Eolia Posted January 4, 2023 Author Share Posted January 4, 2023 Ok, pigé. Le script a été mis à jour 2 Link to comment Share on other sites More sharing options...
AVdesign Posted January 4, 2023 Share Posted January 4, 2023 On 12/26/2022 at 7:27 PM, Zorse said: Je regarde ... vous parlez de la partie en bleu ? Pas mal de fichier on été modifier par le dev web au depart au vu des dates sur les fichiers Je fais doucement le tri de peur de detraquer quelque choses. Aprés pas mal de nettoyage j'obtiens ceci : Je ne peux pas surpimer les derniers fichiers en orange. Ca engendre des bugs sur les modules concerné. En esperant que d'autre fichier ne soit pas créés , je vais surveiller tout ça . Reste a comprendre comment recevoir le resultat du script en tache cron j'ai bien suivis les conseils de MEDIACOM87, les taches cron s'effectuent correctement mais je ne reçois rien par mail . Encore Merci Eolia ! Salut Zorse, Désolé pour mon français. J'ai rencontré les mêmes fichiers dans 2 sites Web prestashop avec des versions différentes. Pourriez-vous me dire si vous avez réussi à résoudre définitivement le problème du virus ? et si vous comprenez la cause? J'utilise le thème "Warehouse Theme Elementor" Comme vous, grâce au script Eolia, j'ai fait un peu de nettoyage dans les fichiers, mais j'arrive encore occasionnellement à modifier des fichiers qui m'ont fait me déconnecter Je vous remercie beaucoup Link to comment Share on other sites More sharing options...
bobby4722 Posted January 4, 2023 Share Posted January 4, 2023 1 hour ago, Eolia said: Ok, pigé. Le script a été mis à jour Merci Eolia Je voulais ajouter quelque chose mais je ne sais pas si cela avait eu un rapport direct avec la fausse page de paiement. Il y a quelque jours en me rendant dans www/img/cms je me suis aperçu qu'un fichier jpg ou png était suspect. Son nom wingss. J'ai tenté de l'ouvrir et finalement c'était un fichier php sous une extension d'image mais avec rien de suspect dedans à part <?php Mais suite à cela j'ai eu un fichier nommé magentoskin.php qui est apparu (même si je ne vois pas bien le rapport) qui contient du code on dirait en base 64 mais je n'ai pas réussi à le décoder et en plus je ne suis pas spécialiste. J'ai tout retiré du FTP par sécurité. Peut être que ceux qui ont étés infectés devrait y jetter un oeil dans ce dossier... J'espère m'être sorti de ce bourbier. Link to comment Share on other sites More sharing options...
Eolia Posted January 5, 2023 Author Share Posted January 5, 2023 Pour ceux qui ne reçoivent pas de mail après le script cela peut-être dû à plusieurs raisons: - Le script utilise la fonction native mail() de PHP. Si celle-ci est désactivée sur votre serveur le mail ne sera pas envoyée. - le script utilise le domaine de votre boutique comme domaine expéditeur. Si votre domaine n'a pas de spf, dmarc et/ou dkim dans ses entrées DNS il risque d'être rejeté par votre messagerie. - Vérifiez dans vos spams. Le script sera intégré dans la prochaine mise à jour de mes versions Prestashop Link to comment Share on other sites More sharing options...
Data_Yoyo Posted January 6, 2023 Share Posted January 6, 2023 Bonjour à toutes et à tous , bonjour @Eolia Je suis pour la deuxième fois victime d'une injection et remplacement de formulaire de paiement. La première fois j'ai su trouver assez facilement les fichiers corrompus ( grâce aux dates de modif dans le ftp). Ce nouveau hack prend la forme d'un bouton paypal suivi d'un formulaire bidon. Mais cette fois impossible d'identifier ces "corruptions". Je fais de la comparaison de fichiers depuis hier et je vais finir par craquer Pour des raisons indépendantes de ma volonté je ne peux malheureusement pas mettre à jour la version php du serveur de notre boutique. ( nous sommes sur la PHP 5.5.28-pl0-gentoo )et du coup je ne peux pas utiliser le Cleaner 😢 . - Avez vous une solution temporaire afin que je puisse remettre en ligne notre boutique ? Une idée des fichiers à checker en priorité ( ./classes/controller/Controller.php ./classes/db/Db.php ./classes/module/Module.php ./controllers/admin/AdminLoginController.php n'ont rien donné ) - @eolia : est ce que votre Cleaner pourrait être facilement adaptable à une version obsolete de php. Merci beaucoup pour l'aide que vous m'apporterez Link to comment Share on other sites More sharing options...
bobby4722 Posted January 6, 2023 Share Posted January 6, 2023 8 minutes ago, Data_Yoyo said: Bonjour à toutes et à tous , bonjour @Eolia Je suis pour la deuxième fois victime d'une injection et remplacement de formulaire de paiement. La première fois j'ai su trouver assez facilement les fichiers corrompus ( grâce aux dates de modif dans le ftp). Ce nouveau hack prend la forme d'un bouton paypal suivi d'un formulaire bidon. Mais cette fois impossible d'identifier ces "corruptions". Je fais de la comparaison de fichiers depuis hier et je vais finir par craquer Pour des raisons indépendantes de ma volonté je ne peux malheureusement pas mettre à jour la version php du serveur de notre boutique. ( nous sommes sur la PHP 5.5.28-pl0-gentoo )et du coup je ne peux pas utiliser le Cleaner 😢 . - Avez vous une solution temporaire afin que je puisse remettre en ligne notre boutique ? Une idée des fichiers à checker en priorité ( ./classes/controller/Controller.php ./classes/db/Db.php ./classes/module/Module.php ./controllers/admin/AdminLoginController.php n'ont rien donné ) - @eolia : est ce que votre Cleaner pourrait être facilement adaptable à une version obsolete de php. Merci beaucoup pour l'aide que vous m'apporterez Bonjour, Avez-vous essayé de voir en SSH en écrivant par exemple : grep -rl 'base64_decode' www Souvent les fichiers qui contiennent ce type d'instructions sont à remplacer par une copie de sauvegarde (à manipuler avec prudence selon les fichiers). Je pense que déjà cela fait gagner du temps. Link to comment Share on other sites More sharing options...
Eolia Posted January 6, 2023 Author Share Posted January 6, 2023 il y a 26 minutes, Data_Yoyo a dit : Bonjour à toutes et à tous , bonjour @Eolia Je suis pour la deuxième fois victime d'une injection et remplacement de formulaire de paiement. La première fois j'ai su trouver assez facilement les fichiers corrompus ( grâce aux dates de modif dans le ftp). Ce nouveau hack prend la forme d'un bouton paypal suivi d'un formulaire bidon. Mais cette fois impossible d'identifier ces "corruptions". Je fais de la comparaison de fichiers depuis hier et je vais finir par craquer Pour des raisons indépendantes de ma volonté je ne peux malheureusement pas mettre à jour la version php du serveur de notre boutique. ( nous sommes sur la PHP 5.5.28-pl0-gentoo )et du coup je ne peux pas utiliser le Cleaner 😢 . - Avez vous une solution temporaire afin que je puisse remettre en ligne notre boutique ? Une idée des fichiers à checker en priorité ( ./classes/controller/Controller.php ./classes/db/Db.php ./classes/module/Module.php ./controllers/admin/AdminLoginController.php n'ont rien donné ) - @eolia : est ce que votre Cleaner pourrait être facilement adaptable à une version obsolete de php. Merci beaucoup pour l'aide que vous m'apporterez Quelle est votre version Prestashop ? Link to comment Share on other sites More sharing options...
