Virus .ICO

[jonshez]

Cordial saludo

Tengo instalado prestashop 1.6.1.17

Tengo un virus que se replica constantemente en mi tienda.

Constantemente presenta:

1. Cambia varios index.php de mi tienda y le realiza un @incliude.

ejemplo: img/p/8/.afb8e7ac.ico  //Si pueden ver es un archivo con punto iniciar, quiere decir que es oculto

Aleatoriamente crea constantemente esos archivos.

Internamente ese archivo contiene:

----------------------------------
Muchos números y letras
------------------------------
 

Que se ha realizado:

Ya se corrio antivirus, antimalware y se han actualizado los pluguin

 

Alguien que tenga el mismo problema?

 

Gracias

Edited September 24, 2018 by nadie
Moderación edita contenido del tema, ya que a los usuarios del foro al entrar al post lo detecta como "sospechoso" (see edit history)

[jonshez]

Adicionalmente me cambio los permisos de estos index.php a 755.

Aclaro que todo el sitio lo tengo con permisos 755 carpetas y 644 archivos.

 

Gracias

[aixos]

Actualiza a la última versión de 1.6.1.20

recuerda siempre antes de actualizar copias de archivos y de base de datos

saludos

[jonshez]

aixos muchas gracias por tu respuesta alguna recomendación de como hacerlo?

Actualmente tengo el sitio en godaddy y me da constantemente errores de 504 por tiempos del servidor

 

Un abrazo

[jonshez]

Les comparto la siguiente información con la que pude solucionar mi caso y no solo para tiendas prestashop sino para cualquier desarrollo en PHP.

Buscando en internet encontre el siguiente proyecto que me encontro todos los archivos infectados.

https://github.com/scr34m/php-malware-scanner

Lo bueno de este proyecto es que se ejecuta por debajo con PHP y no saca errores típicos de 504.

Como solucioné todo.

1. Descargue todo el sitio del hosting

2. Analicé todos los archivos con antivirus. (El único que me detecto este php troyan fue Nod32). OJO saqué un reporte de la eliminación que realizaba y luego verificaba cada archivo y lo eliminaba en mi sitio en producción, esto es para que tengan cuidado que existen falsos positivos.

3. Lance en mi equipo local el php-malware-scanner (la forma de como utilizarlo esta en el sitio de github) y me detecto entre todos los sitios que descargue mas de 400 archivos con sospecha de virus. (El php-malware-scanner solo te reporta no te elimina nada).

4. Verifiqué archivo por archivo para validar la línea infectada y comparando con los archivos originales de cada CMS.

5. Procedí a corregir en mis sitios web.

 

Llevo ya casi 24 horas de no infección y parece que todo seguira igual.

 

Espero que esta información les sirva a alguien.