Piratage site ?

[Florent]

Bonjour,

Depuis 2 jours, nous rencontrons un problème de façon alétaoire, a priori uniquement sur le back office.
Lorsque nous naviguons d'une page à une autre, l'url de destination est modifiée et renvoie vers un site étranger.

Pour être plus précis, sur une url du type https://www.monsite.com/Admin/index.php?controller=AdminOrders&id_order=3728&vieworder&token=xxxx
le 'www.monsite.com" est remplacé par un autre site.

Nous pensons évidemment à un piratage. Nous avons fait une recherche relative à 'xamxam je sais pas quoi'. Il s'avère que nous avions déjà appliqué les mesures qui étaient conseillées à l'époque. Et nous ne trouvons pas de trace de fichiers phpunit aujourd'hui.

Je suis preneur de tous vos conseils et démarches à mettre eu oeuvre pour comprendre de quoi il s'agit et comment solutionner le problème.

Merci,
Florent

[Eolia]

Contrôlez déjà si vous n'avez pas un module concerné ici:

https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque

[Florent]

Merci pour votre réponse.
Nous n'avons aucun des modules listés.

[Eolia]

1- cette liste est exhaustive, on la remplit au fur et à mesure qu'on trouve de nouvelles failles

2- Vous avez pu en avoir un à un moment donné

3- Si vous avez un WordPress sur le même hébergement le point d'entrée peut y être

 

Dans tous les cas vous devez scanner l'ensemble des fichiers de votre ftp et supprimer ou restaurer les fichiers corrompus.

[Florent]

1- Il est donc possible que l'un de nos modules soit touché sans que nous le sachions
2- C'est possible. Même si je connais bien nos modules, ma mémoire peut me faire défaut.
3- Pas de WordPress

Pour le scan, je ne sais pas comment procéder. Je sais comment accéder au ftp, mais je ne sais pas quel outil utiliser pour scanner les fichiers.

Merci,
Florent