PrestaShop 1.4 - Hacknutý prestashop

Dobrý večer,

včera došlo k hacknutí systému prestashop, posílám odkaz:

http://www.prestashop.com/forums/topic/ ... procedure/

Bohužel nelze mi změnit heslo databáze, viz 1. bod článku. Postupoval jsem podle návodu, ovšem při vygenerování herfix.php prohlížeč vyhodí chybové hlášení. Zkoušel jsem jak ve chromu, tak v exploreru. Heslo do databáze jsem nechal stejné, ostatní kroky jsem úspěšně změnil (heslo do databáze jsem zkoušel změnit v administraci C4, tak v souboru settings.inc.php. Vždy to odkázalo na chybu.

Díky za tipy a rady.

FK

Dobrý den,

nevím, jestli se Vám podařilo úpravy již aplikovat. Zde je návod, jako provést fix (převzato z http://www.prestashop.com/blog/article/ ... procedure/):

Hacknutí se týká pouze verzí 1.4/1.4.1/1.4.2/1.4.3/1.4.4.

Došlo k napadení mých stránek?
Pomocí FTP klienta se připojte na server s Vaší instalací a zkontrolujte následující body:

• Nachází se ve složce modules soubor her.php?
• Nachází se ve složkách upload a download kromě souboru index.php i jiný soubor s koncovkou .php?
• Došlo k úpravě souboru footer.tpl? Soubor se nachází ve složce themes/prestashop (příp. themes/nazev-vaseho-vzhledu).
• Složka tools/smarty_v2 neexistuje?

Pokud některý z těchto bodů souhlasí, Vaše stránky byly napadeny. Preventivně je doporučeno následující úpravy aplikovat i na nenapadených stránkách:

1. V administračním systému (sekce "MySQL databáze") změňte heslo k databázi, kterou využíváte pro PrestaShop.
2. V souboru config/settings.inc.php najděte řádek s tímto kódem:
   
   Kód:
   define('_DB_PASSWD_', 'stare-heslo-databaze');
   
   a změňte staré heslo databáze na nové heslo, které jste zadali v administračním systému (např. pomocí PSPad).
3. Stáhněte si tento soubor:
   
   Příloha:
   herfix.zip [164.05 KiB]
   751 krát
   
   a rozbalte balíček na Vašem počítači. Získáte soubor herfix.php, který nakopírujte na server do kořenové složky Vaší instalace.
4. Spusťte soubor v internetovém prohlížeči (např. na adrese http://www.nazev-vasi-domeny.cz/herfix.php).
5. Po úspěšném aplikování fixu se Vám na stránce zobrazí "OK".
6. Na serveru si změňte název složky admin.
7. V administraci PrestaShopu změňte hesla všech administrátorů obchodu (sekce Employees).

A jak je to u nově vydané verze 1.4.4.1 ?? Tam je taky potřeba aplikovat soubor herfix.zip, nebo u této verze je to už opraveno ?

Dobrý den,

na nové verzi 1.4.4.1 nejsou úpravy nutné, takže není potřeba aplikovat fix. Tato verze vyšla právě jen kvůli této bezpečnostní chybě (viz. http://www.prestashop.com/download/chan ... .4.4.1.txt).

Dobrý den
Provedl jsem si preventivně úpravy stránek po útoku hackerů, bohužel když jsem chtyěl zobrazit dekoracnistuhy.als-shop.cz/herfix.php, mám jen bíloui stránku s tímto hlášením:

Link to database cannot be established.

A celý shop dekoracnistuhy.als-shop.cz/herfix.php také (.
Co s tím?
Alexandr

Dobrý den,

toto hlášení znamená, že se instalace nemůže spojit s databází. Takže máte špatně zadané přihlašovací údaje k databázi. Ve Vašem případě je chyba v hesle k databázi, takže si ho v souboru config/settings.inc.php opravte na řádku: