Attaque SQL par injection

[Myshowroom]

je vous fais part de ma découverte sur un prestashop 1.5.5 multiboutiques, en faisant une recherche plus poussée j'ai dénombré 204522 fichiers potentiellement infectés ...

 

Il semble que la majorité des fichiers aient été infecté en 2013 mais le code est toujours potentiellement actif.

 

j'ai trouvé ces lignes dans pas mal de controllers. Malheureusement on va avoir du mal à décoder ça pour comprendre sa fonction...

 

Le problème viens à mon avis de presta qui à besoin d'avoir pas mal de fichier et repertoire en 777 pour que toute les fonctionnalité BO fonctionne.

Je penses qu'il faudrait à l'avenir restreindre les droits qui à perdre quelques fonctionnalité mais privilégier la sécu.

j'ai essaye d’exécuter ce code chez moi en mettant des gros var_dump partout et executer que ce que j'avais décodé. Je me suis arreté au bout d'un moment vu le eval en cascade qui son fait. Pour info les evals sont fait avec des preg_replace('/(.*)/e', ...). le modifier "e" est déprécié en PHP5.5

 

Pour les injections de codes il y a plusieurs possibilités, si ce n'est pas ciblé PS c'est souvent disposer d'un shell et donc d'avoir accès à tous les fichiers. Potentiellement manipuler la DB... Sachant que tous les ID de la base de données (root y compris) sont stockés et visibles sur le site.

Concernant le vol de CB si vous utilisez hipay/un site bancaire ou paypal le risque est faible car les pages sur lesquelles saisissent les clients saisissent les infos sont chez eux, cependant si les pirates détournes les liens paypal par une attaque en phishing c'est possible. Ce dernier cas est peu probable sinon tu verrais des écarts en compta.

Le cas le plus courant est surtout toujours d'obtenir un shell pour attaquer d'autres cibles et faire du référencement sauvage. En gros qd google visite vos pages il ne voit pas le site .................. mais le site du pirate (et souvent du client du pirate).

 

voici la version décodé du hack:

......................... demander par email pour recevoir le lien.

 

Deuxièmement on a peut être de la chance. Le pattern d'infection est récurent et est placé systématiquement (sur les fichiers que j'ai regardé) sur la 1ère ligne et sur une ligne. De facto sed bien placé peut réduire la surface d'infection voir l'éradiquer.

Seul soucis sur 20k fichiers si il y a des faux/positifs ça va être chaud bouillant pour les retrouver !

 

Une autre solution, est-il envisageable de remplacer les fichiers actuels par des fichiers d'origine de PS ? En gros y a t il des "hack" (au sens developpeur dans le code principal du PS de ........................ qui empêchent une telle opération ?

 

 

Votre avis sur cette mésaventure.

Merci

[Xavier du Tertre]

Hello,

 

Une autre solution, est-il envisageable de remplacer les fichiers actuels par des fichiers d'origine de PS ?

 

Oui, tu peux faire ça.
 

Le problème viens à mon avis de presta

 

C'est très improbable (et je ne dis pas ça parce que je parle au nom de PrestaShop). Ce qui est très très très probable par contre, c'est que tu te sois fait tapé ton mot de passe FTP. Et si tu as parametré ton client FTP pour une connexion automatique (en enregistrant ton mot de passe), alors ce qui est encore plus probable c'est que ton ordinateur soit infecté et que le virus soit allé piquer ton mot de passe en le demandant gentiment à ton client FTP.

 

Change ton mot de passe FTP en urgence !

[Myshowroom]

Hello,

 

 

Oui, tu peux faire ça.

 

 

C'est très improbable (et je ne dis pas ça parce que je parle au nom de PrestaShop). Ce qui est très très très probable par contre, c'est que tu te sois fait tapé ton mot de passe FTP. Et si tu as parametré ton client FTP pour une connexion automatique (en enregistrant ton mot de passe), alors ce qui est encore plus probable c'est que ton ordinateur soit infecté et que le virus soit allé piquer ton mot de passe en le demandant gentiment à ton client FTP.

 

Change ton mot de passe FTP en urgence !

 

 

mdr, j’espère que tu nous prends pas pour des noob on te parle d'un projet multiboutiques, avec un password à 20 caractères plus caractères spéciaux, as tu pensé que c’était une version vps à 5balles par mois pour 2 ventes par semaine. un projet avec 4 développeurs ça te sonne ou pas? même pas on a droit à un avis de professionnel! moi à ta place je demanderais si les fichiers ne sont pas trop modifiés? car je peux te répondre que remettre les anciens fichiers est impossible. en tout cas nous sommes ravis de voir à quel vitesse vous répondez pour éloigner le sujet de la vrai réponse. 

