyanos que muy posiblemente te haya entrado, seguidamente eliminar "Filezilla" si lo usas , ya que por el es donde infecta las web´s, busca otro cliente FTP, a mi recomendaron "WinSCP", como dice jordi debes cambiar las contraseñas de FTP y aplicar los parches para solventar la vulnerabilidad. Tambien me indica loading que mi version prestashop, en este caso 1.4.7.3, esta versión esta libre de esta vulnerabilidad. Después de revisar los logs hemos comprobado que este hack vino por FTP, y no por la vulnerabilidad de Prestashop como te indicamos erróneamente. Se puede comprobar desde Plesk, en sitios web y dominios -> mostrar operaciones avanzadas -> registros -> xferlog_processed. Se pueden ver varias IPs distintas que corresponden al extranjero, y además las fechas en las que se modificaron los archivos coinciden con estos accesos. Demomento ya llevamos 3 dias limpios y sin rastro de infeccion, parece que el problema esta resuelto. Link to comment Share on other sites More sharing options...
jordiob Posted July 21, 2012 Share Posted July 21, 2012 Buenas a tod@s, hablais de las contraseñas y usuarios a nivel administración. Y de como desinfectar algo que está infectado... Despues de reinventar la rueda y quedar como expertos en el tema. Se os olvida un dato muy importante... y es el, por qué está en vuetra web y que es lo que hace el malware (no viene de vuestros ordenadores, ni acceden por el ftp)... no está ahi para hacer la puñeta, está para otro motivo... pero lo dejo en manos de los expertos para que lo expliquen mejor. Saludos statictic Si te refieres a coger datos de tus usuarios, no está ahí por eso. No accede a la BD ni a la backoffice, solo a archivos comunes que permitan mover el iframe por todo tu site con el mínimo de inyecciones. Link to comment Share on other sites More sharing options...
jajajaja@ Posted July 26, 2012 Author Share Posted July 26, 2012 bueno yo lo e solucionado conviando de programa FTP ponemos el titulo solucionado o lo dejamos gracias Link to comment Share on other sites More sharing options...
enikma Posted September 9, 2012 Share Posted September 9, 2012 a ver...y si ya no le va a modificar nada a la tienda...por que no eliminan los archivos con codigo malicioso y vuelven a subir el original que de seguro lo tienen en local....y dos...cambiar los permisos de escritura del archivo a solo lectura.....esto servira?? Link to comment Share on other sites More sharing options...
jordiob Posted September 9, 2012 Share Posted September 9, 2012 a ver...y si ya no le va a modificar nada a la tienda...por que no eliminan los archivos con codigo malicioso y vuelven a subir el original que de seguro lo tienen en local....y dos...cambiar los permisos de escritura del archivo a solo lectura.....esto servira?? No. Tienes que modificar el password de tu FTP, no es necesario cambiar los permisos de las carpetas Link to comment Share on other sites More sharing options...
clampon Posted March 22, 2013 Share Posted March 22, 2013 Siguiendo los pasos que te indica jordi conseguiras erradicarlo, una vez desinfectado, analiza tu pc en busca de troyanos que muy posiblemente te haya entrado, seguidamente eliminar "Filezilla" si lo usas , ya que por el es donde infecta las web´s, busca otro cliente FTP, a mi recomendaron "WinSCP", como dice jordi debes cambiar las contraseñas de FTP y aplicar los parches para solventar la vulnerabilidad. Tambien me indica loading que mi version prestashop, en este caso 1.4.7.3, esta versión esta libre de esta vulnerabilidad. Demomento ya llevamos 3 dias limpios y sin rastro de infeccion, parece que el problema esta resuelto. ¿Creéis que realmente es necesario "eliminar "Filezila""? Si limpiamos la web, pasamos el antivirus por nuestro ordenador y cambiamos las contraseñas, deberíamos poder continuar usando Filezila, ¿no? Lo pregunto además porque, por otra parte, he tenido problemas con las transferencias de archivos, pero aún no tengo claro a qué atribuirlo. Espero vuestros comentarios Link to comment Share on other sites More sharing options...
Loadinges Posted March 22, 2013 Share Posted March 22, 2013 Hola a todos. No creo que sea necesario eliminar Filezilla, sólo con cumplir ciertas normas de seguridad puede usarlo sin ningún temor. Por ejemplo, puedes desactivar que Filezilla te guarde las contraseñas (Opciones > Interfaz), pasar el anti-malware de vez en cuando, y por supuesto disponer de un antivirus instalado. Link to comment Share on other sites More sharing options...
.png.022b5452a8f28f552bc9430097a16da2.png)
Recommended Posts