Сайт сам отправляет клиентам password.....

[pushkin]

Ничего странного, это бот запускает восстановление пароля.
Ставь проверку ботов на форму отправки или поменять адрес страницы авторизации.

А как поставить проверку на ботов именно для password? капчу уже ставил на форму, которая отображается на сайте для посетителей результат нулевой! ибо бот как вы говорите запрашивает не её так как шаблон отправки письма password, а не password_query который высылается если человек запрашивает пароль, а уже после перехода из письма по url он получает шаблон password ....

А что значит поменять адрес страницы авторизации http://katana96.ru/password-recovery это что ли ? дак как я понял они сюда не лезут ... запрос как я понимаю идет к какому то конкретному скрипту prestashop....

Буду благодарен за любой совет!

[Adik]

Включите логирование сайта. В логе доступа ищите заходы на страницу запроса пароля. Если таких страниц нет, тогда нужно искать в крон заданиях переопределение пароля. Других возможностей нет.

[pushkin]

Включите логирование сайта. В логе доступа ищите заходы на страницу запроса пароля. Если таких страниц нет, тогда нужно искать в крон заданиях переопределение пароля. Других возможностей нет.

Благодарю за совет но как я уже писал ранее я включал лог php mail и путь и выяснил путь только до файла "/tools/swift/classes/Swift/Transport/SimpleMailInvoker.php"
Но это оказался не он ибо это абсолютно нормальная форма обновленного модуля рассылки php mail perestashop...

Так же включил лог всех писем сайта в разделе "Расширенные параметры> E-mail> Вести журнал e-mail" (теперь я всегда знаю, что, и кому, и когда уходит! по каким шаблонам)

Видимо я не включил какой-то самый главный лог фалов как я понимаю? (не подскажите какой именно, и как его включить?)

А скажите у меня не настроен robots.txt может просто создать его и ограничить доступ ко всему касательно этого? (раз уж это бот как Вы предполагаете?)

[Adik]

robots.txt бесполезен в этом вопросе.
Включать логирование нужно в панели управления хостингом.
Access log, в нем сомотрите кто заходил и на какие страницы.

[pushkin]

robots.txt бесполезен в этом вопросе.
Включать логирование нужно в панели управления хостингом.
Access log, в нем сомотрите кто заходил и на какие страницы.

Благодарю ! сделаю запрос Хостеру на то что бы сделали !
Как что узнаю напишу !

Спасибо !

[pushkin]

Уважаемые форумчане возможно это оно и есть.... только не понятно что с этим всем делать ? ...

Как например зашифровать адрес /password-recovery или изменить так что бы его не проиндексировали боты ... ?

Код: [Выделить]

