Взлом prestashop

[proz333]

У меня сайт был взломан тоже, поковыривал червяков но теперь стал глючить кеш магазина и не работает автообновление, может кто знает как можно обновить престу вручную?

[Миколас]

Замени файлы prestashop. Как на старой версии было.

[mAgency]

Замени файлы prestashop. Как на старой версии было.

Так можно обновить только с версии prestashop > 1.6.0.5
Если установлена версия prestashop < 1.6.0.5 будут проблемы.

[coder]

Список модулей которые нужно обновить:
- Simpleslideshow,
- Columnadverts,
- Homepageadvertise,
- Productpageadverts,
- Advancedslider,
- Attributewizardpro,
- Homepageadvertise2,
- Videostab,
- vtermslidesshow,
- cartabandonnedpro.

[LiTiNuM]

Всех приветствую!

От себя добавлю:
За 4 дня получил около 4млн обращений POST к форме sendtoafriend_ajax.php
Я не знаю, целенаправленно или нет бомбили домен, но его пришлось удалять на хостинге, дабы снизить нагрузку!
Нагрузка была 40-55, стала 800. После удаления домена упала до 2-3.

Сейчас всё восстановил, через .htaccess закрыл доступ куче IP с Китая, Сингапура, Филлипин, Тайланда и т.д.
Но до сих пор (спустя уже 8 дней) идут запросы такого вида (файл логов)

Код: [Выделить]

***.ru 113.61.34.194 - - [09/Aug/2016:11:00:12 +0300] "POST /modules/sendtoafriend/sendtoafriend_ajax.php HTTP/1.1" 403 1045 "http://***.ru/modules/sendtoafriend/sendtoafriend_ajax.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" 0
Модуля нет, удалён, но запросы валятся.

Вопросы знатокам:
Есть ли какая-то возможность борьбы с такими вот вредителями? КРоме, как уйти на хостинг, где стоит защита, в том числе и от DDoS атак...
Кто-то ещё с этим сталкивался?


PS: после удаления домена он очень быстро оказался на том же хостинге, но под другим аккаунтом, а при входе - переадресовывал на кучу разных сайтов.
Либо случайность, либо "шайтан" - мой сосед...

Я, честно говоря, первый раз столкнулся с этим "рейдом", и в полной прострации...

[Vasiy]

Попробуйте ограничить количество заходов на сайт вставьте в
robots.txt такую фразу Crawl-delay: 2    (количество заходов в секунду)

[Adik]

Если  модуля нет, то можно в htaccess запретить доступ к файлу

Код: [Выделить]

<Files sendtoafriend_ajax.php>
  deny from all
</Files>Или редирект поставить на "соседа".

[Миколас]

PS: после удаления домена он очень быстро оказался на том же хостинге, но под другим аккаунтом, а при входе - переадресовывал на кучу разных сайтов.
Либо случайность, либо "шайтан" - мой сосед...

Это кто-то из твоих "друзей" 

[LiTiNuM]

Всё указал, спасибо за полезные советы.

Сейчас "бомбёжка" редкая, 1-2 раза в 10 минут (иногда более), неощутима в сравнении с тем, что было по 30-50 запросов в 1-2 секунды.

GeoIP тоже активировал в магазине, оставил Россию, и разрешённые IP только для поисковых ботов.


Друзья, партнёры, знакомые - исключаются.
Единственное, конкуренты. Магазин коммерческий, при этом в своей тематике в топе-10 по многим запросам.
Отсюда интерес "со стороны".
Возможным "перепутали/попутали/проэкпериментировали/потренировались" отдаю очень малый процент, хотя всякое бывает.

[qwertisound]

На оф. сайте появилось предупрежение об обнаружении уязвимости в модулях prestashop:
- simpleslideshow
- columnadverts
- homepageadvertise
- productpageadverts

Обнаружить взломан ваш сайт или нет можно с помощью проверки на наличие следующих файлов:
- is.php
- m.php
- 22.php
- x.htm
- kentu.html
- 50.php
- pocong.html
- t.php
- dya.php
- z.php

При обнаружении этих файлов, нужно проверить все файлы prestashop, так как внедрение shell скрипта дает возможность менять код оригинальных файлов, время создания и другие атрибуты файла.

А где могут лежать эти файлы или хотя бы парочка из них?

[coder]

В любой папке. Проверять нужно все папки prestashop.