Data_Yoyo Posted January 6, 2023 Share Posted January 6, 2023 Merci pour vos réponses. J'ai réussi à faire mettre à jour notre version de php - (7.1). et lancer le script d'Eolia. Enormément de fichier en orange auxquels j'ai un peu peur de toucher mais ça va certainement m'aider. Thanks again Quote Bonjour, Avez-vous essayé de voir en SSH en écrivant par exemple : grep -rl 'base64_decode' www Pas en SSH mais en local. ( J'ai dl l'intégralité du ftp sur mon DD et fait des recherches sur "base64, encode , decode, etc ... " ça n'a étonnamment rien donné Quote Quelle est votre version Prestashop ? 1.6.1.24 ( la dernière release pour 1.6 si je ne m'abuse ) Link to comment Share on other sites More sharing options...
Eolia Posted January 6, 2023 Author Share Posted January 6, 2023 Rien en rouge ? C'est quoi la liste des oranges ? Link to comment Share on other sites More sharing options...
Data_Yoyo Posted January 6, 2023 Share Posted January 6, 2023 En rouge : Fichier JS ajouté, inexistant dans la version d'origine => htdocs/js/admin-dashboard.js Fichier JS ajouté, inexistant dans la version d'origine => htdocs/js/admin-products.js Fichier JS ajouté, inexistant dans la version d'origine => htdocs/js/admin-scene-cropping.js Fichier JS ajouté, inexistant dans la version d'origine => htdocs/js/adminImport.js Fichier JS ajouté, inexistant dans la version d'origine => htdocs/js/admin_carrier_wizard.js Fichier JS ajouté, inexistant dans la version d'origine => htdocs/js/admin_order.js Fichier JS ajouté, inexistant dans la version d'origine => htdocs/js/admin_themes.js J'ai controlé, le code n'avais pas l'air suspect. Je les ai quand même retiré. Pour les oranges c'est presque l'intégralité des folders : classes, controllers, tools, un peu dans config aussi. Dans la plupart des cas c'est juste un saut de ligne dans l'entête qui déclenche l'alerte. En remplaçant le folder "Tools" ça a réglé le problème, ( du moins les symptomes ) par contre je me retrouve avec cette erreur fatale pour me reconnecter au back office Fatal error: Cannot declare class DispatcherCore, because the name is already in use in /var/www/sundisshop.com/htdocs/classes/Dispatcher.php on line 31 Link to comment Share on other sites More sharing options...
Eolia Posted January 6, 2023 Author Share Posted January 6, 2023 (edited) Pouvez-vous me donner l'intégralité de l'erreur pour voir à quelle ligne est réinstancié Dispatcher ? Edited January 6, 2023 by Eolia (see edit history) Link to comment Share on other sites More sharing options...
Data_Yoyo Posted January 6, 2023 Share Posted January 6, 2023 Merci Eolia , Elle est en intégralité. Je crains d'avoir remplacé trop de fichiers . Comme par hasard je n'ai pas fait de back-up de mon folder "Tools". En remettant mon backup du folder "classes" ça ne résoud pas le probleme. Fatal error: Cannot declare class DispatcherCore, because the name is already in use in /var/www/sundisshop.com/htdocs/classes/Dispatcher.php on line 31 Link to comment Share on other sites More sharing options...
doekia Posted January 6, 2023 Share Posted January 6, 2023 Le folder tools est dans l'archive d'origine de la version. Aucun problème pour le récupérer. Commencez par purger les caches class_index.php qui pourrait être la cause de votre mésaventure. Sinon recherchez si vous n'avez pas une copue de votre répertoire classes dans une autre répertoire, ce qui expliquerait l'erreur Link to comment Share on other sites More sharing options...
