Trojan v Prestashopu

19. 8. 2011 16:17:30

Zdravím, známé opravuji napadený Prestashop, jedná se o vir JS:REDIRECTOR-HB.

Napadl všechny .js soubory, ty jsem přepsal, kompletní web jsem otestoval a zdá se být čistý,

resp. nyní tam není žádný infikovaný soubor.

Zajímá mě jak zjistit jestli tam není nějaký soubor který infekci umožnil a jakými způsoby se vůbec ten vir mohl do webu dostat.

Může jít o nějakou díru v Prestě, nebo spíš špatné zabezpečení hostingu ?

Díky za rady.

19. 8. 2011 16:17:30

https://webtrh.cz/diskuse/trojan-v-prestashopu#reply668614

Jaromir Fojtu

(10 hodnocení)

19. 8. 2011 17:08:29

Porovnej vsechny soubory oproti ciste instalaci Prestashopu.

Projed logy webserveru a hledej jestli tam nekde nemas nejaky deravy soubor nachylny na RFI - zamer se hlavne na dobu, kdy doslo ke zmene tech JS souboru.

Vyzadej si logy FTP serveru a hledej podezrele aktivity - zas se zamer na dobu zmen tech JS souboru...

IMHO se to tam dostalo pres FTP, nebo pres vyhackovany hosting. Zalezi jake prava mely ty zmenene soubory...

19. 8. 2011 17:08:29

https://webtrh.cz/diskuse/trojan-v-prestashopu#reply668613

jarin001

(37 hodnocení)

19. 8. 2011 17:32:36

On je problém že přesně neví kdy to začalo, hlásili jí to nějací zákazníci kterým tam vyskakovalo varování cca před 2 měsíci,

řešila to s hostingem, jejich podpora byla taková : "MNE SE stranky zdaji v poradku, pro jistotu si muzete zmenit veskera HESLA nahrat Obsah webu pres FTP na serveru znovu"

Nahradil jsem i všechny PHP v rootu, změnil všechny hesla, snad to bude stačit

---------- Příspěvek doplněn 19.08.2011 v 17:38 ----------

Nemůžu nikde najít správné nastavení práv složek, nastavují se při instalaci, nemáte to někdo ?

Stačí ty co musí být zabezpečený.

19. 8. 2011 17:32:36

https://webtrh.cz/diskuse/trojan-v-prestashopu#reply668612

Peter

19. 8. 2011 20:12:21

Napsal jarin001;691608
Nemůžu nikde najít správné nastavení práv složek, nastavují se při instalaci, nemáte to někdo ?
Stačí ty co musí být zabezpečený.

http://www.prestashop.com/wiki/Installing_And_Updating_PrestaShop_Software/#Install_PrestaShop

19. 8. 2011 20:12:21

https://webtrh.cz/diskuse/trojan-v-prestashopu#reply668611

jarin001

(37 hodnocení)

19. 8. 2011 20:31:03

Díky ale tam je výchozí nastavení při instalaci, během instalace se určitě oprávnění mění.

Takto by měly všechny složky a soubory 755, to se mi nechce věřit.

Nemáte to někdo nainstalovaný aby se "mrknul" do FTP ?

19. 8. 2011 20:31:03

https://webtrh.cz/diskuse/trojan-v-prestashopu#reply668610

buffy

(5 hodnocení)

19. 8. 2011 21:25:37

s podobnymi viry jsem se setkal taky. na 95% se tam dostal pres ftp z vykradeneho ftp klienta, nejcasteji stara verze total commanderu, kde jsou hesla do verze 7 nezasifrovana a lehce dostupna. pokud doslo ke zmene hesel k ftp, pozoroval bych to dal, ale melo by to zabrat. Jinak predpokladam, ze pokud to zakaznikum neco hlasilo, tak to byl google. zazadat o vyrazeni a novou kontrolu webu a sledovat i tohle. Google si na web saha casto, pokud byl web napaden a pokud se to projevi znovu, bude to velmi rychle vedet. pak je treba patrat v preste ci hostingu... zalezi, zda aktualizovana presta a taky jaky hosting.

19. 8. 2011 21:25:37

https://webtrh.cz/diskuse/trojan-v-prestashopu#reply668609

jarin001

(37 hodnocení)

19. 8. 2011 21:57:07

Google to naštěstí neví :-), kontroloval jsem to v jeho analyzéru, teď už nemá co zjistit.

Jinak pomůcka kdo chce prověřit nějaké stránky, našel jsem toto http://onlinelinkscan.com

Ještě k tomu hostingu, mám o něm pochyby, protože viry se tam vyskytují na víc stránkách,

ale když nemám jistotu že je chyba tam...uvádět tu název, nevím...

---------- Příspěvek doplněn 19.08.2011 v 22:06 ----------

Edit : Abych viděl co jí tam vyskakuje za varování tak jsem si musel nainstalovat Avast s web guardem, moje AVG ani neškytlo.

19. 8. 2011 21:57:07

https://webtrh.cz/diskuse/trojan-v-prestashopu#reply668608

buffy

(5 hodnocení)

19. 8. 2011 23:15:12

tak to se vcelku divim, ze to google neobjevil po mesici a pul. ja jinak ty webguardy moc rad nemam. s jednim jsem mel nemilou zkusenost, ze zaradil stranky na zaklade doporuceni uzivatele (konkurence) a tak se stranky klienta v danem WG zobrazovaly jako nebezpecne.

Pokud je na jednom hostingu vic zavirovanych stranek, je to uz jisty ukazatel. vetsina webhosteru sice nekontroluje obsah, ale byvaji upozorneni jako spravci danych serveru na podezrely obsah na jejich strojich. to by meli minimalne nejak resit.

jinak dik za online scan.

19. 8. 2011 23:15:12

https://webtrh.cz/diskuse/trojan-v-prestashopu#reply668607

jarin001

(37 hodnocení)

19. 8. 2011 23:28:59

Google právě neprovádí čistě scan ale bere upozornění od uživatelů, případně upozornění z hlavních antivirových systémů.

Ten guard si ale zřejmě nechám, je vidět že když je software soustředěný třeba jen na spyware, tak může být užitečný.

V AVG mám všechno, ale myslím že jako rezidentní ochrana je na nic, zatím mi našel něco jenom při scanu PC, což je trochu pozdě.

Jinak hosting sem nechci psát, ale název má jako typ pohovky :-)

19. 8. 2011 23:28:59

https://webtrh.cz/diskuse/trojan-v-prestashopu#reply668606