141.8.142.30 - - [23/Apr/2016:03:55:29 +0300] "GET /admin-pushkin/index.php?controller=AdminTranslations&token=6549728022c8fa3122ac9943bc1911d7 HTTP/1.0" 404 11864
141.8.142.30 - - [23/Apr/2016:03:55:31 +0300] "GET /password-recovery?id_customer=420&token=b30d1f1adb95bab7406172c09f82ae2a HTTP/1.0" 200 11969
141.8.142.60 - - [23/Apr/2016:03:55:32 +0300] "GET /admin-pushkin/index.php?controller=AdminZones&submitBulkdisableSelectionzone&token=7d102dfa7207330c6e256adafb1184fb HTTP/1.0" 404 11863
141.8.142.60 - - [23/Apr/2016:03:55:33 +0300] "GET /admin-panel/index.php?controller=AdminLogin&logout&token=7a83ec687a6e21d65944bc09a9b44987 HTTP/1.0" 200 2250
141.8.142.30 - - [23/Apr/2016:03:55:36 +0300] "GET /guest-tracking?email=shmakova.4@mail.ru&id_order=TZRBRSVCL HTTP/1.0" 200 11889
141.8.142.60 - - [23/Apr/2016:03:55:37 +0300] "GET /admin-pushkin/index.php?controller=AdminOrders&id_order=19&vieworder&token=a30afd6ab21b3aa48f05ea7153d27ded HTTP/1.0" 404 11866
141.8.142.30 - - [23/Apr/2016:03:55:37 +0300] "GET /admin-pushkin/index.php?controller=AdminModules&token=3a1dac21299f32c2a8eb22989c636c10&configure=leomanagewidgets&tab_module=front_office_features&module_name=leomanagewidgets HTTP/1.0" 404 11863
141.8.132.44 - - [23/Apr/2016:03:55:37 +0300] "GET /admin-pushkin/index.php?controller=AdminModules&token=3a1dac21299f32c2a8eb22989c636c10&allUpdated=1 HTTP/1.0" 404 11864
141.8.142.30 - - [23/Apr/2016:03:55:38 +0300] "GET /password-recovery?id_customer=187&token=5738562c9048c4198921a773b87cb992 HTTP/1.0" 200 11974
141.8.142.60 - - [23/Apr/2016:03:55:38 +0300] "GET /admin-pushkin/index.php?controller=AdminPPreferences&token=a45443d4eb944edfe40a3347583b262a HTTP/1.0" 404 11867
141.8.132.44 - - [23/Apr/2016:03:55:38 +0300] "GET /admin-pushkin/index.php?controller=AdminModules&token=3a1dac21299f32c2a8eb22989c636c10&module_name=dashgoals&tab_module=dashboard HTTP/1.0" 404 11865
141.8.132.74 - - [23/Apr/2016:03:55:39 +0300] "GET /nabory-sety/28-set-fitnes.html?content_only=1 HTTP/1.0" 200 5473
141.8.142.30 - - [23/Apr/2016:03:55:39 +0300] "GET /password-recovery?token=0db9993f74e5f1e8ef10418965c2ea66&id_customer=99 HTTP/1.0" 200 11970
141.8.142.60 - - [23/Apr/2016:03:55:40 +0300] "GET /admin-pushkin/index.php?controller=AdminOrders&addorder=&token=a30afd6ab21b3aa48f05ea7153d27ded HTTP/1.0" 404 11868
141.8.132.44 - - [23/Apr/2016:03:55:40 +0300] "GET /admin-pushkin/index.php?controller=AdminLeotempcpWidgets&id_leowidgets=142&updateleowidgets&token=946973a92268490d8400543be397b6f3 HTTP/1.0" 404 11865
141.8.132.44 - - [23/Apr/2016:03:55:41 +0300] "GET /guest-tracking?email=guest56891c10d9071@56891c10d90ce.ru&id_order=RYMBPAMWW HTTP/1.0" 200 11896
141.8.142.60 - - [23/Apr/2016:03:55:41 +0300] "GET /admin-pushkin/index.php?controller=AdminCustomerPreferences&token=b4c1a6d1675e3a2550a568237e1beaaf HTTP/1.0" 404 11865
141.8.142.30 - - [23/Apr/2016:03:55:42 +0300] "GET /guest-tracking?email=guest56cca1bdbc130@56cca1bdbc17f.ru&id_order=OUIFGRZDD HTTP/1.0" 200 11903
141.8.132.44 - - [23/Apr/2016:03:55:43 +0300] "GET /password-recovery?id_customer=17&token=d165f8de2c525e288341f3a0f2e87b44 HTTP/1.0" 200 11977
141.8.142.30 - - [23/Apr/2016:03:55:43 +0300] "GET /guest-tracking?id_order=RSHZMHIVF&email=guest56f8e5e365991%4056f8e5e3659c8.ru HTTP/1.0" 200 11902
141.8.142.60 - - [23/Apr/2016:03:55:44 +0300] "GET /password-recovery?id_customer=113&token=b57105aeb9e06fc5d95f3f7466d47f62 HTTP/1.0" 200 11970
141.8.132.44 - - [23/Apr/2016:03:55:44 +0300] "GET /admin-pushkin/index.php?controller=AdminOrders&id_order=175&vieworder&token=a30afd6ab21b3aa48f05ea7153d27ded HTTP/1.0" 404 11865
141.8.142.30 - - [23/Apr/2016:03:55:44 +0300] "GET /admin-pushkin/index.php?controller=AdminEmployees&id_employee=1&conf=4&token=b1961ff3a066fade78bb8dc6fc20b246 HTTP/1.0" 404 11865
141.8.142.60 - - [23/Apr/2016:03:55:45 +0300] "GET /admin-pushkin/index.php?controller=AdminPerformance&token=124f3c0b9b624089216c6511ebfc9567&conf=4 HTTP/1.0" 404 11865
