Erreur ERR_TOO_MANY_REDIRECTS sur admin

[jc83]

Bonjour,

J'ai une erreur sur mon admin prestashop depuis 1 semaine : ERR_TOO_MANY_REDIRECTS même en navigation privée mais le site lui fonctionne.

J'ai essayer plein de choses mais rien n'y fait.

Il est hébergé sur 1and1 et visiblement j'ai été attaqué car il y avait des fichier bizarre dans certains dossiers, j'ai tout supprimé mais rien n'y fait.

Auriez-vous une idée car là le sèche.

Merci à vous.

Jean-Claude.

 

[doekia]

il y a 5 minutes, jc83 a dit :

il y avait des fichier bizarre dans certains dossiers, j'ai tout supprimé mais rien n'y fait.

Et tu as contrôlé tous les fichiers afin de voir si ils ne possèdent pas des variations ... inattendues?

[jc83]

En fait j'ai supprimé, j'avais peur que ce soit vérolé. Mais c'était des fichiers avec des caractères un peu aléatoires. Je me rappel d'un fichier up.php.

Le fichier index.php avait été modifié. Je l'ai remplacé par une copie locale de sauvegarde.

 

[doekia]

il y a 7 minutes, jc83 a dit :

En fait j'ai supprimé, j'avais peur que ce soit vérolé. Mais c'était des fichiers avec des caractères un peu aléatoires. Je me rappel d'un fichier up.php.

Le fichier index.php avait été modifié. Je l'ai remplacé par une copie locale de sauvegarde.

Donc ta réponse c'est non, tu n'as rien fait.

Il fait remettre à minima tous les fichiers d'origine ... identifier la faille initiale, inspecter pour trouver les fichiers aux noms non "suspects" qui ont été injectés ...

Il faut déhacker ton shop

[jc83]

ok, est-ce qu'il envisageable de supprimer le dossier admin et renvoyer tout mon dossier admin tout en lui donnant un nouveau nom de dossier ?

Merci.

[jc83]

De plus chose bizarre, à chaque fois la redirection se fait toujours avec le même token même en privée. Savez-vous où est stocké ce token sur lequel il me renvoi à chaque fois ?

Merci.

[doekia]

Le token correspond toujours à une signature unique basée sur ton PS_COOKIE, le controller que tu demande et ton id_employe donc normal qu'ils soit immuable

[jc83]

j'ai créé un nouveau dossier dans lequel j'ai mis ma version locale de l'admin mais le problème est toujours le même, il y a une continuité de redirections vers cette URL :

index.php?controller=AdminLogin&token=montoken

 

 

[jc83]

J'essaie de comprendre comment se passe cette redirection mais il y a quelque chose qui m'étonne : j'ai mis un exit dans le fichier index.php et j'ai vidé le .htaccess dans le dossier admin ainsi que celui à la racine et malgré tout j'ai toujours cette redirection. Je ne vois pas comment c'est possible, une idée ?

Merci.

[doekia]

admin, classes, controllers (AdminLoginController?), config ... il y a environ 1300 fichiers chargés, donc 1300 idée de possible

[jc83]

ah oui quand même. j'ai eu une notif de 1and1 indiquant tous les fichiers vérolés. Je les aient bien tous supprimé. Après il me préconisent de mettre les droits des fichiers en 604 et les dossiers en 705. J'ai commencé mais en FTP c'est un peu long. 

Toujours est-il que malgré la désinfection, j'ai toujours ces redirections.

JC.

[doekia]

Bon j'arrête de parler dans le vide ... je te laisse à ta misère. Tant que tu n'aura pas contrôlé l'intégralité de ton espace. Ton shop est vérolé. Et c'est pas en changeant les permissions que ça changera quelque chose. Quand vous comprendrez à quoi servent et comment marchent les permissions on en reparlera ... ou pas. Je quitte ce thread

[coeos.pro]

Il y a 15 heures, jc83 a dit :

J'ai commencé mais en FTP c'est un peu long. 

tu le fait fichier par fichier ? tu peux le faire en quelques secondes avec filezilla

[jc83]

Bonjour,

non en récursif mais il y a tellement de fichiers que ça prend un peu de temps.

Ceci dit, j'ai je pense supprimé tous les fichiers vérolés et remplacé ceux qui avaient été modifiés.

