Автор Тема: Сайт сам отправляет клиентам password.....  (Прочитано 423 раз)

12 Мая 2016, 11:06:41
  • Пользователь
  • **
  • Сообщений: 63
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
В общем суть проблемы сайт с 21.04.2016 внезапно стал высылать всем клиентам выборочно новую генерацию пароля для входа на сайт, то есть шаблон "password"

И не понятно почему... проверил логи отправки email и запроса на восстановления сайт не отправлял, но при этом благополучно выслал новый пароль....

Прошу помощи клиенты ужас как недовольны что к ним постоянно приходит генерация и захламляет им почту....

Посоветуйте, как исправить или хотя бы где искать...
Или если не кто не знает хоть скажите, как вообще вырубить пока данную функцию вообще, что бы не высылал вовсе...

Версия prestashop 1.6.1.5 (а проблема начались еще в 1.6.1.4)

Побывал выставь большую задержку на восстановление пароля, например, 1 000 000 минут, но все равно шлет….

ПОМОГИТЕ !!!
12 Мая 2016, 11:21:43
Ответ #1
  • Ветеран
  • *****
  • Сообщений: 2167
  • Репутация: +49/-4
  • Сообщество PrestaShop
    • Просмотр профиля
Проверь файлы на изменение в Расширенные параметры -> Информация о конфигурации.
12 Мая 2016, 11:24:31
Ответ #2
  • Пользователь
  • **
  • Сообщений: 63
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
так есть фалы с изменениями но в этих фалах все изменения сами вносили ! дописывали необходимое ....

admin-panel/themes/default/css/admin-theme.css
admin-panel/themes/default/template/controllers/orders/form.tpl
admin-panel/themes/default/template/controllers/orders/_print_pdf_icon.tpl
admin-panel/themes/default/template/controllers/orders/helpers/view/view.tpl
admin-panel/themes/default/template/helpers/form/form.tpl
classes/Validate.php
classes/Address.php
classes/pdf/HTMLTemplateOrderSlip.php
classes/pdf/HTMLTemplate.php
classes/pdf/HTMLTemplateOrderReturn.php
classes/pdf/HTMLTemplateSupplyOrderForm.php
classes/pdf/HTMLTemplateDeliverySlip.php
classes/pdf/HTMLTemplateInvoice.php
classes/pdf/index.php
classes/pdf/PDF.php
classes/pdf/PDFGenerator.php
js/validate.js
pdf/order-return.summary-tab.tpl
pdf/footer.tpl
pdf/invoice.product-tab.tpl
pdf/delivery-slip.style-tab.tpl
pdf/order-slip.summary-tab.tpl
pdf/supply-order.product-tab.tpl
pdf/delivery-slip.product-tab.tpl
pdf/header.tpl
pdf/delivery-slip.summary-tab.tpl
pdf/order-slip.payment-tab.tpl
pdf/invoice.style-tab.tpl
pdf/invoice-b2b.tpl
pdf/supply-order.tax-tab.tpl
pdf/order-slip.product-tab.tpl
pdf/invoice.summary-tab.tpl
pdf/invoice.addresses-tab.tpl
pdf/supply-order.tpl
pdf/invoice.total-tab.tpl
pdf/order-return.tpl
pdf/index.php
pdf/supply-order-footer.tpl
pdf/invoice.tax-tab.tpl
pdf/order-slip.total-tab.tpl
pdf/order-return.addresses-tab.tpl
pdf/order-return.product-tab.tpl
pdf/supply-order.total-tab.tpl
pdf/invoice.tpl
pdf/invoice.payment-tab.tpl
pdf/order-slip.tpl
pdf/delivery-slip.addresses-tab.tpl
pdf/delivery-slip.tpl
pdf/supply-order-header.tpl
pdf/delivery-slip.payment-tab.tpl
pdf/order-return.conditions-tab.tpl
pdf/supply-order.addresses-tab.tpl

Вот список файлов к паролю как я вижу не чего же не имеет ....
12 Мая 2016, 11:39:41
Ответ #3
  • Ветеран
  • *****
  • Сообщений: 2167
  • Репутация: +49/-4
  • Сообщество PrestaShop
    • Просмотр профиля
Проверяй все файлы, название ниочем не говорит. Код можно добавить в любой.
Крон таблицу проверь, может там есть задание генерировать пароли через время.
12 Мая 2016, 11:45:11
Ответ #4
  • Пользователь
  • **
  • Сообщений: 63
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Хорошо спасибо, буду искать только так и не понятно что именно....

Скажите а как выключить вообще функцию восстановления пока не разобрался ... ???

