gouna 2 Posted August 20, 2020 Posted August 20, 2020 Bonjour, Depuis quelques jours j'ai un fichier xsamxadoo.php qui revient chaque jour à la racine de mon site (PS 1.6). J'ai scanné mon site, aucune trace de phpunit. Y a t-il une solution pour stopper définitivement l'intrusion de ce fichier? Cordialement. Share this post Link to post Share on other sites
Eolia 3,123 Posted August 20, 2020 Posted August 20, 2020 En 1.6 aucun rapport avec PHPUNIT par contre c'est clair que vous avez un module qui a laissé rentrer le hacker (Verifiez les modules JMS) tant qu'il restera des traces de hack ces fichiers reviendront systématiquement Share this post Link to post Share on other sites
gouna 2 Posted August 20, 2020 Posted August 20, 2020 Merci, Je n'ai pas de modules JMS, par contre je viens de voir de nouveaux fichiers malicieux : bajatax.php, ex_bajatax.php, atx.php (??), hi.php (??), oop.php (?), etc... Share this post Link to post Share on other sites
gouna 2 Posted August 20, 2020 Posted August 20, 2020 (edited) A priori le module vérolé chez moi était : everpsorderoptions, caché dans un dossier nommé "9789e8e1bf4e1511012a90f9be3cf871". Edited August 20, 2020 by gouna (see edit history) Share this post Link to post Share on other sites
Mediacom87 1,326 Posted August 20, 2020 Posted August 20, 2020 Il y a 1 heure, gouna a dit : caché dans un dossier nommé "9789e8e1bf4e1511012a90f9be3cf871". ces dossier existe car un souci fut rencontré lors de l'installation d'un module. ces dossiers doivent être effacés à chaque fois que vous en voyez un. Mais pour cela il faut passer de temps en temps sur son FTP. Share this post Link to post Share on other sites
gouna 2 Posted August 20, 2020 Posted August 20, 2020 Merci. J'ai encore le fichier bajatax.php qui revient dans mon dossier Modules, je cherche la cause du problème. Share this post Link to post Share on other sites
Oliviezz 0 Posted August 22, 2020 Posted August 22, 2020 (edited) Bonjour à tous, J'ai le même souci par contre je suis 1.7. phpunit vérifié en janvier et de temps en temps avec l'outil de Webbax donc c'est propre a ce niveau la Voici ce que j'ai remarqué, création d'un compte client le dimanche 16 aout à 21h55 avec adresse mail bajatax@test.com. Fichiers "bizarres" apparus dans racine ftp du site + dans modules, le 19 et 20 août : AdminLoginController aussi touché (avec attention la date de dernière modification ne change malgré des changements dedans) Le fichier action.php vient de \modules\explorerpro ce module c'est bien File Explorer Pro ? on peut le virer ? Actions réalisées à ce jour : Changement de tous les logins et mdp de presta, ftp, BDD,... Changement adresse pour le backoffice J'ai supprimé ou remplacé les fichiers trouvés (avec comparaisons des fichiers du 16 et du 21) Comment trouver le point d'entrée ? Est-ce que les actions que j'ai pris sont pour l'instant suffisant ? Le dernier recours sera de faire un restore du 16 aout avec tous ce que cela impliquerait 😥. Merci pour vous différents retours, Olivier Edited August 22, 2020 by Oliviezz (see edit history) Share this post Link to post Share on other sites