Data_Yoyo Posted January 6, 2023 Share Posted January 6, 2023 Bonjour Doekia, Merci pour ces bonnes pistes ! Pour résoudre le problème J'ai renommé la class DispatcherCore en DispatcherCore2 dans le fichier Dispatcher.php. J'ai bien conscience que ça risque de me poser des problèmes à l'avenir ça me permet de rouvrir la boutique en attendant. Il semblerait que le fichier responsable de la modification du formulaire de paiement était dans le folder tools. Le folder tools est dans l'archive d'origine de la version. Aucun problème pour le récupérer. ( oui si les fichiers ne sont pas censé être modifié c'est ok mais je n'en sais rien ) Commencez par purger les caches class_index.php qui pourrait être la cause de votre mésaventure. ( je ne l'ai pas encore fait , je vais tester ) Sinon recherchez si vous n'avez pas une copue de votre répertoire classes dans une autre répertoire, ce qui expliquerait l'erreur ( j'avais effectivement copier le folder class dans le folder class mais je m'en étais rendu compte avant , je vais quand même voir si j'ai pas un doublon quelquepart ) . Je pense que je suis pas très clair et je m'en excuse mais j'ai la cervelle en bouillie à force de tenter de debugger tout ça Merci encore pour votre aide et implication. Christophe Link to comment Share on other sites More sharing options...
doekia Posted January 6, 2023 Share Posted January 6, 2023 Je n'ai jamais rien vu d'ajouté dans le répertoire tools. Donc a moins d'avoir un shop Frankenstein supprimez-le et remplacez par le tools de l'archive Si vous avez un répertoire classes dans classes en effet vous allez avoir des doublons Le patch en Dispatcher2 est une très mauvaise idée Procédez avec méthode évite les noeuds au cerveau Après corrections (nettoyage tools et classes/classes), supprimez cache/class_index.php Link to comment Share on other sites More sharing options...
Eolia Posted January 6, 2023 Author Share Posted January 6, 2023 D'ailleurs Cleaner devrait vous le dire s'il trouve des fichiers qui n'ont rien à faire dans ces répertoires coeur (/classes, /tools, etc...) Link to comment Share on other sites More sharing options...
JLCH Posted January 6, 2023 Share Posted January 6, 2023 il y a 54 minutes, Eolia a dit : D'ailleurs Cleaner devrait vous le dire s'il trouve des fichiers qui n'ont rien à faire dans ces répertoires coeur (/classes, /tools, etc...) bonjour, cleaner est vraiment super. Par contre il ne prévient pas si il y a un dossier ou des fichiers au meme niveau que l'index de base de prestashop. J'ai, par exemple trouvé un dossier "BE" avec des pages de pub pour un FAI de fibre Belge. C'est normal? Pour info je l'ai aussi utilisé avec thirty bee, et il fonctionne bien aussi. Merci encore Eolia! Link to comment Share on other sites More sharing options...
Eolia Posted January 6, 2023 Author Share Posted January 6, 2023 il y a une heure, JLCH a dit : Pour info je l'ai aussi utilisé avec thirty bee, et il fonctionne bien aussi. Ben pour Thirty Bees il ne peut pas récupérer les md5 pour contrôler l'intégrité. Concernant les dossiers ajoutés à la racine, c'est un peu plus compliqué si on ne veut pas remplir la page d'orange. Le but initial de ce script est de détecter les modifications/ajout dans le fonctionnement du coeur du système. Pour le reste, c'est votre site, vous devez le connaitre et savoir si vous avez ajouté ces répertoires ou pas. Link to comment Share on other sites More sharing options...
JLCH Posted January 7, 2023 Share Posted January 7, 2023 Il y a 13 heures, Eolia a dit : Ben pour Thirty Bees il ne peut pas récupérer les md5 pour contrôler l'intégrité. Concernant les dossiers ajoutés à la racine, c'est un peu plus compliqué si on ne veut pas remplir la page d'orange. Le but initial de ce script est de détecter les modifications/ajout dans le fonctionnement du coeur du système. Pour le reste, c'est votre site, vous devez le connaitre et savoir si vous avez ajouté ces répertoires ou pas. bonjour, Thirty Bees : le fait d'avoir compris le principe de cleaner et à partir des informations qu'il donne, ça aide énormément! Fichiers racines: oui, justement, heureusement que j'ai trouvé ça "étrange", ne serai-ce de par le nom du dossier. s'il avait mis un nom plus logique (temps, imgs, .well-knowns, (un simple rajout d'un S) etc...) ça aurait été plus dur à voir. Merci Link to comment Share on other sites More sharing options...
