Caso Studio: PrestaShop Hackerato con Redirect Spam e Cartelle Compromesse

Caso Studio: PrestaShop Hackerato con Redirect Spam, Errori 500 e File Compromessi

Come abbiamo individuato e rimosso un malware da un ecommerce PrestaShop compromesso

Cliente

PHOTOMAKERS

Sito: print.contrasto.it

Settore: Servizi di stampa professionale online

Problema segnalato: Redirect anomali, errori 500, file compromessi e malfunzionamenti dell’ecommerce.

Situazione iniziale

Il cliente ci ha contattato dopo aver riscontrato comportamenti anomali sul proprio ecommerce PrestaShop.

Gli utenti venivano reindirizzati verso siti esterni sconosciuti, alcune pagine mostravano errori 500 e diverse funzionalità non risultavano più affidabili.

Inizialmente il problema sembrava limitato a un semplice errore tecnico.

Dopo una prima analisi abbiamo però capito che la situazione era molto più grave.

Il sito era stato compromesso da codice malevolo inserito all’interno di file del tema e di altre aree strategiche dell’installazione.

I sintomi riscontrati

Prima dell’intervento il sito mostrava diversi segnali tipici di una compromissione.

Redirect verso siti esterni

Gli utenti che visitavano alcune pagine venivano reindirizzati verso domini non autorizzati.

Questo comportamento non era previsto dal sito e rappresentava un rischio sia per gli utenti che per il brand.

Errori 500

In diverse circostanze il sito mostrava schermate di errore interno del server.

Questi errori rendevano impossibile la navigazione e compromettevano l’esperienza degli utenti.

Comportamenti incoerenti

Alcune pagine funzionavano correttamente mentre altre manifestavano anomalie.

Questo è spesso uno dei segnali che indicano la presenza di codice malevolo distribuito in più punti dell’installazione.

Analisi tecnica effettuata

Per evitare interventi superficiali abbiamo deciso di procedere con una vera attività di analisi forense.

L’obiettivo non era semplicemente eliminare un file sospetto.

Dovevamo individuare ogni punto compromesso ed evitare che il malware si ripresentasse dopo pochi giorni.

Download completo delle aree critiche

Abbiamo scaricato e analizzato localmente le principali cartelle del sito.

Tra queste:

• themes

• override

• js

• errors

• appagebuilder

• psxdesign

• leoblog

• leofeature

Queste aree sono spesso utilizzate dagli attaccanti per nascondere codice malevolo.

Analisi del tema

La prima verifica è stata eseguita sulla cartella themes.

Durante la scansione abbiamo individuato codice JavaScript offuscato inserito in diversi file.

Il payload era progettato per eseguire redirect automatici verso domini esterni.

Individuazione del malware

L’analisi ha portato all’identificazione di uno script malevolo che effettuava reindirizzamenti verso domini non autorizzati.

Il codice era stato distribuito in più file e risultava nascosto attraverso tecniche di offuscamento.

Questo rende molto difficile l’individuazione da parte di chi non effettua verifiche approfondite.

Controllo dei moduli

Successivamente abbiamo analizzato i moduli maggiormente coinvolti nel rendering del sito.

Particolare attenzione è stata dedicata a:

• ApPageBuilder

• LeoBlog

• LeoFeature

• PSXDesign

Ogni file è stato verificato manualmente alla ricerca di:

• redirect nascosti

• codice offuscato

• chiamate esterne sospette

• modifiche non autorizzate

Analisi JavaScript

La cartella js è stata verificata file per file.

Sono stati controllati:

• script personalizzati

• librerie

• file di compatibilità

• componenti caricati dal tema

L’obiettivo era individuare eventuali payload secondari lasciati dagli attaccanti.

Verifica Override

La cartella override rappresenta uno dei punti più delicati di qualsiasi installazione PrestaShop.

Gli override possono intercettare controller, pagine e processi di sistema.

Per questo motivo è stata sottoposta a un controllo approfondito.

Intervento eseguito

Una volta individuata l’origine del problema siamo passati alla fase operativa.

Rimozione del codice malevolo

Abbiamo eliminato il payload presente nei file compromessi.

Il lavoro non si è limitato a un singolo file.

Sono state eseguite verifiche e pulizie multiple per garantire l’eliminazione completa del malware.

Ripristino dei file compromessi

Diversi file risultavano modificati o alterati.

Abbiamo proceduto con:

• pulizia del codice

• ripristino delle versioni corrette

• verifica della struttura originale

Verifica completa del tema

Il tema è stato controllato nuovamente dopo la pulizia.

Sono stati effettuati ulteriori scan per escludere la presenza di:

• redirect nascosti

• script malevoli

• codice offuscato

• riferimenti a domini esterni

Controllo dei moduli

Ogni modulo critico è stato ricontrollato dopo la bonifica.

Questo passaggio è fondamentale perché spesso gli attaccanti inseriscono copie del malware in più posizioni.

Problemi aggiuntivi rilevati nel database

Durante la fase di verifica abbiamo scoperto che il problema non riguardava esclusivamente i file.

Anche il database mostrava anomalie.

Tra queste:

• configurazioni compromesse

• priorità di accesso alterate

• record danneggiati

• comportamenti non coerenti con la configurazione originale

È stato quindi necessario eseguire ulteriori verifiche e attività di ripristino.

Soluzione implementata

L’intervento finale ha previsto:

Bonifica completa dei file

Rimozione del codice malevolo individuato durante la scansione.

Ripristino della struttura corretta

Verifica e ripristino delle aree compromesse.

Controllo approfondito dei moduli

Analisi dei componenti più esposti.

Verifica del database

Controllo e correzione delle anomalie riscontrate.

Test funzionali

Al termine dell’intervento sono stati effettuati test completi su:

• homepage

• pagine prodotto

• categorie

• moduli

• back office

• gestione ordini

• funzionalità principali

Risultato ottenuto

Al termine delle attività il sito è tornato operativo.

I redirect malevoli sono stati eliminati.

Gli errori 500 sono stati risolti.

Le aree compromesse sono state bonificate.

Le funzionalità principali dell’ecommerce sono state ripristinate.

Il cliente ha potuto continuare a utilizzare il proprio negozio online senza dover ricostruire l’intera piattaforma da zero.

Cosa abbiamo imparato

Questo progetto conferma una realtà molto importante.

Quando un ecommerce viene hackerato raramente il problema è limitato a un singolo file.

Molto spesso il malware viene distribuito in più aree:

• tema

• moduli

• javascript

• override

• database

Eliminare solamente il primo file sospetto non basta.

Serve un’analisi approfondita dell’intera installazione.

È proprio questo approccio che permette di evitare nuove infezioni e problemi ricorrenti.