wd-40 0 Posted August 23, 2020 Posted August 23, 2020 Salut! Désolé de détourner ce fil, mais j'ai également subi un incident comme celui-ci. Il semble que dans mon cas, ils ont utilisé le module «sampledatainstall» pour télécharger des fichiers. Deux répertoires ont été créés avec le contenu: ----------------------------------------------- Hello! Sorry to hijack this thread, but I have also suffered an incident like this. It seems that in my case they used the 'sampledatainstall' module to upload files. There were two directories created with the contents: ls -la bajatax_xsamado drwxr-xr-x 3 webuser451 webuser451 4096 Aug 22 03:07 . drwxr-x--- 28 webuser451 webuser451 4096 Aug 22 00:57 .. -rw-r--r-- 1 webuser451 webuser451 0 Aug 20 17:10 bajatax_2020_2.php -rw-r--r-- 1 webuser451 webuser451 49027 Aug 20 20:59 bajatax.php -rw-r--r-- 1 webuser451 webuser451 50027 Aug 21 20:01 ctnlmkxfww.php drwxr-xr-x 2 webuser451 webuser451 2371584 Aug 21 20:20 F0xAutoConfig -rw-r--r-- 1 webuser451 webuser451 170678 Aug 22 00:49 hkzpbdtvpy.php -rw-r--r-- 1 webuser451 webuser451 27178 Aug 22 03:07 inbox.php -rw-r--r-- 1 webuser451 webuser451 946 Aug 21 20:20 kpulnkdoly.php -rw-r--r-- 1 webuser451 webuser451 946 Aug 22 00:57 nkdrbmdbtt.php -rw-r--r-- 1 webuser451 webuser451 946 Aug 22 00:49 nwltrocwlt.php -rw-r--r-- 1 webuser451 webuser451 946 Aug 21 20:01 omqnzwriiw.php -rw-r--r-- 1 webuser451 webuser451 111 Aug 22 00:57 php.ini -rw-r--r-- 1 webuser451 webuser451 946 Aug 21 20:26 pwlmljfoqr.php -rw-r--r-- 1 webuser451 webuser451 170668 Aug 22 02:48 sa.php -rw-r--r-- 1 webuser451 webuser451 1358 Aug 22 03:07 smtp.php -rw-r--r-- 1 webuser451 webuser451 946 Aug 21 22:50 vnrgvyxmyv.php -rw-r--r-- 1 webuser451 webuser451 946 Aug 21 22:18 ysavrhpabn.php ls -la xsamxadoo drwxr-xr-x 2 webuser451 webuser451 4096 Aug 21 15:19 . drwxr-x--- 28 webuser451 webuser451 4096 Aug 22 00:57 .. -rw-r--r-- 1 webuser451 webuser451 4788 Aug 20 14:50 11fda8474be9d8c78826e3c2854f0dc2.php -rw-r--r-- 1 webuser451 webuser451 471 Aug 21 15:13 a1c2f4f30d7a62f1622e7dfaee89adc4.php -rw-r--r-- 1 webuser451 webuser451 35 Aug 19 05:18 bajatax.php -rw-r--r-- 1 webuser451 webuser451 7 Aug 20 15:58 bff325b6283c208b51fb2b92f6d219ad.php -rw-r--r-- 1 webuser451 webuser451 49025 Aug 21 15:19 e4730ce5f04e7d1d403085859d24d833.php -rw-r--r-- 1 webuser451 webuser451 7 Aug 19 05:18 ex_bajatax.php -rw-r--r-- 1 webuser451 webuser451 727 Aug 19 05:18 xsam_baja.php -rw-r--r-- 1 webuser451 webuser451 35 Aug 19 05:18 xsamxadoo.php Share this post Link to post Share on other sites
Eolia 3,123 Posted August 23, 2020 Posted August 23, 2020 Non^^ Les fichiers ont été copiés ici (et surement ailleurs) mais ce n'est pas la porte d'entrée. La SEULE solution est d'effectuer un scan complet du ftp en recherchant tous les codes malicieux (même dans des images pour info) et mettre la main sur le module permettant l'upload sans un contrôle valable. Une liste non exhaustive ici: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque/2 Share this post Link to post Share on other sites
Oliviezz 0 Posted August 23, 2020 Posted August 23, 2020 (edited) 20 minutes ago, Eolia said: Non^^ Les fichiers ont été copiés ici (et surement ailleurs) mais ce n'est pas la porte d'entrée. La SEULE solution est d'effectuer un scan complet du ftp en recherchant tous les codes malicieux (même dans des images pour info) et mettre la main sur le module permettant l'upload sans un contrôle valable. Une liste non exhaustive ici: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque/2 Bonjour, Merci pour votre retour. Quel style de code faut-il chercher ? J'ai l'impression que le point d'entrée c'est File Explorer Pro. Il n’y a pas un scan autre que XAttacker Tool ? Merci pour votre aide Olivier Edited August 23, 2020 by Oliviezz (see edit history) Share this post Link to post Share on other sites
