Вопрос пришло сообщение об ошибке - что это такое?

[lightman555]

Сегодня на емал пришло вот это - что это такое и где искать - не могу найти этот файл или это просто шутка?

 

[BIZON]

Сегодня на емал пришло вот это - что это такое и где искать - не могу найти этот файл или это просто шутка?

Анализ и ответ gemini..

Это не просто ошибка, а официальное предупреждение о взломе и серьезной угрозе безопасности вашего интернет-магазина на PrestaShop.

Говоря простым языком: злоумышленники нашли способ внедрять вредоносный код («цифровой скиммер») в магазины, чтобы красть данные банковских карт ваших клиентов в момент оплаты.

Вот подробный разбор ситуации:

Что делает этот скрипт?​

В письме приведен пример вредоносного кода. Если декодировать строку aHR0cHM6Ly9wbHZiLnN1L2J0Lmpz, которая там указана, получится адрес: h**ps://plvb.su/bt.js

Этот скрипт работает следующим образом:

1. Он подменяет настоящие кнопки оплаты на поддельные.
2. Когда клиент нажимает «Оплатить», его перенаправляют на фальшивую форму.
3. Данные карты уходят хакерам, а не в ваш банк.

---

Где искать проблему?​

Согласно письму, вредоносный код чаще всего внедряется в файл вашей активной темы:папка_вашего_сайта/themes/название_вашей_темы/_partials/head.tpl

Что вам нужно сделать прямо сейчас?​

1. Проверьте файлы: Подключитесь к сайту через FTP или файловый менеджер хостинга. Откройте файл head.tpl и поищите там тег <script>, содержащий функцию atob(), как показано на скриншоте.
2. Удалите вредоносный код: Если вы нашли этот кусок кода — немедленно удалите его и сохраните файл.
3. Смените пароли:Смените пароли от:
   • Админ-панели магазина.
   • FTP/SSH доступа.
   • Базы данных.
   • Панели управления хостингом.
4. Обновите систему и модули: Убедитесь, что у вас установлена последняя версия PrestaShop и всех модулей (особенно модулей оплаты). Уязвимость часто кроется в устаревших дополнениях.
5. Проверьте логи: Попробуйте выяснить, когда и как был изменен файл (через логи FTP или хостинга), чтобы понять точку входа хакера.

Важно: Если вы не обладаете техническими навыками, крайне рекомендую обратиться к веб-разработчику для проведения полного аудита безопасности, так как удаление одного скрипта может не решить проблему, если уязвимость («дыра»), через которую зашли хакеры, осталась открытой.

Вот пошаговый алгоритм очистки и защиты вашего магазина:

---

Этап 1: Изоляция и немедленное реагирование​

Первым делом нужно остановить возможную утечку данных, пока вы ведете работы.

1. Включите режим обслуживания (Maintenance Mode) : Перейдите в Параметры магазина -> Общие -> Обслуживание и выключите магазин для посетителей.
2. Смените все пароли доступа:
   • Админ-панель (особенно для аккаунтов с правами SuperAdmin).
   • FTP/SFTP и SSH.
   • Панель управления хостингом.
   • База данных (не забудьте обновить пароль в файле app/config/parameters.php).

Этап 2: Поиск и удаление вредоносного кода​

Злоумышленники часто прячут код в нескольких местах.

• Проверка TPL-файлов: Проверьте themes/[your_theme]/_partials/head.tpl (как указано в письме). Ищите любые упоминания atob(), eval(), или подозрительные <script>.
• Проверка базы данных: Иногда код внедряют через настройки модулей. Проверьте таблицу ps_configuration на наличие скриптов в полях вроде PS_CUSTOM_HTML.
• Поиск по файловой системе: Если есть доступ к SSH, выполните команду для поиска подозрительной строки во всех файлах:grep -rnE "atob\(|XMLHttpRequest|Function\(x.responseText\)" .
• Сравнение с бэкапом: Если у вас есть чистый бэкап недельной давности, используйте утилиты сравнения (например, diff), чтобы увидеть, какие файлы были изменены.

Этап 3: Анализ уязвимости (Как они попали?)​

Просто удалить код недостаточно — они вернутся, если не закрыть «дыру».

1. Логи сервера: Проверьте access_log. Ищите POST-запросы к файлам, которые обычно не должны их принимать, или обращения к подозрительным PHP-файлам в папке upload или modules.
2. Ревизия модулей: Проверьте список установленных модулей. Удалите все старые, неиспользуемые или скачанные из неофициальных источников (варез).
3. Лишние админы: Загляните в Расширенные параметры -> Сотрудники. Нет ли там новых «левых» учетных записей?