[J. Danse]

Mettre les anciens fichiers est plus que possible. C'est dès lors une très mauvaise conception et réalisation du développement qui a été faite.

 

Je ne dirais rien sur le sujet et sur la manière dont il se tourne, même si je reste assez d'avis pour dire que, en effet, c'est très probable qu'il s'agisse d'une infection propre (on en voyait beaucoup, à l'époque, avec le logiciel FTP FileZila) même si je suis d'accord pour dire que les permissions sur les dossiers peuvent également jouer.

 

Pour l'info, peu importe le mot de passe: si une des connexions est infectées, il est "en clair" et ce peu importe sa complexité.

[coeos.pro]

ça fait quelques années que je suis sur le forum, et quand il y a piratage d'une boutique prestashop les raisons sont vites trouvées:

 

1- virus qui dérobe les logins et mots de passe sur Filezilla

2- joomla

3- la divulgation des logins par "mégarde", notamment sur des réseaux sociaux...

 

comme quoi il n'y a pas besoin d'être un crack et de faire des attaques pas possible pour arriver à ses fins

[coeos.pro]

mdr, j’espère que tu nous prends pas pour des noob on te parle d'un projet multiboutiques, avec un password à 20 caractères plus caractères spéciaux, as tu pensé que c’était une version vps à 5balles par mois pour 2 ventes par semaine. un projet avec 4 développeurs ça te sonne ou pas? même pas on a droit à un avis de professionnel! moi à ta place je demanderais si les fichiers ne sont pas trop modifiés? car je peux te répondre que remettre les anciens fichiers est impossible. en tout cas nous sommes ravis de voir à quel vitesse vous répondez pour éloigner le sujet de la vrai réponse.

si tu es un professionnel alors tu sais de quoi tu parles et tu devrais avoir logiquement une réponse à tes propres questions

si tu es un noob, mon précédent message répond largement aux problèmes de piratage de boutique prestashop

[Xavier du Tertre]

+1 pour PrestaEdit

+1 pour coeos.pro

 

@MyShowroom : j'ai été parler avec un dev coeur avec 7 ans d'ancienneté chez PrestaShop, il est également responsable de toute la sécurité des solutions de notre société, dont celle du logiciel que tu utilises. Ma réponse n'est pas celle d'un CM, mais celle d'un dev qui ne veut que t'aider. Si tu ne souhaites pas accorder de crédit à mon post, merci néanmoins de rester un minimum courtois.

 

Bonne journée.

[Myshowroom]

Impossible de remplacer les fichiers par les originaux, trop de modifs.

 

Comment as-tu effectué la recherche des fichiers infecté ?

Car avec une recherche exacte, on ne devrait pas avoir de faux positifs compte tenu de la spécificité de ce code.

 

Voici le type de réponse que nous venons chercher sur un forum, à savoir réparer mais pas qui est le plus fautif. juste pour rappel nous sommes venus réclamer une réponse sur les droits d’écriture il y'a quelques mois de cela via le même forum, j'avoue que nous nous étions fais rembarrés, aujourd'hui la réponse d'un de vos participants irait bien dans ce sens. Cordialement

[Oron]

Bonjour

 

J'ai installer prestashop X fois et ceux depuis la version 1.2.5, ainsi que des serveurs web,  je n'ai jamais eu besoin de mettre des fichiers  en chmod 777.

 

Si c'est le cas c'est une configuration au niveau du serveur. Donc il faut voir le serveur et selon le panel de gestion.

Vous utilisez Plesk là je sais que d'office des dossiers et fichiers sont bloqué ou pris en main par Apache.

 

Vous avez aussi des programmes de protection tel que Crawl protect et Crawl tract.

Edited October 2, 2014 by Oron (see edit history)

[Myshowroom]

Nous utilisons une infrastructure n-tiers sans panel, mais merci pour ces infos.

Cordialement

[Mediacom87]

Bonjour,

 

+1 pour l'histoire des droits, le 777 ne doit jamais être utiliser sauf si le serveur est mal configuré.

 

Après concernant les modifications faites dans le coeur de Prestashop c'est aussi une erreur car si, depuis la version 1.5 de Prestashop, les override existe ce n'est ne pas pour rien.