wd-40 0 Posted August 23, 2020 Posted August 23, 2020 Je crois que dans mon cas, le point d'entrée était un POST vers: I believe in my case the entrypoint was a POST to: /modules/sampledatainstall/sampledatainstall-ajax.php?action=bajatax HTTP/1.1 Share this post Link to post Share on other sites
ikaris 14 Posted August 23, 2020 Posted August 23, 2020 (edited) Bonjour Si ça peux aider (je suis en 1.6.0.14) , moi depuis que j'ai viré le module sampledatainstall j'ai pas eu de nouvelle injection de code même si le robot continue de venir me voir voir mon sujet : lien Edited August 23, 2020 by ikaris (see edit history) Share this post Link to post Share on other sites
Oliviezz 0 Posted August 23, 2020 Posted August 23, 2020 Merci Ikaris Je suis sous 1.7 et je n'ai pas le module sampledatainstall. Je viens de comparer avec WinMerge ma version "en principe" propre du 16 aout avec celle nettoyée maintenant et celle avec hack du 19 et 20. Je pense que le ménage est ok. Y aura-t-il autres choses à vérifier ? Merci pour vos retours, Olivier Share this post Link to post Share on other sites
AhBahOups 0 Posted September 6, 2020 Posted September 6, 2020 Bonjour à tous ! Je passe rapidement par ici pour confirmer que j'ai également eu un soucis avec "bajatax" fin aout, avec les premières requêtes sur "sampledatainstall" et "proexplorerer" une u ntruc du genre. Bilan, gros bordel dans le site. Bref, j'ai l'impression que ce virus est une nouvelle version du "xsamxadoo", car pas exactement le même nom. Je suis désolé de pas être très précis, je fais un passage rapide pour poster ceci, avant de repasser plus tard avec c/c des logs et plus de détails. Mais ne dites peut être pas si rapidement que "sampledatainstall" n'est pas en cause car pas dans liste des faillibles, avant d'être dans cette liste, les autres modules....n'y étaient pas ! :D PS: c'est quoi ce forum qui n'accepte pas "protonmail.ch" pour s'inscrire ? On se croit sur un vieux site avec des règles dépassées depuis........longtemps. Share this post Link to post Share on other sites
Eolia 3,123 Posted September 6, 2020 Posted September 6, 2020 https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque sampledatainstall et d'autres ont été ajoutés à la liste^^ 1 Share this post Link to post Share on other sites
Blue Bear 0 Posted October 26, 2020 Posted October 26, 2020 Bonjour, Vous pouvez également ajouter jscomposer à la liste, un vrai gruyère pour xsam ou bajax... Personnellement je suis toujours à la recherche d'un moyen efficace afin de me protéger de ce type d'attaque. Bonne journée, Clément Share this post Link to post Share on other sites
Eolia 3,123 Posted October 26, 2020 Posted October 26, 2020 il y est déjà^^ Pour se protéger il y a un module très puisant écrit par @doekia https://store.enter-solutions.com/fr/81-es-antispam-securite.html et surtout éviter tous les modules passoires de la liste ci-dessous (et/ou certains modules gratuits non-certifiés) Share this post Link to post Share on other sites
Blue Bear 0 Posted October 26, 2020 Posted October 26, 2020 Oups autant pour moi j'avais fais un ctrl+F sans le trouver. J'ai déjà Security Pro - All in One comme module de sécurité qui me semble très bien mais qui apparemment ne protège pas jscomposer des attaques. Il ne me reste plus qu'à trouver une alternative à jscomposer :/ Merci pour votre réponse Eolia! Clément Share this post Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now