MarcRiviere2 Posted January 12, 2023 Share Posted January 12, 2023 Bonsoir, J'ai déjà utilisé votre script il y a quelques mois avec un retour positif pour notre site. Je viens à nouveau de l’exécuter mais rien ne s'affiche cette fois : Première exécution j'obtiens ceci : Strict Standards: date(): We selected 'Europe/Berlin' for 'CET/1.0/no DST' instead in /homepages/42/d788750705/htdocs/cleaner.php on line 98 Notice: Undefined index: SCRIPT_URI in /homepages/42/d788750705/htdocs/cleaner.php on line 100 Warning: Cannot modify header information - headers already sent by (output started at /homepages/42/d788750705/htdocs/cleaner.php:98) in /homepages/42/d788750705/htdocs/cleaner.php on line 100 Script de nettoyage pour boutiques PrestaShop, version 1.0.16 Votre version doit être mise à jour. Téléchargement de la dernière version et exécution... exécution suivante : Strict Standards: date(): We selected 'Europe/Berlin' for 'CET/1.0/no DST' instead in /homepages/42/d788750705/htdocs/cleaner.php on line 186 Warning: Cannot modify header information - headers already sent by (output started at /homepages/42/d788750705/htdocs/cleaner.php:186) in /homepages/42/d788750705/htdocs/cleaner.php on line 193 Script de nettoyage et contrôle pour boutiques PrestaShop by @eolia, version 2.0.2 Ce script est fourni gracieusement et en aucun cas son utilisation ne peut être payante ou facturée Votre version doit être mise à jour. Téléchargement de la dernière version et exécution... Pourriez vous m'aider en m'indiquant si j'ai réalisé une mauvaise action ? D'avance merci. Cordialement, Marc. Link to comment Share on other sites More sharing options...
Eolia Posted January 12, 2023 Author Share Posted January 12, 2023 Vous avez changé de version PHP ? A priori le timezone n'est pas défini dans votre serveur, je viens de le forcer dans la dernière version. Link to comment Share on other sites More sharing options...
MarcRiviere2 Posted January 12, 2023 Share Posted January 12, 2023 Bonsoir, Merci pour votre retour. Non je n'ai pas modifier ma version PHP nous sommes en 7.3.33 Merci pour le correctif je vais tester à nouveau dans la soirée. Cordialement, Marc. Link to comment Share on other sites More sharing options...
P i l o u Posted January 13, 2023 Share Posted January 13, 2023 Bonjour Eolia, Sur la v1.6.1.30, il me donne ceci : Fichier php inexistant dans la version d'origine. Contenu à contrôler => public_html/config/settings.inc.php Ce fichier contenant les infos d'accès à la BDD, je suppose qu'il faut le laisser en place. Link to comment Share on other sites More sharing options...
Eolia Posted January 13, 2023 Author Share Posted January 13, 2023 il y a 29 minutes, P i l o u a dit : Bonjour Eolia, Sur la v1.6.1.30, il me donne ceci : Fichier php inexistant dans la version d'origine. Contenu à contrôler => public_html/config/settings.inc.php Ce fichier contenant les infos d'accès à la BDD, je suppose qu'il faut le laisser en place. Oui bien sûr. Link to comment Share on other sites More sharing options...
KevinNash Posted January 16, 2023 Share Posted January 16, 2023 (edited) Bonsoir Eolia et merci pour ce script. Chez moi il ne fonctionne pas, quand je le lance j'ai cette erreur sous PS 1.5.4.1 php5.6 : Uncaught Unknown column 'last_connection_date' Dans la table ps_employee, je ne peux pas mettre le message complet ici, le forum me bloque ^^ Edited January 16, 2023 by KevinNash (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted January 17, 2023 Author Share Posted January 17, 2023 Il y a 10 heures, KevinNash a dit : Bonsoir Eolia et merci pour ce script. Chez moi il ne fonctionne pas, quand je le lance j'ai cette erreur sous PS 1.5.4.1 php5.6 : Uncaught Unknown column 'last_connection_date' Dans la table ps_employee, je ne peux pas mettre le message complet ici, le forum me bloque ^^ Relancez-le, un correctif a été apporté. Link to comment Share on other sites More sharing options...
