Jump to content

PS 1.6 fichier xsamxadoo.php revient chaque jour


Recommended Posts

Bonjour,

Depuis quelques jours j'ai un fichier xsamxadoo.php qui revient chaque jour à la racine de mon site (PS 1.6).


J'ai scanné mon site, aucune trace de phpunit.


Y a t-il une solution pour stopper définitivement l'intrusion de ce fichier?

Cordialement.

Share this post


Link to post
Share on other sites

En 1.6 aucun rapport avec PHPUNIT par contre c'est clair que vous avez un module qui a laissé rentrer le hacker (Verifiez les modules JMS)

tant qu'il restera des traces de hack ces fichiers reviendront systématiquement

Share this post


Link to post
Share on other sites

Merci,

Je n'ai pas de modules JMS, par contre je viens de voir de nouveaux fichiers malicieux : bajatax.php, ex_bajatax.php, atx.php (??), hi.php (??), oop.php (?), etc...

Share this post


Link to post
Share on other sites
Il y a 1 heure, gouna a dit :

caché dans un dossier nommé "9789e8e1bf4e1511012a90f9be3cf871".

ces dossier existe car un souci fut rencontré lors de l'installation d'un module.

ces dossiers doivent être effacés à chaque fois que vous en voyez un. Mais pour cela il faut passer de temps en temps sur son FTP.

Share this post


Link to post
Share on other sites

Bonjour à tous,

J'ai le même souci par contre je suis 1.7. phpunit vérifié en janvier et de temps en temps avec l'outil de Webbax donc c'est propre a ce niveau la

Voici ce que j'ai remarqué, création d'un compte client le dimanche 16 aout à 21h55 avec adresse mail  bajatax@test.com. 

Fichiers "bizarres" apparus dans racine ftp du site + dans modules, le 19 et 20 août :

image.png.abb103f8baabf897400eadc515918da0.png

image.png.ce8627d6b72a28cdb9b331b20360b4de.png

AdminLoginController aussi touché (avec attention la date de dernière modification ne change malgré des changements dedans)

Le fichier action.php vient de \modules\explorerpro ce module c'est bien File Explorer Pro ? on peut le virer ?

Actions réalisées à ce jour :

  • Changement de tous les logins et mdp de presta, ftp, BDD,...
  • Changement adresse pour le backoffice
  • J'ai supprimé ou remplacé les fichiers trouvés (avec comparaisons des fichiers du 16 et du 21) 

 

Comment trouver le point d'entrée ?

Est-ce que les actions que j'ai pris sont pour l'instant suffisant ?

Le dernier recours sera de faire un restore du 16 aout avec tous ce que cela impliquerait 😥.

Merci pour vous différents retours,

Olivier

Edited by Oliviezz (see edit history)

Share this post


Link to post
Share on other sites

Salut!

Désolé de détourner ce fil, mais j'ai également subi un incident comme celui-ci.

Il semble que dans mon cas, ils ont utilisé le module «sampledatainstall» pour télécharger des fichiers.

Deux répertoires ont été créés avec le contenu:

-----------------------------------------------

Hello!

Sorry to hijack this thread, but I have also suffered an incident like this.

It seems that in my case they used the 'sampledatainstall' module to upload files.

There were two directories created with the contents:

ls -la bajatax_xsamado
drwxr-xr-x  3 webuser451 webuser451    4096 Aug 22 03:07 .
drwxr-x--- 28 webuser451 webuser451    4096 Aug 22 00:57 ..
-rw-r--r--  1 webuser451 webuser451       0 Aug 20 17:10 bajatax_2020_2.php
-rw-r--r--  1 webuser451 webuser451   49027 Aug 20 20:59 bajatax.php
-rw-r--r--  1 webuser451 webuser451   50027 Aug 21 20:01 ctnlmkxfww.php
drwxr-xr-x  2 webuser451 webuser451 2371584 Aug 21 20:20 F0xAutoConfig
-rw-r--r--  1 webuser451 webuser451  170678 Aug 22 00:49 hkzpbdtvpy.php
-rw-r--r--  1 webuser451 webuser451   27178 Aug 22 03:07 inbox.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 20:20 kpulnkdoly.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 22 00:57 nkdrbmdbtt.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 22 00:49 nwltrocwlt.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 20:01 omqnzwriiw.php
-rw-r--r--  1 webuser451 webuser451     111 Aug 22 00:57 php.ini
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 20:26 pwlmljfoqr.php
-rw-r--r--  1 webuser451 webuser451  170668 Aug 22 02:48 sa.php
-rw-r--r--  1 webuser451 webuser451    1358 Aug 22 03:07 smtp.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 22:50 vnrgvyxmyv.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 22:18 ysavrhpabn.php