---

Этап 4: Обновление и усиление защиты​

1. Обновите PrestaShop: Если ваша версия ниже текущей стабильной, критически важно обновиться. Уязвимость в ядре или модуле 1-Click Checkout часто становится входной точкой для скиммеров.
2. Права на файлы: Установите корректные права: 755 для папок и 644 для файлов. Запретите запись в папку тем, если вы не ведете разработку.
3. Установите модуль безопасности: Рекомендую использовать модули вроде Prestashop Security (Cleaner & Anti-Virus) или настроить WAF (Web Application Firewall) на уровне хостинга/Cloudflare.

---

Этап 5: Уведомление (Юридический аспект)​

Поскольку произошел инцидент с персональными данными:

• Свяжитесь с вашим банком/эквайрингом и сообщите о ситуации.
• Если данные клиентов действительно могли быть скомпрометированы, по правилам (в зависимости от юрисдикции, например, GDPR или местное законодательство), вам, возможно, придется уведомить пользователей и рекомендовать им перевыпустить карты.

Вот команды, которые помогут вам локализовать угрозу:

---

1. Поиск конкретной сигнатуры из письма​

Эта команда ищет именно тот фрагмент кода, который был указан в предупреждении PrestaShop (функция atob в связке с XMLHttpRequest).

Bash

grep -rnE "atob\(|XMLHttpRequest|Function\(x.responseText\)" .

• Что делает: Ищет во всех файлах текущей папки и подпапках упоминание этих функций.
• На что обратить внимание: Если поиск выдаст файл themes/.../_partials/head.tpl — это стопроцентное попадание.

2. Поиск недавно измененных файлов​

Если взлом произошел недавно (например, в последние 7 дней), эта команда покажет все файлы, которые были изменены за этот период. Это поможет найти не только скиммер, но и «бэкдоры», которые могли оставить хакеры.

Bash

find . -type f -mtime -7 -name "*.tpl" -o -name "*.php" -o -name "*.js"

• -mtime -7: Файлы, измененные за последние 7 суток.
• Фильтр по расширениям: Мы ищем только в шаблонах, PHP-скриптах и JS-файлах.

3. Расширенный поиск подозрительных функций​

Хакеры часто используют обфускацию (запутывание кода). Проверьте файлы на наличие функций, которые часто используются для выполнения вредоносного кода:

Bash

grep -rnE "eval\(|base64_decode\(|gzuncompress\(|str_rot13\(" .

Внимание: Эти функции могут использоваться и легитимными модулями, поэтому проверяйте контекст. Если код выглядит как бессмысленный набор символов — это подозрительно.

---

4. Проверка базы данных (SQL)​

Иногда вредоносные скрипты вставляются не в файлы, а прямо в базу данных через настройки тем или модулей.

Если у вас есть доступ к phpMyAdmin или консоли MySQL, выполните этот запрос:

SQL

SELECT * FROM ps_configuration WHERE value LIKE '%<script%';

(Замените ps_ на ваш префикс таблиц, если он отличается). Просмотрите результаты: если в полях вроде PS_CUSTOM_HTML или настройках футера/хедера есть незнакомый JS-код — удаляйте его.

---

Как интерпретировать результат?​

Если команда grep выдала вам строку, она будет выглядеть примерно так:./themes/classic/_partials/head.tpl:42:<script>(function(){var x=new XMLHttpRequest;...

Цифра 42 — это номер строки. Вам нужно открыть этот файл, перейти на эту строку и аккуратно удалить весь блок <script>...</script>.

Что делать, если вы нашли вредоносный файл?

1. Сохраните копию вредоносного файла для анализа (если нужно).
2. Удалите код.
3. Запомните дату изменения этого файла и поищите в логах сервера (access.log), кто обращался к сайту в это время.

 

[byura]

Сегодня на емал пришло вот это - что это такое и где искать - не могу найти этот файл или это просто шутка?

с переводом
Для просмотра ссылки Войди или Зарегистрируйся

 

[lightman555]

Анализ и ответ gemini..

Это не просто ошибка, а официальное предупреждение о взломе и серьезной угрозе безопасности вашего интернет-магазина на PrestaShop.

Говоря простым языком: злоумышленники нашли способ внедрять вредоносный код («цифровой скиммер») в магазины, чтобы красть данные банковских карт ваших клиентов в момент оплаты.

