Автор Тема: Сайт сам отправляет клиентам password.....  (Прочитано 2869 раз)

19 Май 2016, 11:25:38
Ответ #60
  • Пользователь
  • **
  • Сообщений: 69
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Навряд ли, если заходят уже с готовым id_customer, то ссылку на восставновление игнорируют.
Страно все у тебя. Тебе бы снести старый сайт да с нуля новый уставновить, пароли поменять на хостинге. А еще лучше и хостинг поменять. Кто-то конкретно тебе жизнь портит. Ниразу такого не слышал, ломают сайт да, но чтобы пароли клиентов переопределять никогда не было.

А если отчистить базу клиентов и пусть она с нуля формируется id_customer будет новым, и эксклюзивным ?
Просто по поводу сайта я и так все уже пересоздал тело сайта чистое !!!
Пароли на хостинге все поменял на все ....
19 Май 2016, 11:37:10
Ответ #61
  • Ветеран
  • *****
  • Сообщений: 22125
  • Репутация: +25303/-1
  • Prestashop - просто и эффективно
    • Просмотр профиля
Имея бд клиентов и _COOKIE_KEY_ сделать это просто. Вариантов как сделать море. Главное доступ к бд.
Создайте копию вашего сайта, внесите в крон задание восстановление паролей каждый час, измените в шаблоне домен и письма будут рассылаться клиентам. Даже бот не нужен.
_COOKIE_KEY_ не нужен. Все данные в таблице ps_customer - это email и secure_key, больше ничего не нужно чтобы запросить генерацию нового пароля.
Эксперт Prestashop - решения всех проблем, написание модулей, создание тем для интернет-магазинов под Prestashop.
Эксперт Magento - создам сайт на Magento, программирование кастомных модулей для Magento, кастомизация тем Magento.
Лучшие цены!!!
19 Май 2016, 11:38:57
Ответ #62
  • Ветеран
  • *****
  • Сообщений: 22125
  • Репутация: +25303/-1
  • Prestashop - просто и эффективно
    • Просмотр профиля
Запрос на смену пароля в 99% происходит с формы запроса пароля и 100% обращение к контроллеру PasswordController.php. Измение алгоритма работы этого класса защитит ваш сайт. Но это все будет бесполезно, пока вы не выясните как воруют данные ваших клиентов.
Еще можно сделать такое с хуком
Hook::exec('actionPasswordRenew', array('customer' => $customer));а это можно делать в любом модуле.
Эксперт Prestashop - решения всех проблем, написание модулей, создание тем для интернет-магазинов под Prestashop.
Эксперт Magento - создам сайт на Magento, программирование кастомных модулей для Magento, кастомизация тем Magento.
Лучшие цены!!!
19 Май 2016, 11:42:58
Ответ #63
  • Ветеран
  • *****
  • Сообщений: 22125
  • Репутация: +25303/-1
  • Prestashop - просто и эффективно
    • Просмотр профиля
А если отчистить базу клиентов и пусть она с нуля формируется id_customer будет новым, и эксклюзивным ?
Просто по поводу сайта я и так все уже пересоздал тело сайта чистое !!!
Пароли на хостинге все поменял на все ....
id_customer подобрать можно перебором от 1 до....
Тут главное что email клиентов и secure_key. Когда будите устанавливать новый prestashop secure_key изменится.
Можно попробывать, если не поможет, то нужно проверять доступ к серверу. Закройте бд от внешних соединений, измените пароли и названия баз.
Эксперт Prestashop - решения всех проблем, написание модулей, создание тем для интернет-магазинов под Prestashop.
Эксперт Magento - создам сайт на Magento, программирование кастомных модулей для Magento, кастомизация тем Magento.
Лучшие цены!!!
19 Май 2016, 11:52:11
Ответ #64
  • Ветеран
  • *****
  • Сообщений: 16667
  • Репутация: +14630/-5
  • Сообщество PrestaShop
    • Просмотр профиля
Имея бд клиентов и _COOKIE_KEY_ сделать это просто. Вариантов как сделать море. Главное доступ к бд.
