Piratage Prestashop 1.7.6.1 - payment.tpl

[Grogui]

Bonjour à tous,

Le fichier /themes/THEME/templates/checkout/_partials/steps/payment.tpl a été remplacé par celui en pj

Le formulaire est super simple, des input text pour saisir son numéro de CB, date et code, et ça envoie toutes les valeurs vers 'https://peelings.net/themes/default-bootstrap/mobile/v2.php' (???)

 Comment le hacker a-t-il pu remplacer le fichier d'origine payment.tpl ?

la date du fichier sur le serveur est la même que celui d'origine, et celui d'origine est correct.

J'ai vérifié les log ftp et ssh, rien trouvé

Il n'y a pas de log Prestashop

J'ai peu de modules installés et apparemment rien d'exotique

Un client quand même saisi son numéro de CB, 

Auriez-vous une idée ?

Merci

 

payment.zip

[Eolia]

Vous avez de la chance car c'est un hack destiné aux 1.6 ça (theme default_boostrap)

Vous devez avoir un module moisi qui permet l'upload sur le serveur sans véritable contrôle donc vous avez peut-être d'autres "saletés" d'installées.

Il faut faire un contrôle d'intégrité complet sur votre serveur.

 

Pour info on a déjà fait une liste de modules à éviter ici: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque

 

[Grogui]

Bonjour Eolia,

En effet j'avais trouvé cette page depuis ce post

 et déjà vérifié, je n'ai pas de module de cette liste, je vais chercher les modules contenant move_uploaded_file().

Auriez-vous une méthode complémentaire à me recommander ?

Guillaume

[Grogui]

Un module "moisi" mais désactivé peut-il être dangereux ?

[Eolia]

oui car il est présent dons les fichiers sont appellables^^

http://votre-site.com/modules/nom_du_module/fichier_pourri.php

Il faut aussi regarder les logs d'accès du serveur en POST (envoi de données) vers ces modules qui vous précisera l'attaque.