 

et il est vrai que depuis que la solution existe 99,99% des attaques sont du à des erreurs humaines et non à un défaut de conception de Prestashop (le 0,01% correspond à la version buggé qui permettait à un hacckeur à passer par le flux rss de la page d'accueil de l'admin ... et c'est super vieux ce truc).

 

Dans tous les cas, merci de conserver un poil de courtoisie lorsque l'on vient vous répondre, car ceux qui prenne le temps de répondre n'ont rien demandés et n'attendent rien.

[Myshowroom]

il est temps de fermer ce post, l'inutilité de venir sur ce forum est assez énorme. à part faire des +1 c'est assez creux!

Edited October 3, 2014 by Myshowroom (see edit history)

[Mediacom87]

c'est assez creux!

Un peux comme vous. (ok, je sais elle est facile celle là).

 

 

Que vient faire un poil ici, c'est pas un lieu d’aumône, quand vous aurez acheté plus de 3000€ de modules prestashop, vous saurez ou se trouve la solution prestashop en terme de technique, ensuite si vous regardez au bas de nos post vous verrez qu'on travail depuis 2009 sur cette solution open source. Quand nous avons voulu upgrader cette magnifique solution 1.4 en 1.5, prestashop s'y est refusé catégoriquement se targuant de nous envoyez vers des professionnels qui n'ont jamais rappeler. Une boutique de 20 000 produits ça se migre pas aussi facilement que prestashop voudrait le laisser croire. nous ne vous demandons pas de venir chouiner non plus avec vos leçons de morales. Nous sommes en droit d'attendre des réponses et très certainement que les contributeurs devraient être payé que ce soit de vrais professionnels de la solution pas des amateurs qui répondent pour se faire grader ici modérateur. Sur ceux je pense qu'il est temps de fermer ce post car l'inutilité de

 déposer un post ici est la même que depuis que cette solution a changé de propriétaire.

 

 

Excusez moi mais vous le faites exprès ou c'est juste que vous avez un limitation quelconque dans vos relations humaines. Car, si vous n'en avez pas conscience on est pas sur un skyblog mais bien sur un forum de professionnels pour des professionnels.

 

Que vous rencontriez des soucis avec la solution, on peut l'entendre et aider, mais venir cracher inutilement en tenant des propose de gamin de 12 ans, cela est inacceptable.

 

Vous venez vous targuer d'utiliser la solution depuis 2009 mais à moins que vous ayez changé de compte utilisateur, comme moi, vous n'avez pas fait profité la communauté de votre expérience afin de faire évoluer la solution pour la rendre meilleure. Ce qui me semble être la base dans l'open source.

Prestashop vous met un produit gratuitement à disposition et n'a strictement aucune obligation de support ou autre vis à vis de ses utilisateurs.

 

Vous parlez de 3000€ de modules ... pas cher pour avoir la boutique que vous souhaitez, car oui le ecommerce avec 20 000 références produits est plus cher car un truc tout simple (on parle de commerce) lorsque vous avez beaucoup de produit il faut une grosse boutique c'est comme dans la vrai vie, l'épicier du coin de rivalisera jamais avec l'hyper du fait du nombre de porduit et il n'a pas les même contraintes. Pas besoin de sortir d'une grande école pour savoir tout cela et Prestashop n'a rien à voir avec ces notions de bases.

 

Vous avez fait des erreurs de développement et de sécurité sur votre installation Prestashop, donc vous êtes à blâmer ou un employé ou un prestataire, mais dans ce cas, pas Prestashop.

 

Et personnellement je trouve ce genre de discussion intéressante afin de faire prendre conscience à des ecommerçants en herbe que si on veut jouer dans la cour des grands il faut en avoir les moyens.

[Myshowroom]

Un peux comme vous. (ok, je sais elle est facile celle là).

 

 

Excusez moi mais vous le faites exprès ou c'est juste que vous avez un limitation quelconque dans vos relations humaines. Car, si vous n'en avez pas conscience on est pas sur un skyblog mais bien sur un forum de professionnels pour des professionnels.

 

Que vous rencontriez des soucis avec la solution, on peut l'entendre et aider, mais venir cracher inutilement en tenant des propose de gamin de 12 ans, cela est inacceptable.

 

Vous venez vous targuer d'utiliser la solution depuis 2009 mais à moins que vous ayez changé de compte utilisateur, comme moi, vous n'avez pas fait profité la communauté de votre expérience afin de faire évoluer la solution pour la rendre meilleure. Ce qui me semble être la base dans l'open source.