141.8.142.60 - - [23/Apr/2016:03:55:45 +0300] "GET /admin-pushkin/index.php?controller=AdminGroups&token=56766922fd3b0ffb92e4204105129272 HTTP/1.0" 404 11865
141.8.132.74 - - [23/Apr/2016:03:55:46 +0300] "GET /home/10-set-meksika.html?content_only=1 HTTP/1.0" 200 5440
141.8.142.30 - - [23/Apr/2016:03:55:46 +0300] "GET /admin-panel/ru HTTP/1.0" 404 11869
141.8.142.60 - - [23/Apr/2016:03:55:46 +0300] "GET /password-recovery?id_customer=614&token=81b1e475372b4077288bf7590b82e792 HTTP/1.0" 200 11971
141.8.142.60 - - [23/Apr/2016:03:55:47 +0300] "GET /admin-pushkin/index.php?controller=AdminProducts&id_product=10&updateproduct&token=72ee2e644fe8181489d0ad5400f83a34 HTTP/1.0" 404 11872
141.8.132.44 - - [23/Apr/2016:03:55:47 +0300] "GET /password-recovery?id_customer=166&token=41a0577a4c46a885720903afb1ba4a1f HTTP/1.0" 200 11970
141.8.132.74 - - [23/Apr/2016:03:55:49 +0300] "GET /admin-pushkin HTTP/1.0" 404 11866
141.8.142.30 - - [23/Apr/2016:03:55:49 +0300] "GET /admin-pushkin/index.php?controller=AdminLeotempcpWidgets&token=946973a92268490d8400543be397b6f3 HTTP/1.0" 404 11866
141.8.142.60 - - [23/Apr/2016:03:55:49 +0300] "GET /admin-pushkin/index.php?controller=AdminCarts&token=b8ec3048240ac361854e792a8714287d&action=filterOnlyAbandonedCarts HTTP/1.0" 404 11867
141.8.132.74 - - [23/Apr/2016:03:55:50 +0300] "GET /admin-pushkin/index.php?controller=AdminModules&token=3a1dac21299f32c2a8eb22989c636c10 HTTP/1.0" 404 11865
5.255.253.103 - - [23/Apr/2016:03:55:50 +0300] "GET /admin-pushkin/index.php?controller=AdminThemes&token=5b08bee329ac64f20006c07d57f4115b HTTP/1.0" 404 11865
141.8.132.44 - - [23/Apr/2016:03:55:51 +0300] "GET /category/akciya.html HTTP/1.0" 404 11865
141.8.132.74 - - [23/Apr/2016:03:55:51 +0300] "GET /admin-pushkin/index.php?controller=AdminAccess&token=63cb700f0cd681eddc4260502d9428b8 HTTP/1.0" 404 11865
141.8.142.60 - - [23/Apr/2016:03:55:52 +0300] "GET /password-recovery?id_customer=47&token=0c59f30dd5dd5a6278b00fb0cc159263 HTTP/1.0" 200 11970
141.8.132.44 - - [23/Apr/2016:03:55:52 +0300] "GET /admin-pushkin/index.php?controller=AdminModules&token=3a1dac21299f32c2a8eb22989c636c10&configure=leosliderlayer&editSlider=1&id_slide=38&id_group=12 HTTP/1.0" 404 11864
141.8.142.30 - - [23/Apr/2016:03:55:53 +0300] "GET /guest-tracking?email=Ksenia77_87@mail.ru&id_order=RIQWYPHLV HTTP/1.0" 200 11892
141.8.142.60 - - [23/Apr/2016:03:55:53 +0300] "GET /guest-tracking?email=guest56bb3265b2084@56bb3265b2157.ru&id_order=OSCYODZWF HTTP/1.0" 200 11896
141.8.132.44 - - [23/Apr/2016:03:55:53 +0300] "GET /password-recovery?token=7d0d27f035c83ab8cc21e7de28db6c28&id_customer=111 HTTP/1.0" 200 11976
141.8.142.30 - - [23/Apr/2016:03:55:54 +0300] "GET /rolly/65-roll-kaliforniya-s-lososem.html?content_only=1 HTTP/1.0" 200 5484
141.8.142.60 - - [23/Apr/2016:03:55:54 +0300] "GET /admin-pushkin/index.php?controller=AdminSpecificPriceRule&token=af88e6555fbe948c604f202bffac5222 HTTP/1.0" 404 11866
141.8.132.74 - - [23/Apr/2016:03:55:55 +0300] "GET /admin-pushkin/index.php?controller=AdminModules&token=3a1dac21299f32c2a8eb22989c636c10&configure=pscleaner&tab_module=administration&module_name=pscleaner HTTP/1.0" 404 11868
141.8.142.30 - - [23/Apr/2016:03:55:56 +0300] "GET /admin-pushkin/index.php?controller=AdminOrders&vieworder&token=a30afd6ab21b3aa48f05ea7153d27ded HTTP/1.0" 404 11869
141.8.142.60 - - [23/Apr/2016:03:55:56 +0300] "GET /password-recovery?id_customer=7&token=7fc1bac572719e9f4164ec9c20d13fe1 HTTP/1.0" 200 11976
141.8.132.44 - - [23/Apr/2016:03:55:56 +0300] "GET /password-recovery?token=b3f013bbd5918e6c1f2823486ef66302&id_customer=678 HTTP/1.0" 200 11970
141.8.142.30 - - [23/Apr/2016:03:55:57 +0300] "GET /guest-tracking?email=guest56961db7679ef@56961db767a5f.ru&id_order=GZAXXHUSC HTTP/1.0" 200 11899
141.8.142.60 - - [23/Apr/2016:03:55:57 +0300] "GET /administator HTTP/1.0" 404 11865