Вот подробный разбор ситуации:

Что делает этот скрипт?​

В письме приведен пример вредоносного кода. Если декодировать строку aHR0cHM6Ly9wbHZiLnN1L2J0Lmpz, которая там указана, получится адрес: h**ps://plvb.su/bt.js

Этот скрипт работает следующим образом:

1. Он подменяет настоящие кнопки оплаты на поддельные.
2. Когда клиент нажимает «Оплатить», его перенаправляют на фальшивую форму.
3. Данные карты уходят хакерам, а не в ваш банк.

---

Где искать проблему?​

Согласно письму, вредоносный код чаще всего внедряется в файл вашей активной темы:папка_вашего_сайта/themes/название_вашей_темы/_partials/head.tpl

Что вам нужно сделать прямо сейчас?​

1. Проверьте файлы: Подключитесь к сайту через FTP или файловый менеджер хостинга. Откройте файл head.tpl и поищите там тег <script>, содержащий функцию atob(), как показано на скриншоте.
2. Удалите вредоносный код: Если вы нашли этот кусок кода — немедленно удалите его и сохраните файл.
3. Смените пароли:Смените пароли от:
   • Админ-панели магазина.
   • FTP/SSH доступа.
   • Базы данных.
   • Панели управления хостингом.
4. Обновите систему и модули: Убедитесь, что у вас установлена последняя версия PrestaShop и всех модулей (особенно модулей оплаты). Уязвимость часто кроется в устаревших дополнениях.
5. Проверьте логи: Попробуйте выяснить, когда и как был изменен файл (через логи FTP или хостинга), чтобы понять точку входа хакера.

Вот пошаговый алгоритм очистки и защиты вашего магазина:

---

Этап 1: Изоляция и немедленное реагирование​

Первым делом нужно остановить возможную утечку данных, пока вы ведете работы.

1. Включите режим обслуживания (Maintenance Mode) : Перейдите в Параметры магазина -> Общие -> Обслуживание и выключите магазин для посетителей.
2. Смените все пароли доступа:
   • Админ-панель (особенно для аккаунтов с правами SuperAdmin).
   • FTP/SFTP и SSH.
   • Панель управления хостингом.
   • База данных (не забудьте обновить пароль в файле app/config/parameters.php).

Этап 2: Поиск и удаление вредоносного кода​

Злоумышленники часто прячут код в нескольких местах.

• Проверка TPL-файлов: Проверьте themes/[your_theme]/_partials/head.tpl (как указано в письме). Ищите любые упоминания atob(), eval(), или подозрительные <script>.
• Проверка базы данных: Иногда код внедряют через настройки модулей. Проверьте таблицу ps_configuration на наличие скриптов в полях вроде PS_CUSTOM_HTML.
• Поиск по файловой системе: Если есть доступ к SSH, выполните команду для поиска подозрительной строки во всех файлах:grep -rnE "atob\(|XMLHttpRequest|Function\(x.responseText\)" .
• Сравнение с бэкапом: Если у вас есть чистый бэкап недельной давности, используйте утилиты сравнения (например, diff), чтобы увидеть, какие файлы были изменены.

Этап 3: Анализ уязвимости (Как они попали?)​

Просто удалить код недостаточно — они вернутся, если не закрыть «дыру».

1. Логи сервера: Проверьте access_log. Ищите POST-запросы к файлам, которые обычно не должны их принимать, или обращения к подозрительным PHP-файлам в папке upload или modules.
2. Ревизия модулей: Проверьте список установленных модулей. Удалите все старые, неиспользуемые или скачанные из неофициальных источников (варез).
3. Лишние админы: Загляните в Расширенные параметры -> Сотрудники. Нет ли там новых «левых» учетных записей?

---

Этап 4: Обновление и усиление защиты​

1. Обновите PrestaShop: Если ваша версия ниже текущей стабильной, критически важно обновиться. Уязвимость в ядре или модуле 1-Click Checkout часто становится входной точкой для скиммеров.
2. Права на файлы: Установите корректные права: 755 для папок и 644 для файлов. Запретите запись в папку тем, если вы не ведете разработку.
3. Установите модуль безопасности: Рекомендую использовать модули вроде Prestashop Security (Cleaner & Anti-Virus) или настроить WAF (Web Application Firewall) на уровне хостинга/Cloudflare.

