Infekcja strony

[kamel23]

Proszę o pomoc, zwracałem się już do Was, endrju odpowiedział,poradził, aby przedstawić problem administratorowi hosta, niestety, odpowiadają, że problem leży po stronie zajmującego się stroną. Prestashop "nie jest mocną stroną", sprawdzałem logi w PA, nie widać niepożądanego ruchu. Nie mam, niestety, dostępu do ftp (zdaję sobie sprawę, że jest to słabe), strona podczas logowania - brakuję jej szyfrowania. Nie bardzo wiem, czy można w tej sytuacji zrobić kopie bazy danych, boję się logować. Skanery różnie to interpretują, raz jest czysto, raz jest infekcja na stronie. Czas ładowania się strony znacznie się wydłużył. Zniknęło w PA moduł o mediach społecznościowych. Co tu mam zrobić.

http://wstaw.org/w/4Gse/linki/

http://wstaw.org/w/4Gsf/linki/

http://wstaw.org/w/4Gsk/linki/

[InterLaw]

Od razu mówię, że nie jestem specjalistą od presty, ale może spróbujesz wyłączyć wszystkie moduły spoza oficjalnych addonsów Presta - przetestować stronę, jeśli problem ustąpi włączaj kolejno moduły i szukaj winowajcy.

[endriu107]

Jeśli to co na tym screenie widać http://wstaw.org/w/4Gsf/linki/ masz w kodzie to masz coś w kodzie dopisane. 

Jak nie masz dostępu do ftp? W ogóle nie posiadasz dostępu? Co to za hosting?

Wyłączanie nienatywnych modułów może nie pomóc, tym bardziej ze w zależności od wersji presty a raczej od tego kiedy były natywne moduły aktualizowane może sie okazać że jeden z nich ma dziurę. 

[kamel23]

Serwer, na którym leży strona, to nazwa.pl, nie mam dostępu, nie ma właścicielki strony, wyjechała, nie mogę w płatnej tampletce jej nic zmieniać. Sugerować, aby pliki sprawdzać debugerem, skoro złośliwy kod jest doklejony? Mniej więcej wiem, kto stoi za tą "niespodzianką",no,ale nic nie można zrobić. Nie znam Presty, nie znam kodu, w dodatku nie znam PA Presty. Jest problem, endrju, proszę pomóc.

[endriu107]

Jak ktoś Ci ma pomóc jak nie masz najważniejszych rzeczy.

To nie jest praca na forum, do tego trzeba podejść profesjonalnie, z tego co widzę to już sklep nie przekierowuje na inne strony więc coś zrobiłeś, jakiś dostęp miałeś.

Pobierz pliki i przeskanuj je pod kontem dziwnych tablic, base64 etc. wszystko co podejrzane pousuwaj, ale w pierwszej kolejności aktualizacja modułów. Jeśli masz podejrzenie że ktoś niepowołany ma dane do bazy to pozmieniaj hasła i po kompletnym oczyszczeniu zmień ponownie.

[hakeryk2]

Mi to bardziej wygląda na to, że coś miało dostęp do serwera nazwy i szybciutko zainfekowało wszystkie pliki js i to te popularne, tak więc wgranie od nowa tych plików z wersji instalacyjnej presty powinno przywrócić sprawę z powrotem. Jako, że nazwa ma kopalnie skopaną strukturę użytkowników na łączu (tzn jeśli osoba ma konto i założy na nim kilka domen to w wypadku gdy jedna strona się wykrzaczy poprzez zawirusowanie, inne również często obrywają rykoszetem ze względu na brak reguł blokujących crawlowanie innych folderów).

Ponadto po zmianie plików zainfekowanych  na świeże należy zmienić dane do konta ftp, no ale - ty nie masz w ogóle dostępu do ftp a co dopiero pewnie do panelu klienta więc póki co możesz również dobrze odprawić modlitwę o deszcz. Skuteczność będzie taka sama.

[kamel23]

Do panelu administracyjnego jest dostęp, do ftp nie. Na samym początku, podczas logowania wyświetla kod błędu szyfrowania SSL_ERROR_BAD_CERT_DOMAIN Ten certyfikat jest prawidłowym certyfikatem tylko dla następujących nazw: *.nazwa.pl, nazwa.pl , czy w związku z tym potwierdzać wyjątek bezpecznego logowania? To też nie jest aktualna wersja Prestashop, w ustawieniach konfiguracyjnych informowany jestem o zmianie niektórych plików, chodzi o aktualizacje.

Nie wiem, czy to nazwa zmodyfikowała, czy zostało coś tam doklejone. Stało się to 15-16 października, wtedy to właśnie zaczął "krzyczeć" antywirus. Tak jak pisałem wcześniej, w logach nic nie widać, monitorując ruch linuksem także słabo. Gdzie i jak sprawdzać? Virustotal. AVGlinkchecker,Dr Web,itd nic nie wykrywają. Według securi zarażone są skrypty jquery, czyli chyba grafika, templatki, niektóre pluginy, np. fancybox. Co tu wymyślić?

Z innej beczki, Panowie, czy uzupełnienie parametru alt związane jest z dostępem do serwera? Kupnem tylko wtyczki SEO, za np. 149Euro? Inaczej się nie da, tak?

[kamel23]

Przestała działać zakładka kontakt na pasku widzę takkie coś https://kontakt/. Czy ten moduł działa w 1.6. 1.6?

 

Edited October 25, 2017 by kamel23 (see edit history)

[hakeryk2]

Powiem to samo co @endriu107 - To nie jest praca na forum, do tego trzeba podejść profesjonalnie.

Zleć to komuś w dziale zlecenia.

 

[kamel23]

Ceny są niepoważne. Może napisałby ktoś odpłatnie skrypt jak to usunąć. Na YT jest coś podobnego dotyczące wordpressa. Mój sprzęt prawdopodobnie jest czysty, chociaż na 100%  nie wiem.

https://www.youtube.com/watch?v=WljyROUScFw