Avisos
Vaciar todo
Buenas les escribo por que me lleva ocurriendo unos días un caso muy raro por si ha pasado a algún cliente o sabeis alguna solución.
Hemos comprobado gracias a que una clienta nos lo advirtio que el TPV de redsys al finalizar el pago muestra los textos en italiano. Hemos comprobado en Ajustes que todo esta correcto, demás esos campos ya que usamos WPML no existen los de los label en base de datos para traducirlos (tenemos la web en ES y EN) para dar una posible solución aunque fuera un parche temporal pero nada. Hemos probado a quitar plugin de WooCommerce Price Based on Country por si acaso y nada. Está actualizado el plugin de redsys también. Tiene la versión 7.4 no creo que esto afecte cuando siempre ha funcionado.
No se habían actualizado plugin ya que se hace manualmente y ha funcionado perfectamente hasta ayer.
No se si en el log podeis ver algo o si me podeis ayudar de alguna forma. He escrito a soporte de redsys para ver si ellos me indican algo.
También lo he comprobado en firefox aparte de chrome por si era cosa de chrome y nos pasa a todos y da igual la versión del chrome(en uno tengo la última y en otro sin actualizar)
PD: El problema aparte de que así no puede estar es que como esta clienta pensaba que al salir en italiano no se atrevía a poner los datos y le tiro para atrás la compra, la suerte que nos llamo para advertirlo pero la semana pasada hubo compras por TPV sin problema (ya no se si lleva más tiempo y a la gente no le importo que estuviera así o e que ha ocurrido esto desde ayer o desde hace 5 días que fue la anterior compra)
Adjunto captura.
Contenido solo visible a usuarios registrados
Respondido : 27/06/2023 12:25 pm
Hola Nazaret.
Redsys no tiene cadenas de texto en varios idiomas, no tiene traducción por lo que deduzco que el que lo esta traduciendo es el plugin WPML
Al ser un plugin de pago tienes que consultarlo con su soporte:
-> https://wpml.org/forums/forum/english-support/
Un Saludo
Respondido : 27/06/2023 3:54 pm
@pepesoler Buenas Pepe te comento porque esto no tiene absolutamente nada que ver el plugin que indicas.
Os pongo en aviso porque así me lo han indicado los de soporte de redsys y me han pedido vuestra ayuda para ver si veis algo más de lo que han sacado ellos en conclusion y que les pase lo que vosotros me digais por si les puede valer a ellos.
El caso que se trata (no se el tecnicismo empleado exactamente) como una especie de prishcing sobre el plugin oficial de redsys, hay un paso intermedio que es esa especie de iframe donde se muestra esos campos en italiano que no pertenece al plugin y una vez metes los datos (lo hemos estado comprobando metiendo numeros de tarjetas de prueba para ver las acciones que se ejecutaban y las url a las que apuntaba por si daba alguna pista, tras una reunión por zoom de más de 1 hora) salta ya sí el TPV de redsys. No se registra la compra ni los datos directamente van a otra url que lo único que han logrado sacar es esto que te indico aquí en cursiva y otro color para diferenciarlo, tb te adjunto captura del email para que veais que ellos lo han comprobado todo y nos han pedido que debeis revisar vosotros porque alguna especie de malware o similar que hace como una especie de replica del plugin con la finalidad de coger los datos de los usuarios que van a pagar vía TPV hay en la web.
Hemos revisado el log y apenas hay info relevante y lo único que me han indicado es que las personas que lo han hecho lo hacen con ip dinámicas y es practicamente imposible ver de donde procede para eliminar donde puede estar y lo único que han visto raro es esto que pongo aquí como os indico arriba.
En este instante he vuelto a desactivar el Plugin de Redsys. Con nuestro equipo de Ciberseguridad hemos detectado que la URL que está filtrando nuestro Proxy, confirmando la sospecha de lo que encontré en la revisión manual, es
https://krown.buzz/www.google-analytics.com/pasionmorena.com.js
Esta es la URL que estaría cargando el JS y que presuntamente estaría capturando las tarjetas de los clientes. No tenemos mayor información de este dominio, por lo que o es un ataque muy centrado en vuestra tienda o es muy reciente este tipo de ataque o dominio. Lo que nos han podido decir nuestras herramientas es que incorpora otra URL ofuscada dentro del JS.
Ahora hemos desactivado el plugin de TPV y nos han aconsejado que esta web hasta que no se descubra de donde puede proceder que la usemos como copia y como teníamos pensado ya esta casi terminada hacer una nueva que no usemos absolutamente nada de esta web salvo exportar productos (pero ni bbdd, ni replicar estos plugin tal cual por si el o los archivos infectados está en alguno de ellos).
De hecho el dominio lo han puesto de forma temporal para impedir que se puedan hacer pagos por TPV porque les salta a ellos directamente como que tiene esa especie de alerta y por eso nos han pedido que miren ustedes o revisen para poder facilitar más información ya no para solucionar lo nuestro si no porque no se habian encontrado con un caso segun me han indicado los técnicos con este nivel tan complejo para evitar si les ocurre de nuevo, transmito lo que me han indicado por zoom y luego por teléfono.
Quedo a la espera y nosotros pues vamos a intentar exportar via csv los productos de la vieja a la nueva y como los plugin, theme etc etc son otros pues cambiaremos el dominio y redirecciones y listo en caso de que no solucionemos nada. Cualquier cosa por favor nos van indicado por eso la URGENCIA.
Gracias!!
Un saludo!
Respondido : 30/06/2023 8:04 pm
Hola Nazaret,
En este caso al tratarse de un malware no recomiendo exportar ninguna información de este sitio web infectado, lo mejor es eliminar por completo cualquier rastro donde pueda estar esta infección.
Para determinar un poco mejor que ocurre manda un ticket a soporte para que revisen la web y vean si hay algún código que pueda causar lo que indicas.
Verifica y nos comentas como va todo
Un Saludo
Respondido : 30/06/2023 8:31 pm
@karen Perfecto Karen ya lo envie explicandolo todo de nuevo lo más detalladamente posible con caracter URGENTE, cualquier cosa que me indiquen tus compañeros al igual que a Redsys si es de utilidad lo comento para intentar dejarlo solucionado cuanto antes.
Respondido : 02/07/2023 11:15 am
Hola Nazaret.
Ok, dejo la consulta abierta por si necesitas retomarlo.
Un Saludo
Respondido : 02/07/2023 12:35 pm