Создайте копию вашего сайта, внесите в крон задание восстановление паролей каждый час, измените в шаблоне домен и письма будут рассылаться клиентам. Даже бот не нужен.
_COOKIE_KEY_ не нужен. Все данные в таблице ps_customer - это email и secure_key, больше ничего не нужно чтобы запросить генерацию нового пароля.
Но на начальном этапе _COOKIE_KEY_ нужен, с ним же генерируется secure_key,
19 Май 2016, 11:53:38
Ответ #65
  • Ветеран
  • *****
  • Сообщений: 22125
  • Репутация: +25303/-1
  • Prestashop - просто и эффективно
    • Просмотр профиля
Имея бд клиентов и _COOKIE_KEY_ сделать это просто. Вариантов как сделать море. Главное доступ к бд.
Создайте копию вашего сайта, внесите в крон задание восстановление паролей каждый час, измените в шаблоне домен и письма будут рассылаться клиентам. Даже бот не нужен.
_COOKIE_KEY_ не нужен. Все данные в таблице ps_customer - это email и secure_key, больше ничего не нужно чтобы запросить генерацию нового пароля.
Но на начальном этапе _COOKIE_KEY_ нужен, с ним же генерируется secure_key,
Да не нужен ключ, если есть доступ к таблице ps_customer. В этой табл все уже сохранено.
Эксперт Prestashop - решения всех проблем, написание модулей, создание тем для интернет-магазинов под Prestashop.
Эксперт Magento - создам сайт на Magento, программирование кастомных модулей для Magento, кастомизация тем Magento.
Лучшие цены!!!
19 Май 2016, 12:10:08
Ответ #66
  • Ветеран
  • *****
  • Сообщений: 16667
  • Репутация: +14630/-5
  • Сообщество PrestaShop
    • Просмотр профиля
 _COOKIE_KEY_ нужен если развернуть копию сайта на другом хостинге, я же привел пример.
Но если запросы делать напрямую на сайт, то кроме email ничего ненужно.
Запрашиваете восстановление пароля /password-recovery?email=mymail@mail.ru
Получаете ссылку с secure_key и потом запускаете генерацию пароля.
Чтобы защиить от такого, нужно менять алгоритм в контроллере PasswordController.php.
19 Май 2016, 12:13:13
Ответ #67
  • Пользователь
  • **
  • Сообщений: 69
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
_COOKIE_KEY_ нужен если развернуть копию сайта на другом хостинге, я же привел пример.
Но если запросы делать напрямую на сайт, то кроме email ничего ненужно.
Запрашиваете восстановление пароля /password-recovery?email=mymail@mail.ru
Получаете ссылку с secure_key и потом запускаете генерацию пароля.
Чтобы защиить от такого, нужно менять алгоритм в контроллере PasswordController.php.

Мозговой штурм это сила ! а что именно там менять ? принцип получения пароля ?
28 Май 2016, 11:29:29
Ответ #68
  • Пользователь
  • **
  • Сообщений: 69
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Уважаемые форумчане спешу поделиться !

Проблема была решена !!!
Что было предпринято вдруг у кого появиться такая беда !

1) Сменить все явки, пароли, ftp, msql, хостинг панель и др.

2) Сверка Total Commander каталогов prestashop вашей и чистой версии с оф сайта! (если есть отклонения в .php .tpl .js) то проверяйте данные файлы что именно в них не так ! а для уверенности заменить их нормальными с чистого пакета ! А Ваши изменения вновь внести если требуется ! А так же все подозрительные файлы вычистить !

3) Проверить Базу на наличие лишних нестандартных таблиц !!!

4) Заменить путь Настройки > SEO и URL > password "Переписывать URL" с стандартного "/password-recovery" на любой другой !!!

5) Поднять на сайте защищенное соединение https в любом случае пригодиться !!! а стандартную функцию http отключить !!!

6) Почистить в ручную все куки !!!


Еще раз всем спасибо за оказанную поддержку и помощь !!!  ;) ;) ;)