---

Этап 5: Уведомление (Юридический аспект)​

Поскольку произошел инцидент с персональными данными:

• Свяжитесь с вашим банком/эквайрингом и сообщите о ситуации.
• Если данные клиентов действительно могли быть скомпрометированы, по правилам (в зависимости от юрисдикции, например, GDPR или местное законодательство), вам, возможно, придется уведомить пользователей и рекомендовать им перевыпустить карты.

Вот команды, которые помогут вам локализовать угрозу:

---

1. Поиск конкретной сигнатуры из письма​

Эта команда ищет именно тот фрагмент кода, который был указан в предупреждении PrestaShop (функция atob в связке с XMLHttpRequest).

Bash

grep -rnE "atob\(|XMLHttpRequest|Function\(x.responseText\)" .

• Что делает: Ищет во всех файлах текущей папки и подпапках упоминание этих функций.
• На что обратить внимание: Если поиск выдаст файл themes/.../_partials/head.tpl — это стопроцентное попадание.

2. Поиск недавно измененных файлов​

Если взлом произошел недавно (например, в последние 7 дней), эта команда покажет все файлы, которые были изменены за этот период. Это поможет найти не только скиммер, но и «бэкдоры», которые могли оставить хакеры.

Bash

find . -type f -mtime -7 -name "*.tpl" -o -name "*.php" -o -name "*.js"

• -mtime -7: Файлы, измененные за последние 7 суток.
• Фильтр по расширениям: Мы ищем только в шаблонах, PHP-скриптах и JS-файлах.

3. Расширенный поиск подозрительных функций​

Хакеры часто используют обфускацию (запутывание кода). Проверьте файлы на наличие функций, которые часто используются для выполнения вредоносного кода:

Bash

grep -rnE "eval\(|base64_decode\(|gzuncompress\(|str_rot13\(" .

---

4. Проверка базы данных (SQL)​

Иногда вредоносные скрипты вставляются не в файлы, а прямо в базу данных через настройки тем или модулей.

Если у вас есть доступ к phpMyAdmin или консоли MySQL, выполните этот запрос:

SQL

SELECT * FROM ps_configuration WHERE value LIKE '%<script%';

(Замените ps_ на ваш префикс таблиц, если он отличается). Просмотрите результаты: если в полях вроде PS_CUSTOM_HTML или настройках футера/хедера есть незнакомый JS-код — удаляйте его.

---

Как интерпретировать результат?​

Если команда grep выдала вам строку, она будет выглядеть примерно так:./themes/classic/_partials/head.tpl:42:<script>(function(){var x=new XMLHttpRequest;...

Цифра 42 — это номер строки. Вам нужно открыть этот файл, перейти на эту строку и аккуратно удалить весь блок <script>...</script>.

Что делать, если вы нашли вредоносный файл?

1. Сохраните копию вредоносного файла для анализа (если нужно).
2. Удалите код.
3. Запомните дату изменения этого файла и поищите в логах сервера (access.log), кто обращался к сайту в это время.

я честно говоря не нахожу этот файл head.tpl и не понятно к какому это вообще магазину относится - у меня их несколько и опять же онлайн оплаты у меня нет в магазинах...

 

[BIZON]

я честно говоря не нахожу этот файл head.tpl и не понятно к какому это вообще магазину относится - у меня их несколько и опять же онлайн оплаты у меня нет в магазинах...

В теме письма, в коде письма можно попробовать поискать адрес интернет магазина, возможно это просто общее информационное оповещение всех владельцев интернет магазинов на Prestashop. Ссылки в первом сообщении можете добавить на интернет магазины.

 

[byura]

я честно говоря не нахожу этот файл head.tpl и не понятно к какому это вообще магазину относится - у меня их несколько и опять же онлайн оплаты у меня нет в магазинах...

_partials/head.tpl этот файл только в версиях ps1.7=>

 

[lightman555]

В теме письма, в коде письма можно попробовать поискать адрес интернет магазина, возможно это просто общее информационное оповещение всех владельцев интернет магазинов на Prestashop. Ссылки в первом сообщении можете добавить на интернет магазины.

к сожалению не нахожу нигде обозначения к какому интернет магазину это все относится... может быть Вы и правы - это просто информационная рассылка и ссылка в письме ведет на страницу портала престашоп )приложил скрин)

_partials/head.tpl этот файл только в версиях ps1.7=>

а вот это уже ближе к делу так как основные магазины у меня на 1.4 и 1.6
и есть парочка тестовых на 1.7 - но я их так и не запустил - то есть там нет формы оплаты и товаров