Attaque sur site et nom de fichiers bizarre

[laurentcaron]

Bonjour,

J'ai été victime durant le Week end de piratage sur mon site. Avec l'équipe Ionos, nous avons contasté que des fichiers .php au nom bizarre se sont installés sans qu'il soient pour autant détectés par le service sécurité.

Par exemple wjjytendbv.php - akvettliou.php ou encore eybvrtyqyr.php

S'agit_il de vrais fichiers Prestashop ou sont-ce des fichiers malveillants ? L'analyse antivirus ne détecte rien d'anormal quant à ces fichiers.

Merci pour votre aide ! Laurent

[doekia]

il y a 3 minutes, laurentcaron a dit :

victime de piratage. des fichiers .php au nom bizarre se sont installés.

 

il y a 4 minutes, laurentcaron a dit :

S'agit_il de vrais fichiers Prestashop ou sont-ce des fichiers malveillants ?

Respectivement non, oui

il y a 5 minutes, laurentcaron a dit :

Merci pour votre aide !

Non sans plus d'information, impossible de t'aider

[joseantgv]

Pouvez-vous copier le contenu de l'un de ces fichiers ? Merci

[doekia]

il y a 2 minutes, joseantgv a dit :

Pouvez-vous copier le contenu de l'un de ces fichiers ? Merci

Aucun interêt !! Il faut identifier via les logs (POST) par quel biais ces fichiers ont été créer

Mais bon pour aider, encore faudrait-il qu'il se donne la peine de nous parler de sa version, de si oui ou non il a sécurisé par rapport à la faille de janvier, ...

 

[joseantgv]

C'est vrai ! C'est juste pour voir quelles informations ils volent

[laurentcaron]

Bonjour, il s'agit de la version 1.7.5.1

[laurentcaron]

Quand j'ouvre un fichier dans le bloc note, il est vide....

[doekia]

il y a 3 minutes, laurentcaron a dit :

Bonjour, il s'agit de la version 1.7.5.1

Quand il y a 2 questions dans une phrase, tu reste en mode poisson rouge et t'arrête à la 1ere?

oui ou non tu as sécurisé par rapport à la faille de janvier ???

 

[laurentcaron]

Je pense que non, puisque je ne suis pas au courant de cette faille...Quelle est la procédure  à suivre pour la supprimer ?

J'ai télécharger la mise à jour automatique de prestashop, mais ça n'a pas l'air de se faire automatiquement...

[laurentcaron]

le fameux Module 1-Click Upgrade

 

[Mediacom87]

Bonjour,

La mise à jour ne changera pas tout et vous devez tout de même intervenir manuellement.

Un rappel https://www.mediacom87.fr/prestashop-phpunit-vulnerabilite-sur-modules/

Après, c'est aussi à vous de faire la veille sur votre solution technique ou de le faire faire par un prestataire.

Comme le dit Doekia, il faut analyser les logs, regarder comment sont arrivés ses fichiers et ainsi de suite, mais bon certainement que ce soucis puisque la faille fut communiqué partout les gamins de 12 ans s'amusent à faire des exploit de débutant hacker.