[adwebzoom]

Доброго дня!
Столкнулся с такой проблемой.
Уже как 3 день приходят на почту такое сообщение (1000 или более писем в день)

This is the mail system at host intmr.hoster.ru.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<1154210753@qq.com>: host mx3.qq.com[103.7.30.40] said: 550 Ip frequency
    limited.
    http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000725 (in
    reply to end of DATA command)

Final-Recipient: rfc822; 1154210753@qq.com
Original-Recipient: rfc822;1154210753@qq.com
Action: failed
Status: 5.0.0
Remote-MTA: dns; mx3.qq.com
Diagnostic-Code: smtp; 550 Ip frequency limited.
    http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000725


---------- Пересылаемое сообщение ----------
From: "Название магазина" <почта магазина>
To: <1154210753@qq.com>
Cc:
Date: Tue, 16 Aug 2016 17:55:09 +0300
Subject: [Название магазина] Друг sent you a link to Коралловая футболка с гипюром
Название магазина
 
Здравствуйте, 威尼斯人娱乐城www.51868.cc开户送50元，玩家首选，拥有合法网投牌照，大额玩家首选！全网电子，百家乐最佳投注平台！ 银河娱乐场www.136.org存8元送38元，BBIN唯一官方直营网！电子游艺激情十惠邀您挑战！微信群发分享送198元，月月三大现金回馈！！ ,
 
Друг отправил Вам ссылку на товар, который может Вас заинтересовать.
 
Для просмотра этого товара, пройдите по ссылке: Коралловая футболка с гипюром
 
.... работает на PrestaShop™

Message from ....

Название магазина и почту не показываю.
Что это может быть и как с этим бороться?
Есть модуль на сайте "Отправить другу" - отправляется ссылка другу, отключал, но все равно письма приходят.
Пробовал менять почту магазина, как только поменял, спам стал приходить сразу же на новую почту. Получается проблема где-то в магазине. Посмотрел на сервере файлы и даты изменений, ничего не обнаружил подозрительного. Что делать непонятно

Произвел поиск на сервере из этого списка нет ничего

На оф. сайте появилось предупрежение об обнаружении уязвимости в модулях prestashop:
- simpleslideshow
- columnadverts
- homepageadvertise
- productpageadverts

Обнаружить взломан ваш сайт или нет можно с помощью проверки на наличие следующих файлов:
- is.php
- m.php
- 22.php
- x.htm
- kentu.html
- 50.php
- pocong.html
- t.php
- dya.php
- z.php

При обнаружении этих файлов, нужно проверить все файлы prestashop, так как внедрение shell скрипта дает возможность менять код оригинальных файлов, время создания и другие атрибуты файла.

Вроде как нашел причину. Модуль sendtoafriend убрал вообще всю папку с сервера, письма пока не приходят. Завтра после наблюдений отпишу

[adwebzoom]

Вопрос к теме, как такое могло произойти? Как предотвратить?

[Vasyl]

а как насчет:
1. поставить пермишины на все файлы 444, а на папки 555 и сменить владельца, что бы апач не смог их изменять. (кроме кешей конечно)
2. позакрывать все левые (которые не нужны апачу для веб доступа) папки в htaccess, в т.ч. и кеши

файл не зальеш, бо прав нет
а если и залил, то хрен вызовешь, потому что доступа к этой папке скорее всего не будет

[coder]

а как насчет:
1. поставить пермишины на все файлы 444, а на папки 555 и сменить владельца, что бы апач не смог их изменять. (кроме кешей конечно)
2. позакрывать все левые (которые не нужны апачу для веб доступа) папки в htaccess, в т.ч. и кеши
файл не зальеш, бо прав нет
а если и залил, то хрен вызовешь, потому что доступа к этой папке скорее всего не будет

Не пролучится, для нормальной работы prestashop  нужно открыть
Recursive write permission on ~/config/
Recursive write permission on ~/cache/
Recursive write permission on ~/log/
Recursive write permission on ~/img/
Recursive write permission on ~/mails/
Recursive write permission on ~/modules/
Recursive write permission on ~/override/
Recursive write permission on ~/themes/default/lang/
Recursive write permission on ~/themes/default/pdf/lang/
Recursive write permission on ~/themes/default/cache/
Recursive write permission on ~/translations/
Recursive write permission on ~/upload/
Recursive write permission on ~/download/
Recursive write permission on ~/sitemap.xml