Site vérolé

[kerlin]

Bonjour,

Soit un PS 1.6.1.11 sur lequel les moyens de paiement ne s'affichaient plus, seul un bloc en anglais pour payer par carte bancaire. Via l'inspecteur, j'ai constaté que le bloc de paiement "normal" était en display:none et qu'il y avait un bloc ajouté en-dessous sans référence à un module. Finalement, grâce à l'onglet Sources de l'inspecteur, en ouvrant chaque dossier, j'ai vu que dans le dossier js il y avait un fichier au nom douteux (7YKUH.js). Et qu'il était appelé en fin de page, après <!-- #page --> et avant </body>. J'ai donc supprimé le fichier qui était effectivement dans le dossier js et dont le contenu était encore plus douteux. Et les moyens de paiement ont réapparu. Malheureusement, j'ai été trop vite pour supprimer le fichier (après l'avoir copié sur mon pc) du coup je ne me rappelle plus de la date qu'il avait.

Mais le script est toujours appelé en fin de page, uniquement sur la page de commande.
J'ai ouvert tous les fichiers tpl qui concernent les commandes, les fichiers index.php, header et footer en tpl et php, je n'arrive pas à retrouver où cet appel a été inséré. J'ai également ouvert tous les fichiers dont la date ne correspondait pas à la date générale du site, sans plus de succès. J'ai aussi désactivé les modules de paiement un à un, dont Stripe qui ajoute des iframe en fin de page, juste en-dessous de l'appel du script, sans changement.

Est-ce que quelqu'un aurait une idée . Le thème est le thème basique de PS 1.6 bootstrap. Le site est ici

Merci d'avance pour les pistes que vous pourriez me donner!

[doekia]

Peux-tu poster une liste de tes modules (du répertoire modules).

Ce genre de saleté s'injecte via un faille dans un module. En recoupant avec d'autre personnes ayant eu ces déboire on saura trouver la cause.

Le hack peut injecter en plusieurs endroit. classe Media, FrontController, theme, ...

Mais la cause est un backdoor qu'il faut impérativement supprimer, sinon ce n'est qu'un question de temps que ça revienne.

[kerlin]

Salut Doekia,

Pardon pour le retard de réponse. J'ai utilisé le script d'Eolia (à qui je voue mon éternelle reconnaissance) et, depuis, tout fonctionne. Le script ne réapparaît plus. De toute façon, le site est en train d'être migré sur 1.7.8.
Mais tu as raison, en recoupant les expériences, on peut trouver la cause et peut-être prévenir ...Si cela t'intéresse, je joins le zip créé par le script avec les fichiers douteux. Certains ont des _ car je les avais déjà désactivés avant de les supprimer si cela ne faisait pas planter le site.

 

Dans la liste des modules installés, outre ceux de PS :

autoupgrade (dans la liste suspicious)
hooksmanager
htmlbox
mollie (inconnu, désactivé de suite. Dans le dossier supsicious)
paypal
skrill
apiway
digitaleao
dmuassocprodcat
editorial
mailgenerator
favoriteproducts
fianetsceau
netreviews
paygreen
payplug
pgimpact
prestafraud
relaiscolis
revolutpayment
ritmoinsights
riverbank
securitypatch (???)
sellermania
sendcloud
sendtoafriend
shipstation
smartsupp
socolissimo
taxdoo
trackingfront
tradedoubler
trustedshoppingintegration
trustbox
trustpilot

et le dossier ps_metrics est également dans le dossier suspicious.

J'espère qu'aucun client n'aura donné ses infos de paiement sur la fausse page. Impossible de le savoir ...

Merci à toi

 

 

 

 

 

suspicious_822021ddea62.zip

[doekia]

mollie = module de payment (BE/NL principalement)
autoupgrade = 1 click upgrade c'est par construction un faux positif mais doit être contrôlé (ou mieux supprimé)
prestafraud est un très vieux module à supprimer
securitypatch = module webax supprimant les répertoire dangereux php-unit (à supprimer après usage)
fianetsceau est un très vieux module à supprimer
trustpilot ne sais pas si ça existe encore (sceau marchand de confiance)
sendtoafriend = attenttion d'avoir la dernière version (même désactivé, c'était une faille)

 

A part ce dernier cas rien n'éveille d'alarme, mais je ne connais pas tous les modules de cette liste

 

En règle générale, tout module inutilisé doit être SUPPRIME

[Eolia]

Le 04/09/2022 à 7:40 PM, kerlin a dit :

De toute façon, le site est en train d'être migré sur 1.7.8.

Pour info, changer de version n'empêche pas le hack

[kerlin]

Merci à tous les 2. Eolia, bien sûr le nouveau site pourra être hacké à son tour. Mais je suppose que ce ne sera pas dû à la migration si je pars d'une installation neuve dans laquelle j'importe seulement les datas produits, clients, commandes . ? En tout cas le script pour patcher est nickel !! Merci !

[doekia]

Non les failles sont à 95% liées aux modules tiers, donc installation neuve ou pas, si vous mettez en oeuvre un module qui représente une faille, c'est la même chose.

Il n'y a pas de différence  coeur entre un shop migré d'un shop neuf. Au delta des fichiers parasites qui auraient été mis en place sur l'ancien.

Le code de @Eolia permet justement de retrouver ces clandestins.

[kerlin]

Oui je suis d'accord. Si on installe un module vérolé, couic. Mais importer les données produits, etc, depuis l'ancienne version, ce n'est pas ça qui va contaminer le nouveau site, j'espère !