Автор Тема: Взлом prestashop  (Прочитано 1951 раз)

05 Августа 2016, 23:59:44
Ответ #15
  • Фрилансер
  • *
  • Сообщений: 110
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
У меня сайт был взломан тоже, поковыривал червяков но теперь стал глючить кеш магазина и не работает автообновление, может кто знает как можно обновить престу вручную?
06 Августа 2016, 10:33:24
Ответ #16
  • Ветеран
  • *****
  • Сообщений: 2336
  • Репутация: +52/-4
  • Сообщество PrestaShop
    • Просмотр профиля
Замени файлы prestashop. Как на старой версии было.
06 Августа 2016, 12:05:09
Ответ #17
  • Партнер
  • Ветеран
  • ****
  • Сообщений: 22126
  • Репутация: +17110/-1
  • Разработка веб-сайтов и веб-программирование
    • Просмотр профиля
Замени файлы prestashop. Как на старой версии было.
Так можно обновить только с версии prestashop > 1.6.0.5
Если установлена версия prestashop < 1.6.0.5 будут проблемы.
Интернет-магазин под ключ.
Какой выбрать движок для интернет магазина ?
Какой движок лучше ?
Magento или Prestashop ?
Решение всех Ваших вопросов в создании Интернет-магазина.
08 Августа 2016, 12:38:12
Ответ #18
  • Ветеран
  • *****
  • Сообщений: 32999
  • Репутация: +26759/-0
    • Просмотр профиля
Список модулей которые нужно обновить:
- Simpleslideshow,
- Columnadverts,
- Homepageadvertise,
- Productpageadverts,
- Advancedslider,
- Attributewizardpro,
- Homepageadvertise2,
- Videostab,
- vtermslidesshow,
- cartabandonnedpro.
09 Августа 2016, 11:13:07
Ответ #19
  • Новичок
  • *
  • Сообщений: 41
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Всех приветствую!

От себя добавлю:
За 4 дня получил около 4млн обращений POST к форме sendtoafriend_ajax.php
Я не знаю, целенаправленно или нет бомбили домен, но его пришлось удалять на хостинге, дабы снизить нагрузку!
Нагрузка была 40-55, стала 800. После удаления домена упала до 2-3.

Сейчас всё восстановил, через .htaccess закрыл доступ куче IP с Китая, Сингапура, Филлипин, Тайланда и т.д.
Но до сих пор (спустя уже 8 дней) идут запросы такого вида (файл логов)
***.ru 113.61.34.194 - - [09/Aug/2016:11:00:12 +0300] "POST /modules/sendtoafriend/sendtoafriend_ajax.php HTTP/1.1" 403 1045 "http://***.ru/modules/sendtoafriend/sendtoafriend_ajax.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" 0
Модуля нет, удалён, но запросы валятся.

Вопросы знатокам:
Есть ли какая-то возможность борьбы с такими вот вредителями? КРоме, как уйти на хостинг, где стоит защита, в том числе и от DDoS атак...
Кто-то ещё с этим сталкивался?


PS: после удаления домена он очень быстро оказался на том же хостинге, но под другим аккаунтом, а при входе - переадресовывал на кучу разных сайтов.
Либо случайность, либо "шайтан" - мой сосед...

Я, честно говоря, первый раз столкнулся с этим "рейдом", и в полной прострации...
09 Августа 2016, 11:45:11
Ответ #20
  • Ветеран
  • *****
  • Сообщений: 972
  • Репутация: +5/-0
  • Иногда заглядываю
    • Просмотр профиля
    • Помощь патентообладателям по продаже патентов.
Попробуйте ограничить количество заходов на сайт вставьте в
robots.txt такую фразу Crawl-delay: 2    (количество заходов в секунду)
Не боги горшки обжигают, не зачем им такой хренью заниматься.
09 Августа 2016, 11:47:15
Ответ #21
  • Ветеран
  • *****
  • Сообщений: 13285
  • Репутация: +14557/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Если  модуля нет, то можно в htaccess запретить доступ к файлу
<Files sendtoafriend_ajax.php>
  deny from all
</Files>
Или редирект поставить на "соседа".
09 Августа 2016, 11:59:12
Ответ #22
  • Ветеран
  • *****
  • Сообщений: 2336
  • Репутация: +52/-4
  • Сообщество PrestaShop
    • Просмотр профиля
Цитировать
PS: после удаления домена он очень быстро оказался на том же хостинге, но под другим аккаунтом, а при входе - переадресовывал на кучу разных сайтов.
Либо случайность, либо "шайтан" - мой сосед...
Это кто-то из твоих "друзей"  >:(
09 Августа 2016, 12:16:31
Ответ #23
  • Новичок
  • *
  • Сообщений: 41
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Всё указал, спасибо за полезные советы.

Сейчас "бомбёжка" редкая, 1-2 раза в 10 минут (иногда более), неощутима в сравнении с тем, что было по 30-50 запросов в 1-2 секунды.

GeoIP тоже активировал в магазине, оставил Россию, и разрешённые IP только для поисковых ботов.


Друзья, партнёры, знакомые - исключаются.
Единственное, конкуренты. Магазин коммерческий, при этом в своей тематике в топе-10 по многим запросам.
Отсюда интерес "со стороны".
Возможным "перепутали/попутали/проэкпериментировали/потренировались" отдаю очень малый процент, хотя всякое бывает.
09 Августа 2016, 17:36:47
Ответ #24
  • Старожил
  • ****
  • Сообщений: 346
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
На оф. сайте появилось предупрежение об обнаружении уязвимости в модулях prestashop:
- simpleslideshow
- columnadverts
- homepageadvertise
- productpageadverts

Обнаружить взломан ваш сайт или нет можно с помощью проверки на наличие следующих файлов:
- is.php
- m.php
- 22.php
- x.htm
- kentu.html
- 50.php
- pocong.html
- t.php
- dya.php
- z.php

При обнаружении этих файлов, нужно проверить все файлы prestashop, так как внедрение shell скрипта дает возможность менять код оригинальных файлов, время создания и другие атрибуты файла.