Какой скрипт или модуль или компонент отвечает за все это ?
12 Мая 2016, 11:49:37
Ответ #5
  • Партнер
  • Ветеран
  • ****
  • Сообщений: 22094
  • Репутация: +17108/-1
  • Разработка веб-сайтов и веб-программирование
    • Просмотр профиля
В вашем случае стандарные функции бесполезны.
Если вы сами не создавали задание на восстанолвение пароля, то это сделано кем-то другим. Сайт взломан или программист "пошутил". Так что проверять нужно весь сайт. Может с сайта высылается не только генерация пароль, но и другие данные на сторонний email.
Интернет-магазин под ключ.
Какой выбрать движок для интернет магазина ?
Какой движок лучше ?
Magento или Prestashop ?
Решение всех Ваших вопросов в создании Интернет-магазина.
12 Мая 2016, 12:01:23
Ответ #6
  • Пользователь
  • **
  • Сообщений: 63
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Хорошо и как быть ?

Откат на стандартную версию prestashop без изменений не устранит проблему ?
Замена паролей хостинга  ? тоже ?
12 Мая 2016, 12:01:41
Ответ #7
  • Ветеран
  • *****
  • Сообщений: 20838
  • Репутация: +25276/-0
  • Prestashop - просто и эффективно
    • Просмотр профиля
Контроллер - /controllers/front/PasswordController.php
$password = Tools::passwdGen
Эксперт Prestashop - решения всех проблем, написание модулей, создание тем для интернет-магазинов под Prestashop.
Эксперт Magento - создам сайт на Magento, программирование кастомных модулей для Magento, кастомизация тем Magento.
Лучшие цены!!!
12 Мая 2016, 12:04:20
Ответ #8
  • Партнер
  • Ветеран
  • ****
  • Сообщений: 22094
  • Репутация: +17108/-1
  • Разработка веб-сайтов и веб-программирование
    • Просмотр профиля
Хорошо и как быть ?

Откат на стандартную версию prestashop без изменений не устранит проблему ?
Замена паролей хостинга  ? тоже ?
Не поможет.
Полная переустановка prestashop, с удалением всех файлов с хостинга перед установкой. Смена паролей хостинга и бд. Вот это 100% поможет.
Интернет-магазин под ключ.
Какой выбрать движок для интернет магазина ?
Какой движок лучше ?
Magento или Prestashop ?
Решение всех Ваших вопросов в создании Интернет-магазина.
12 Мая 2016, 12:11:09
Ответ #9
  • Пользователь
  • **
  • Сообщений: 63
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Понял не разу не встречал что бы prestashop был взломан....

Спасибо за информацию !
Буду делать как вы предложили !
12 Мая 2016, 12:16:03
Ответ #10
  • Ветеран
  • *****
  • Сообщений: 20838
  • Репутация: +25276/-0
  • Prestashop - просто и эффективно
    • Просмотр профиля
Взламывают сервер, потом уже меняют файлы смс. Prestashop  непричем.
Но была тема на форуме о том что взламывают prestashop через установленный модуль buyme.
Эксперт Prestashop - решения всех проблем, написание модулей, создание тем для интернет-магазинов под Prestashop.
Эксперт Magento - создам сайт на Magento, программирование кастомных модулей для Magento, кастомизация тем Magento.
Лучшие цены!!!
12 Мая 2016, 12:20:59
Ответ #11
  • Пользователь
  • **
  • Сообщений: 63
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Взламывают сервер, потом уже меняют файлы смс. Prestashop  непричем.
Но была тема на форуме о том что взламывают prestashop через установленный модуль buyme.

Опа у меня как раз установлен модуль callme от того же производителя ... может это из за него все проблемы ?

пойду искать ту тему спс за инфу!
12 Мая 2016, 12:33:07
Ответ #12
  • Пользователь
  • **
  • Сообщений: 63
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Все равно не пойму как может даже если есть некий файл автоматический инициироваться запуск именно генерации пароля случайному пользователю....

Вы предполагаете что в фалах сайта есть эдакий php который настроен на стороннем cron на определённое время и выполнение?

так что ли ?
12 Мая 2016, 12:48:04
Ответ #13
  • Ветеран
  • *****
  • Сообщений: 20838
  • Репутация: +25276/-0
  • Prestashop - просто и эффективно
    • Просмотр профиля
Cron задание может быть только на вашем сервере.
Вторая возможность, это перебор по базе пользователей с запросом на востановление пароля. Вот такой вариант может быть со стороннего сервера, нужна только база пользователей сайта.
Эксперт Prestashop - решения всех проблем, написание модулей, создание тем для интернет-магазинов под Prestashop.
Эксперт Magento - создам сайт на Magento, программирование кастомных модулей для Magento, кастомизация тем Magento.
Лучшие цены!!!
12 Мая 2016, 13:33:09
Ответ #14
  • Пользователь
  • **
  • Сообщений: 63
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Cron задание может быть только на вашем сервере.
Вторая возможность, это перебор по базе пользователей с запросом на востановление пароля. Вот такой вариант может быть со стороннего сервера, нужна только база пользователей сайта.

Исходя из того что письма приходят от email сайта и с шаблоном формы сайта вероятнее всего скрипт где то на сервер верно ?

Если это так то возможно ли найди его по каким то переменным на сервере? например при помощи Total Commander

может кто покажет, что бы в поиск забить что бы найти хоть какие-то следы...