Prestashop vous met un produit gratuitement à disposition et n'a strictement aucune obligation de support ou autre vis à vis de ses utilisateurs.

 

Vous parlez de 3000€ de modules ... pas cher pour avoir la boutique que vous souhaitez, car oui le ecommerce avec 20 000 références produits est plus cher car un truc tout simple (on parle de commerce) lorsque vous avez beaucoup de produit il faut une grosse boutique c'est comme dans la vrai vie, l'épicier du coin de rivalisera jamais avec l'hyper du fait du nombre de porduit et il n'a pas les même contraintes. Pas besoin de sortir d'une grande école pour savoir tout cela et Prestashop n'a rien à voir avec ces notions de bases.

 

Vous avez fait des erreurs de développement et de sécurité sur votre installation Prestashop, donc vous êtes à blâmer ou un employé ou un prestataire, mais dans ce cas, pas Prestashop.

 

Et personnellement je trouve ce genre de discussion intéressante afin de faire prendre conscience à des ecommerçants en herbe que si on veut jouer dans la cour des grands il faut en avoir les moyens.

 

je suis ravi de voir que vous est susceptible, c'est bien que vous ne vous y retrouvez pas dans votre participation à ce forum, ça doit être un peu chronophage pour vous, ce réveillez à 7h pour répondre à des post, ça a l'air sympa tout ça! mais attention au burn out (lol).

 

Je suis encore bien plus surpris que vous nous parliez de l'implication des développeurs dans le business plan d'un site e-commerce, bien comprendre que ce développer à grosse échelle nécessite une solution solide et efficace, Je pense que tous bons développeurs déconseillera prestashop à tout commerce souhaitant devenir un vrai centre commercial en ligne, ce qui est le cas pour nous!

 

Beaucoup de développeurs nous ont incité à partir chez un concurrent dont je tairais le nom. Nous aurions du les écouter car la mise en place de cette 1.5.5 fut un vrai chemin de croix, tant par les manquements aux développements de certains modules natifs multishop que par le manque d'informations quand nous rencontrions des bugs. Je tairais donc toutes les épreuves que nous avons du supporter par politesse et sachez que le budget était de plusieurs dizaines de milliers d'euros car était convenu le rassemblement d'une dizaines de boutiques 1.4 

[coeos.pro]

je suis ravi de voir que vous est susceptible, c'est bien que vous ne vous y retrouvez pas dans votre participation à ce forum, ça doit être un peu chronophage pour vous, ce réveillez à 7h pour répondre à des post, ça a l'air sympa tout ça! mais attention au burn out (lol).

pour info, je viens à peine de finir mon pti dej et lire de si bon matin des messages complètement hors sujet (voir titre: "Attaque SQL par injection"), agressifs envers un forum d'entraide et ses participants, je suis consterné, j'ai envie d'aller me recoucher.

 

On ne viens pas sur un forum pour être "rentable" ou se faire un nom, on viens ici pour aider les gens qui ont des problèmes. Et critiquer les autres qui laissent des messages tôt le matin alors que le votre a été posté à 6:28, de qui se moque t on?

 

3000€ en 5 ans pour une boutique en ligne, ça vous semble important, peut être que votre boutique n'est pas assez rentable, sinon vous en feriez abstraction.

 

Faite une pause, on est vendredi, ça sent le week end, si vous n'arrivez pas à vous recentrer sur le sujet initial, alors il faudra fermer ce sujet.

[Myshowroom]

il est temps de fermer ce post, l'inutilité de venir sur ce forum est assez énorme. à part faire des +1 c'est assez creux!

[Oron]

Bonjour

 

Mettez le post en résolu ainsi plus personne viendras écrire normalement

 

Votre problème est résolu merci de bien vouloir mettre [Résolu] devant le sujet de votre 1er post en cliquant sur Modifier

[Xavier du Tertre]

Je ferme ce sujet. 

 

@MyShoowroom : PrestaShop attache une immense importance à la sécurisation de son logiciel. Comme vous l'explique la communauté, il est raisonnable d'affirmer que l'infiltration dans votre code s'est faite par votre FTP. Si vous avez la preuve que ça n'est pas le cas et que le code de PrestaShop est vulnérable, vous pouvez me l'envoyer par email à l'adresse xavier.dutertre(at)prestashop.com.