POur info, je suis totalement novice avec prestashop 😉

L'intrusions'est fait à mon avis à cause du dossier phpunit contenu dans modules/autoupgradevendor

Malgré tout ça, maintenant, j'ai une erreur , j'e suis passé en devmode via le fichier defines.inc.php et la redir en boucle revient.

J'ai regardé le fichier dev.log et j'obtiens ces lignes, est-ce que ça vous parle ?

[2020-05-10 08:47:53] doctrine.DEBUG: SELECT name FROM ppvc_module WHERE active = 1 [] []
[2020-05-10 08:47:54] php.INFO: User Deprecated: The "sensio_framework_extra.routing.loader.annot_class" service is deprecated since version 5.2 {"exception":"[object] (ErrorException(code: 0): User Deprecated: The \"sensio_framework_extra.routing.loader.annot_class\" service is deprecated since version 5.2 at /........../cache/dev/ContainerLlo21a0/getSensioFrameworkExtra_Routing_Loader_AnnotClassService.php:8)"} []
[2020-05-10 08:47:54] php.INFO: User Deprecated: The "Sensio\Bundle\FrameworkExtraBundle\Routing\AnnotatedRouteControllerLoader" class is deprecated since version 5.2. Use "Symfony\Bundle\FrameworkBundle\Routing\AnnotatedRouteControllerLoader" instead. {"exception":"[object] (ErrorException(code: 0): User Deprecated: The \"Sensio\\Bundle\\FrameworkExtraBundle\\Routing\\AnnotatedRouteControllerLoader\" class is deprecated since version 5.2. Use \"Symfony\\Bundle\\FrameworkBundle\\Routing\\AnnotatedRouteControllerLoader\" instead. at /........../vendor/sensio/framework-extra-bundle/Routing/AnnotatedRouteControllerLoader.php:19)"} []
[2020-05-10 08:47:54] php.INFO: User Deprecated: The "sensio_framework_extra.routing.loader.annot_dir" service is deprecated since version 5.2 {"exception":"[object] (ErrorException(code: 0): User Deprecated: The \"sensio_framework_extra.routing.loader.annot_dir\" service is deprecated since version 5.2 at /........../var/cache/dev/ContainerLlo21a0/getSensioFrameworkExtra_Routing_Loader_AnnotDirService.php:8)"} []
[2020-05-10 08:47:54] php.INFO: User Deprecated: The "sensio_framework_extra.routing.loader.annot_file" service is deprecated since version 5.2 {"exception":"[object] (ErrorException(code: 0): User Deprecated: The \"sensio_framework_extra.routing.loader.annot_file\" service is deprecated since version 5.2 at /........../var/cache/dev/ContainerLlo21a0/getSensioFrameworkExtra_Routing_Loader_AnnotFileService.php:8)"} []
[2020-05-10 08:47:54] doctrine.DEBUG: SELECT name FROM ppvc_module WHERE active = 1 [] []
[2020-05-10 08:47:55] doctrine.DEBUG: SELECT name FROM ppvc_module WHERE active = 1 [] []
[2020-05-10 08:47:55] doctrine.DEBUG: SELECT name FROM ppvc_module WHERE active = 1 [] []
[2020-05-10 08:47:56] doctrine.DEBUG: SELECT name FROM ppvc_module WHERE active = 1 [] []
 

 

Merci

[coeos.pro]

Il y a 2 heures, jc83 a dit :

non en récursif mais il y a tellement de fichiers que ça prend un peu de temps.

tu ne peux pas en sélectionner plusieurs d'un coup ? et si tu sélectionne le dossier ça ne fonctionne pas ?

 

Le 09/05/2020 à 10:11 AM, jc83 a dit :

En fait j'ai supprimé, j'avais peur que ce soit vérolé. Mais c'était des fichiers avec des caractères un peu aléatoires.

tu en as gardé une copie ? j'aimerais voir à quoi ça ressemble.

[jc83]

C'est bon pour les permissions, j'ai mis l'option permettant de faire tout d'un coup en utilisant filezilla 😉

Sinon non je n'ai pas gardé, je ne parvenais pas à les récupérer mais par contre j'arrivais à les supprimer.

 

[jc83]

J"ai réussi à trouver des traces des fichiers vérolés, j'ai mis en pj quelques fichiers dont le fichier index.php modifé

hack.zip