Этот лог показывает что очень много запросов восстановления с разных похожих ip адресов ....
А главный вопрос как это у них выходит ... ?
И как это остановить раз и навсегда и взять под контроль форму восстановления пароля наконец то.

[Миколас]

Кого-то ты сильно обидел. Ссылку на восстанвление ты не закроешь, можешь только удалить совсем. Тебе только капчу на форму прилепить посложнее.   

[pushkin]

Кого-то ты сильно обидел. Ссылку на восстанвление ты не закроешь, можешь только удалить совсем. Тебе только капчу на форму прилепить посложнее.   

А какой смысл делать капчу сильнее ? если как я понял запрос пароля происходит не через форму на сайте !???

[pushkin]

Кого-то ты сильно обидел. Ссылку на восстанвление ты не закроешь, можешь только удалить совсем. Тебе только капчу на форму прилепить посложнее.   

И что получается что так может попасть любой у кого движок prestashop ппц.... да уж !!!

Я думал движок устойчив к подобному виду угроз и другим угрозам ....

Не ужели придется менять платформу ? вправду что ли нечего сделать нельзя ?

[Adik]

Prestashop не виноват. Это ваша вина, что база с адресами клиентов попала в чужие руки. Чтобы запросить восстаровление пароля, нужно знать email клиента. Вопрос, как узнали адреса ваших клиентов? Вот когда ответите на него, тогда и сможете защитить сайт. Менять движок бесполезно, если будите терять свою базу смена движка вам не поможет.
Нужно защитить сайт. Есть модуль для защиты формы запроса пароля. Модуль платный не входит в установочный пакет prestashop, на форуме встречал тему про этот модуль, поищите.
Запрос на смену пароля в 99% происходит с формы запроса пароля и 100% обращение к контроллеру PasswordController.php. Измение алгоритма работы этого класса защитит ваш сайт. Но это все будет бесполезно, пока вы не выясните как воруют данные ваших клиентов.

[pushkin]

Prestashop не виноват. Это ваша вина, что база с адресами клиентов попала в чужие руки. Чтобы запросить восстаровление пароля, нужно знать email клиента. Вопрос, как узнали адреса ваших клиентов? Вот когда ответите на него, тогда и сможете защитить сайт. Менять движок бесполезно, если будите терять свою базу смена движка вам не поможет.
Нужно защитить сайт. Есть модуль для защиты формы запроса пароля. Модуль платный не входит в установочный пакет prestashop, на форуме встречал тему про этот модуль, поищите.
Запрос на смену пароля в 99% происходит с формы запроса пароля и 100% обращение к контроллеру PasswordController.php. Измение алгоритма работы этого класса защитит ваш сайт. Но это все будет бесполезно, пока вы не выясните как воруют данные ваших клиентов.

Спасибо за совет !
То есть я правильно понимаю что кто то написал некую программу и с базой клиентов посылает запросы на восстановление ? так что ли ?
Просто странно что сайт не отправляет при этом шаблон письма "password_query" c url ссылкой перед отправкой шаблона письма "password"  как тогда они инициируют данный запрос на восстановление ? по логам сайта ведь видно что они получают его без подтверждения ...

[Adik]

Имея бд клиентов и _COOKIE_KEY_ сделать это просто. Вариантов как сделать море. Главное доступ к бд.
Создайте копию вашего сайта, внесите в крон задание восстановление паролей каждый час, измените в шаблоне домен и письма будут рассылаться клиентам. Даже бот не нужен. 

[pushkin]

Имея бд клиентов и _COOKIE_KEY_ сделать это просто. Вариантов как сделать море. Главное доступ к бд.
Создайте копию вашего сайта, внесите в крон задание восстановление паролей каждый час, измените в шаблоне домен и письма будут рассылаться клиентам. Даже бот не нужен.

О как хорошо ! а как тогда мне заменить cookie_key ?
И почему этого сейчас не происходит когда я поставил ограничение на восстановление пароля 999999999 минут если это делается на сторонней копии все же должно продолжаться но нет сейчас рассылок не выполняется ....

[pushkin]

Есть модуль для защиты формы запроса пароля. Модуль платный не входит в установочный пакет prestashop, на форуме встречал тему про этот модуль, поищите.

На форуме не нашел темы ... связанной с защитой пароля... (только восстановление их куча)

Скажите как вы думаете этот модуль спасет положение ?

http://addons.prestashop.com/ru/19154-the-new-recaptcha.html

[Миколас]

Навряд ли, если заходят уже с готовым id_customer, то ссылку на восставновление игнорируют.
Страно все у тебя. Тебе бы снести старый сайт да с нуля новый уставновить, пароли поменять на хостинге. А еще лучше и хостинг поменять. Кто-то конкретно тебе жизнь портит. Ниразу такого не слышал, ломают сайт да, но чтобы пароли клиентов переопределять никогда не было.