Wysyłka spamu

[DrunkenBuck]

Witam,

 

18.06 miałem włam na serwer - ktoś podmienił główną stronę - przynajmniej tak to wyglądało. Strona została odtworzona z kopii zapasowej.

Mniej więcej tydzień później operator hostingu zablokował serwer ze względu na wysyłkę spamu - w związku z tym zaktualizowałem prestashop, wszystkie moduły, ściągnąłem wszystkie pliki i przeskanowałem je antywirusem, dodatkowe utworzone pliki php z wirusem wywaliłem z serwera. Hasła do panelu, wszelkich baz i kont pocztowych oczywiście zmieniłem.

Na kilkadziesiąt godzin był spokój, ale niestety sytuacja się powtórzyła, znów z mojego serwera wyszedł spam, operator zablokował. Tym razem dodałem "łatkę bezpieczeństwa" do szablonu.

Aktualnie jestem przy trzecim rzucie wysyłki spamu - widać pewną regularność, na co najmniej 24 godziny mam spokój. Atak następuje po mniej więcej 48 lub 72h obstawiam więc jakiś automat.

 

Pytanie - jak się tego pozbyć ? czy się da w ogóle ? jak jeszcze zabezpieczyć serwer ?

[endriu107]

Aktualuzacja modułów może nie pomóc najlepiej jest wymienić wszystkie pliki na nowe, a tych których nie możesz wymienić to dokładnie przejrzeć, wystarczy że 1 plik będzie nadpisany aby się sytuacja powtórzyła.

[hatak]

to nawet nie musi byc plik z presty

[() Maciej ()]

Miałem podobnie. Okazało się, że zawirusowany był jeden z modułów presty. A właściwie 1 plik mający 1 dodatkową linijkę kodu na początku pliku php. Czego bym nie robił problem wracał.

Łatwo rozpoznać taki plik, gdyż rozpoczyna się od zapisu <?php i nie ma tagu zamykającego... a później masz ponowne otwarcie tego samego tagu.

Żaden antywirus Ci tego nie wyłapie, ale walidacja kodu już owszem właśnie ze względu na brak tagu zamykającego.

 

Najprostsze rozwiązanie to poproś admina serwera o listę modyfikowanych plików na serwerze i wg tej listy sprawdzaj kolejne pliki.

[endriu107]

Takie z 1 dodatkową linijką kodu to łatwo wyłapać, najtrudniej chyba dodatkowe pliki, kiedyś sie długo naszukałem a okazało się że w module paypal/express_checkout/ dokleił sie plik search.php

 

Oczywiście w takim wypadku aktualizacja modułu nic nie daje ponieważ plik pozostaje na serwerze dlatego najlepiej usuwać całe katalogi które możemy zastąpić nowymi a resztę plików sprawdzić.

 

Jeśli chodzi o tag zamykający to wiele modułów ich nie posiada, natomiast w całości dodatkowe zawirusowane pliki w modułach nie posiadają komentarza i to się dosyć mocno rzuca w oczy.

[DrunkenBuck]

Chyba faktycznie to będzie to dziadostwo, tworzy mi różne pliki php, które mają dziwny kod. Aktualnie stworzył mi taki w folderze modułu google analytics.

[endriu107]

Włącz sklep w tryb maintenance i poproś admina hostingu o skan plików, powinni większość wyłapać.

 

Dodatkowo spytam z jakiego szablonu korzystasz, a raczej czy masz na serwerze szablon warehouse?

[DrunkenBuck]

Tak, faktycznie mam warehouse - aktualnie w najnowszej wersji. Co do skanu plików - wyłapali, ale pojawiają się nowe. Z dość charakterystycznymi eval i base64_decode.

Tylko niestety ta "charakteryczność" mi niewiele daje bo po dwóch dniach mam to znowu i nie wiem czy jakiś bot nie wchodzi przez tą samą lukę, której nie mogę znaleźć. Czy po prostu coś siedzi na serwerze a ja tego nie mogę znaleźć. W załączniku taki przykładowy pliczek.

dump80.php

[endriu107]

Ja bym obstawiał lukę w szablonie albo w jego modułach, wczoraj na anglojęzycznym forum 2 przypadki z tym szablonem były:

https://www.prestashop.com/forums/topic/540338-prestashop-hacked-how-to-repair-indexphp/

https://www.prestashop.com/forums/topic/540342-please-help-my-site-was-hacked/

[DrunkenBuck]

No cóż w module productmanufacturers tego szablonu znalazłem "dziwny" global.php a w translations main.css, który wygląda na skrypt perla.