KevinNash Posted January 17, 2023 Share Posted January 17, 2023 Merci Eolia, cela fonctionne Le script m'a juste effacé le fichier 404.php présent sur les 1.5. Quel est la fonction de ce fichier et la raison de son effacement ? Link to comment Share on other sites More sharing options...
Eolia Posted January 17, 2023 Author Share Posted January 17, 2023 Ah, effectivement il est encore sur les 1.5, c'est un reste des 1.4 laissé pour la rétro-compat. Il redirige vers le bon controleur si quelau'un aurait gardé l'url de cette page "non-trouvée" require_once(dirname(__FILE__).'/config/config.inc.php'); Controller::getController('PageNotFoundController')->run(); J'ai ajusté le script pour qu'il ne l'efface plus sur les 1.5. Nous avons trouvé des 404.php sur des 1.6/1.7 qui n'étaient pas du tout celui de Prestashop d'où sa suppression. Link to comment Share on other sites More sharing options...
KevinNash Posted January 17, 2023 Share Posted January 17, 2023 Au top Eolia, comme à l'habitude et depuis longtemps, merci encore 🙂 Link to comment Share on other sites More sharing options...
nekromantik Posted January 28, 2023 Share Posted January 28, 2023 Bonjour, merci pour le script mais j'obtiens l'erreur 502 Proxy toute personne ayant le même problème s'il vous plaît. Merci https://prnt.sc/xUqf28YHncAd ------------ Sorry for bad language I used translator. Hello, thanks for script but I get 502 Proxy error anyone with same problem please. Thanks Link to comment Share on other sites More sharing options...
Gaellyne Posted February 3, 2023 Share Posted February 3, 2023 Un gros gros merci à Eolia pour ce script qui m'a bien aidé Link to comment Share on other sites More sharing options...
kokoon Posted February 9, 2023 Share Posted February 9, 2023 Eolia, un énorme merci pour votre travail sur ce script. Vous avez sauvé ma journée ! Vers midi avec un collègue on percute : "tiens t'as vu c'est bizarre on n'a pas eu de commandes depuis hier soir" Là on s'aperçoit que notre page de paiement ne comportait plus les moyens de paiement habituels mais à la place un étrange logo Paypal et un formulaire douteux... Panique à bord !!!! Jusqu'à ce que je tombe sur le script qui m'a énormément aidé à identifier les fichiers concernés. Donc, énooooooorme merci On a changé tous les mots de passe FTP et admin (ils étaient costauds pourtant...) puis on va patcher correctement notre 1.6.1.24 maintenant ... Link to comment Share on other sites More sharing options...
Eolia Posted February 9, 2023 Author Share Posted February 9, 2023 il y a 1 minute, kokoon a dit : Eolia, un énorme merci pour votre travail sur ce script. Vous avez sauvé ma journée ! Vers midi avec un collègue on percute : "tiens t'as vu c'est bizarre on n'a pas eu de commandes depuis hier soir" Là on s'aperçoit que notre page de paiement ne comportait plus les moyens de paiement habituels mais à la place un étrange logo Paypal et un formulaire douteux... Panique à bord !!!! Jusqu'à ce que je tombe sur le script qui m'a énormément aidé à identifier les fichiers concernés. Donc, énooooooorme merci On a changé tous les mots de passe FTP et admin (ils étaient costauds pourtant...) puis on va patcher correctement notre 1.6.1.24 maintenant ... Rien à voir avec les mots de passe, le souci vient soit d'un module tiers soit d'un Wordpress sur le même hébergement et pas à jour ou pas sécurisé. 1 Link to comment Share on other sites More sharing options...