А где могут лежать эти файлы или хотя бы парочка из них?
09 Августа 2016, 18:59:48
Ответ #25
  • Ветеран
  • *****
  • Сообщений: 32999
  • Репутация: +26759/-0
    • Просмотр профиля
В любой папке. Проверять нужно все папки prestashop.
16 Августа 2016, 19:36:03
Ответ #26
  • Пользователь
  • **
  • Сообщений: 51
  • Репутация: +0/-1
  • Сообщество PrestaShop
    • Просмотр профиля
Доброго дня!
Столкнулся с такой проблемой.
Уже как 3 день приходят на почту такое сообщение (1000 или более писем в день)

This is the mail system at host intmr.hoster.ru.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<1154210753@qq.com>: host mx3.qq.com[103.7.30.40] said: 550 Ip frequency
    limited.
    http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000725 (in
    reply to end of DATA command)

Final-Recipient: rfc822; 1154210753@qq.com
Original-Recipient: rfc822;1154210753@qq.com
Action: failed
Status: 5.0.0
Remote-MTA: dns; mx3.qq.com
Diagnostic-Code: smtp; 550 Ip frequency limited.
    http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000725


---------- Пересылаемое сообщение ----------
From: "Название магазина" <почта магазина>
To: <1154210753@qq.com>
Cc:
Date: Tue, 16 Aug 2016 17:55:09 +0300
Subject: [Название магазина] Друг sent you a link to Коралловая футболка с гипюром
Название магазина
 
Здравствуйте, 威尼斯人娱乐城www.51868.cc开户送50元,玩家首选,拥有合法网投牌照,大额玩家首选!全网电子,百家乐最佳投注平台! 银河娱乐场www.136.org存8元送38元,BBIN唯一官方直营网!电子游艺激情十惠邀您挑战!微信群发分享送198元,月月三大现金回馈!! ,
 
Друг отправил Вам ссылку на товар, который может Вас заинтересовать.
 
Для просмотра этого товара, пройдите по ссылке: Коралловая футболка с гипюром
 
.... работает на PrestaShop™

Message from ....


Название магазина и почту не показываю.
Что это может быть и как с этим бороться?
Есть модуль на сайте "Отправить другу" - отправляется ссылка другу, отключал, но все равно письма приходят.
Пробовал менять почту магазина, как только поменял, спам стал приходить сразу же на новую почту. Получается проблема где-то в магазине. Посмотрел на сервере файлы и даты изменений, ничего не обнаружил подозрительного. Что делать непонятно

Произвел поиск на сервере из этого списка нет ничего

Цитировать
На оф. сайте появилось предупрежение об обнаружении уязвимости в модулях prestashop:
- simpleslideshow
- columnadverts
- homepageadvertise
- productpageadverts

Обнаружить взломан ваш сайт или нет можно с помощью проверки на наличие следующих файлов:
- is.php
- m.php
- 22.php
- x.htm
- kentu.html
- 50.php
- pocong.html
- t.php
- dya.php
- z.php

При обнаружении этих файлов, нужно проверить все файлы prestashop, так как внедрение shell скрипта дает возможность менять код оригинальных файлов, время создания и другие атрибуты файла.

Вроде как нашел причину. Модуль sendtoafriend убрал вообще всю папку с сервера, письма пока не приходят. Завтра после наблюдений отпишу
16 Августа 2016, 20:15:53
Ответ #27
  • Пользователь
  • **
  • Сообщений: 51
  • Репутация: +0/-1
  • Сообщество PrestaShop
    • Просмотр профиля
Вопрос к теме, как такое могло произойти? Как предотвратить?
30 Августа 2016, 21:22:08
Ответ #28
  • Новичок
  • *
  • Сообщений: 12
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
а как насчет:
1. поставить пермишины на все файлы 444, а на папки 555 и сменить владельца, что бы апач не смог их изменять. (кроме кешей конечно)
2. позакрывать все левые (которые не нужны апачу для веб доступа) папки в htaccess, в т.ч. и кеши

файл не зальеш, бо прав нет
а если и залил, то хрен вызовешь, потому что доступа к этой папке скорее всего не будет
30 Августа 2016, 21:42:05
Ответ #29
  • Ветеран
  • *****
  • Сообщений: 32999
  • Репутация: +26759/-0
    • Просмотр профиля
а как насчет:
1. поставить пермишины на все файлы 444, а на папки 555 и сменить владельца, что бы апач не смог их изменять. (кроме кешей конечно)
2. позакрывать все левые (которые не нужны апачу для веб доступа) папки в htaccess, в т.ч. и кеши
файл не зальеш, бо прав нет
а если и залил, то хрен вызовешь, потому что доступа к этой папке скорее всего не будет
Не пролучится, для нормальной работы prestashop  нужно открыть
Recursive write permission on ~/config/
Recursive write permission on ~/cache/
Recursive write permission on ~/log/
Recursive write permission on ~/img/
Recursive write permission on ~/mails/
Recursive write permission on ~/modules/
Recursive write permission on ~/override/
Recursive write permission on ~/themes/default/lang/
Recursive write permission on ~/themes/default/pdf/lang/
Recursive write permission on ~/themes/default/cache/
Recursive write permission on ~/translations/
Recursive write permission on ~/upload/
Recursive write permission on ~/download/
Recursive write permission on ~/sitemap.xml