ls -la xsamxadoo
drwxr-xr-x  2 webuser451 webuser451  4096 Aug 21 15:19 .
drwxr-x--- 28 webuser451 webuser451  4096 Aug 22 00:57 ..
-rw-r--r--  1 webuser451 webuser451  4788 Aug 20 14:50 11fda8474be9d8c78826e3c2854f0dc2.php
-rw-r--r--  1 webuser451 webuser451   471 Aug 21 15:13 a1c2f4f30d7a62f1622e7dfaee89adc4.php
-rw-r--r--  1 webuser451 webuser451    35 Aug 19 05:18 bajatax.php
-rw-r--r--  1 webuser451 webuser451     7 Aug 20 15:58 bff325b6283c208b51fb2b92f6d219ad.php
-rw-r--r--  1 webuser451 webuser451 49025 Aug 21 15:19 e4730ce5f04e7d1d403085859d24d833.php
-rw-r--r--  1 webuser451 webuser451     7 Aug 19 05:18 ex_bajatax.php
-rw-r--r--  1 webuser451 webuser451   727 Aug 19 05:18 xsam_baja.php
-rw-r--r--  1 webuser451 webuser451    35 Aug 19 05:18 xsamxadoo.php

 

 

Share this post


Link to post
Share on other sites

Non^^

Les fichiers ont été copiés ici (et surement ailleurs) mais ce n'est pas la porte d'entrée.

La SEULE solution est d'effectuer un scan complet du ftp en recherchant tous les codes malicieux (même dans des images pour info) et mettre la main sur le module permettant l'upload sans un contrôle valable.

Une liste non exhaustive ici: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque/2

Share this post


Link to post
Share on other sites
20 minutes ago, Eolia said:

Non^^

Les fichiers ont été copiés ici (et surement ailleurs) mais ce n'est pas la porte d'entrée.

La SEULE solution est d'effectuer un scan complet du ftp en recherchant tous les codes malicieux (même dans des images pour info) et mettre la main sur le module permettant l'upload sans un contrôle valable.

Une liste non exhaustive ici: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque/2

Bonjour,

Merci pour votre retour. 

Quel style de code faut-il chercher ?  

J'ai l'impression que le point d'entrée c'est File Explorer Pro. 

Il n’y a pas un scan autre que XAttacker Tool ?

Merci pour votre aide

Olivier

Edited by Oliviezz (see edit history)

Share this post


Link to post
Share on other sites

Je crois que dans mon cas, le point d'entrée était un POST vers: 

I believe in my case the entrypoint was a POST to:

/modules/sampledatainstall/sampledatainstall-ajax.php?action=bajatax HTTP/1.1

Share this post


Link to post
Share on other sites

Bonjour

Si ça peux aider (je suis en 1.6.0.14) , moi depuis que j'ai viré le module sampledatainstall j'ai pas eu de nouvelle injection de code même si le robot continue de venir me voir :)

voir mon sujet : lien

 

Edited by ikaris (see edit history)

Share this post


Link to post
Share on other sites

Merci Ikaris

Je suis sous 1.7 et je n'ai pas le module sampledatainstall. 

Je viens de comparer avec WinMerge ma version "en principe" propre du 16 aout avec celle nettoyée maintenant et celle avec hack du 19 et 20. Je pense que le ménage est ok.

Y aura-t-il autres choses à vérifier ?

Merci pour vos retours,

Olivier

Share this post


Link to post
Share on other sites
  • 2 weeks later...

Bonjour à tous !

Je passe rapidement par ici pour confirmer que j'ai également eu un soucis avec "bajatax" fin aout, avec les premières requêtes sur "sampledatainstall" et "proexplorerer" une u ntruc du genre.

Bilan, gros bordel dans le site.

Bref, j'ai l'impression que ce virus est une nouvelle version du "xsamxadoo", car pas exactement le même nom.

 

Je suis désolé de pas être très précis, je fais un passage rapide pour poster ceci, avant de repasser plus tard avec c/c des logs et plus de détails.

Mais ne dites peut être pas si rapidement que "sampledatainstall" n'est pas en cause car pas dans liste des faillibles, avant d'être dans cette liste, les autres modules....n'y étaient pas ! :D

 

PS: c'est quoi ce forum qui n'accepte pas "protonmail.ch" pour s'inscrire ? On se croit sur un vieux site avec des règles dépassées depuis........longtemps.

Share this post


Link to post
Share on other sites
  • 1 month later...

Bonjour,

 

Vous pouvez également ajouter jscomposer à la liste, un vrai gruyère pour xsam ou bajax...

Personnellement je suis toujours à la recherche d'un moyen efficace afin de me protéger de ce type d'attaque.

Bonne journée,

Clément

Share this post


Link to post
Share on other sites

Oups autant pour moi j'avais fais un ctrl+F sans le trouver.

J'ai déjà Security Pro - All in One comme module de sécurité qui me semble très bien mais qui apparemment ne protège pas jscomposer des attaques.

Il ne me reste plus qu'à trouver une alternative à jscomposer :/

Merci pour votre réponse Eolia!

Clément

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More