Urgent! Serveur piraté, faille de sécurité

[widowmaker88]

Bonjour à tous. Nous avons un gros problème actuellement. Notre site est victime d'une cyberattaque. Un client nous a rapporté que le lien de paiement par carte (module Systempay de banque populaire) est différent que d'habitude (voir le lien en pièce jointe), et que suite au dernier paiement, qq a usurpé sa carte bleu pour acheter des iphones à la Fnac et Darty etc...

Nous avons immédiatement désactivé le module en question et a demandé à notre webmaster d'enquêter la dessus. Il a effectivement constaté les anomalies dans les fichiers du module en question, et a supprimé les fichiers suspects et a mis à jour le module de paiement. 2h après, le module redirige à nouveau à un autre lien de paiement. Nous avons du le désactiver à nouveau et appelé notre gestionnaire du serveur.

Il a fait une analyse pendant 48h, et il a trouvé une liste de 300 fichiers "infectés". Selon lui, le hacker a utilisé des bot pour exploiter des failles des sites de manière automatiques, et il a trouvé les failles de notre site. Vu que la version du site est trop ancienne (1.6.1.17), il a dit que c'est trop facile pour les hacker d'exploiter cette faille. Conséquence, il ne peut rien faire tant qu'on ne met pas à jour notre Prestashop à la dernière version. C'est comme si on ferme la porte d'une voiture mais sans la verrouiller. Le hacker peut toujours exploiter les mêmes failles pour revenir après.

Le soucis est qu'on a développé trop de modules personnalisés pour la version 1.6, et le fait de passer en 1.7 demande une refonte total du site, et ca ne se fait pas en un jour, ni en une semaine. Ce qu'on peut faire sur le court terme, est de au moins mettre à jour à la dernière version de 1.6 et de préparer une refonte sur notre preprod en même temps.

Tout a l'heure on commence à avoir des clients qui nous appellent car leur carte a été utilisé pour payer des produits par un tiers, y'en a d'autres qui nous appellent car ils n'arrivent plus a se connecter sur le site. Bref, c'est le CHAOS total. 

 

Pour ceux qui ont subi les mêmes expériences, avez vous des bons conseils à nous donner? Des mesures à prendre en urgence? Nous ne sommes pas assez penché sur le problème de sécurité du site, jusqu'au moment ou ca nous arrive. JE vous remercie d'avance.

 

 

[Remy FRK Corp]

Bonjour.

Effectivement, votre situation semble plus que précaire. Soyez assuré de ma compassion la plus sincère.

Je ne pense pas là utile de faire un point d'étape "technique" sur les mesures à prendre afin de solutionner tout cela (vous avez déja un WM).

Toutefois aux vues des informations que vous nous communiquez là, je me permet de vous livrer la démarche que j’effectuerais si j'étais à votre place.

Il semble évident que temps que les choses ne seront pas rentrées dans l'ordre il va malheureusement falloir tirer rideau.

Envisager également la mise en place d'une communication clair vis à vis de vos client sans non plus être plus alarmiste que nécessaire.

Naturellement portez plainte et tentez de démontrer à vos clients directement impactés votre proactivité sur la question.

Ce qui vous arrive peut arrivé hélas, là c'est tombé sur vous... dont act.

 

Maintenant c'est à la bonne remise en marche de votre "gagne pain" qu'il va falloir penser. Je voudrais revenir sur le point, notamment de la préconisation faite par votre webmaster.

Tout d'abord, grand bien vous fasse d'en avoir un, de surcroit grand bien lui fasse d'avoir su identifier les fichiers corrompus.

Cependant je ne suis pas certain de partager entièrement l’analyse d'une impérieuse migration vers la toutes dernière version de PS. Chose qui me porte à croire que bien que sans doute très compétant, celui-ci n'est peut être pas spécialiste du CMS.

Me basant sur les différentes lectures que je peut faire en écumant ce forum, j'ai acquis la conviction qu'il est en 2021 tout à fait possible de maintenir une version 1.6.xx

Ce de manière aussi sécurisée que possible, tout du moins dans des critères entièrement acceptables au regard des normes actuelles. 

Je ne dit pas là qu'il n'y aura pas un travail de fourmi à effectuer loin de là, cela dit, comme en médecine je vous invite à peser les bénéfices/risques des options qui se posent à vous.

1- La refonte total vers une migration 1.7xx avec tout ce que cela implique, en temps de mise en œuvre, en budget, en perte de CA... 

2- Envisager de prendre un "joker".

Peut être serait il sensé d' apporter à votre web master, le concours d'une aide supplémentaire.

En l’occurrence, vous avez notamment içi présent sur ce forum, accès à certains développeurs spécialisés Prestashop 1.6 Or ces personnes représentent à mon sens l'élite mondial du CMS. Ayant démontré à maintes reprises depuis plus de 10 ans leurs pertinence ainsi que leurs extrêmes compétences en la matière. Ce parfois mème en dépit des directions hasardeuse prisent par les équipes officielle Prestashop.

Alors je ne saurais présumer, ni de leur disponibilités, ni de leurs volontés pour vous venir en aide (ce sont des gens bien occupés). Mais le meilleur conseil que j'aurais à vous donner serait d'au minimum prendre leur avis sur votre question, puis de prévoir un budget (à la mesure de la tâche )

afin d'engager les services d'un @Mediacom87 ou d'un @Eolia ou d'un @doekia ou d'un @coeos.pro  (il y en à sans doute d'autre mais eux pour moi : c'est le GIGN).

Il est selon moi probable que le rapport investissement financier/immobilisation de votre plateforme soit en faveur de cette option N°2 que d'une migration 1.7 vers l'inconnue reprisant sur les débris de votre ancien plateforme.

(en définitif je n'en suis pas certain donc place aux experts)

Je précise que l'idéal serait probablement que vous ayez à disposition un backup "saint" de votre boutique comme base de travail. (c'est là qu'on voit si votre WM est vraiment bon )

 

Pour terminer je vous épargne toutes forme de morale concernant les eus et pratiques de la bonne mise en œuvre d'une politique de sécurité... je pense que vous l'avez malheureusement déjà suffisamment cher payé.

Bon courage à vous.

 

 

 

 

 

Edited March 20, 2021 by Remy FRK Corp (see edit history)

[Manu-41]

Le gign, j adore!  😂

[Eolia]

Rien à voir avec la version Presta, tous les hacks existants sont toujours arrivés par des modules ou des scripts additionnels.

Changer de version n'effacera pas les fichiers ajoutés.

Pour info: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque

[Mediacom87]

Bonjour,

comme le précise @Eoliale souci vient certainement d’un développement mal sécurisé par réellement de votre version de Prestashop même si il peut être salutaire de basculer sur la dernière version 1.6 et même les plus récente acceptant mieux PHP7 mais il faut surtout rependre justement tous vos développements personnalisés.

Normalement si les développement son t bien fait, pas de souci, sinon c'ets la galère.

Dans tous les cas il faut repartir d'un ensemble propre de fichiers et combler toutes les brèches et ça, c'est long, éteindre un feu est plus compliqué que de l’éviter.

[doekia]

GIGN 🤣🤣🤣, d'ailleurs j'ai aussi un module de sécurité qui peut même défendre certaines situations de code non sécurisés, voire inhiber certains des hacks

 

Edited March 20, 2021 by doekia (see edit history)