kokoon Posted February 9, 2023 Share Posted February 9, 2023 On a un vieux Joomla non utilisé dans un autre répertoire que le traditionnel "www", il est inaccessible de l'exterieur. Ceci dit je viens de tout virer ! Et si çà vient d'un module tiers, cela signifie qu'il comporte des fichiers avec des failles qu'un hacker peut atteindre, c'est çà ? Et sans passer par FTP ... c'est tendu tout çà quand même. Faut faire gaffe à ce qu'on installe donc ! Link to comment Share on other sites More sharing options...
Eolia Posted February 9, 2023 Author Share Posted February 9, 2023 Un module qui permet de faire de l'upload sans véritable contrôle oui. Prévu pour charger une image de slider par exemple mais accessible depuis le front et dans lequel on peut envoyer un fichier php par exemple. 1 Link to comment Share on other sites More sharing options...
kokoon Posted February 10, 2023 Share Posted February 10, 2023 Il y a 15 heures, Eolia a dit : Un module qui permet de faire de l'upload sans véritable contrôle oui. Prévu pour charger une image de slider par exemple mais accessible depuis le front et dans lequel on peut envoyer un fichier php par exemple. Ok j'ai ma petite idée du module en question du coup, merci. Petite question complémentaire : recommandez-vous de passer vers votre version 1.6.1.30 pour renforcer la sécurité (en plus de profiter de php 7.4 ou +) ? Link to comment Share on other sites More sharing options...
Eolia Posted February 10, 2023 Author Share Posted February 10, 2023 mes versions améliorent certains point de sécurité, intègrent cleaner en natif mais n'empêcheront jamais l'installation d'un module mal écrit ou d'un Wordpress non sécurisé sur le même hébergement) 1 Link to comment Share on other sites More sharing options...
kokoon Posted February 10, 2023 Share Posted February 10, 2023 il y a 8 minutes, Eolia a dit : mes versions améliorent certains point de sécurité, intègrent cleaner en natif mais n'empêcheront jamais l'installation d'un module mal écrit ou d'un Wordpress non sécurisé sur le même hébergement) Oui évidemment faut rester prudent sur ce qu'on installe, c'est la base Merci encore pour votre temps et vos conseils Eolia. Link to comment Share on other sites More sharing options...
Losofy Posted February 21, 2023 Share Posted February 21, 2023 Bonjour tout le monde ! Je rencontre exactement le même soucis d'attaque avec un faux formulaire de paiement paypal (screen) qui cache tous les modes de payements principaux et qui demandent des informations bancaires pour le processus de paiement paypal. Une fonction WindowPaymentPaypal() est appelée dans le body. En regardant le fil, je n'ai pas trouvé de lien pour télécharger le script réalisé par @Eolia Auriez-vous un lien pour le télécharger ? ( si il est toujours disponible ) Link to comment Share on other sites More sharing options...
eme1234 Posted February 21, 2023 Share Posted February 21, 2023 On 1/4/2023 at 6:55 AM, Eolia said: où est le script ? je ne peux pas le télécharger ;( Link to comment Share on other sites More sharing options...
P i l o u Posted February 21, 2023 Share Posted February 21, 2023 Dans le premier post les gars : https://www.prestashop.com/forums/applications/core/interface/file/attachment.php?id=294153&key=1dce6bc24f130383ffaca6aebb27b39a Link to comment Share on other sites More sharing options...
Mediacom87 Posted February 21, 2023 Share Posted February 21, 2023 Et nous rappelons que le script d'Eolia fait le ménage et permet d'identifier les soucis, mais ne corrige pas la faille qui a amené ce hack donc il faut aller plus loin pour éviter que le hack recommence deux jours après le nettoyage. Link to comment Share on other sites More sharing options...
zoomht1 Posted February 24, 2023 Share Posted February 24, 2023 Hello, J'ai essayé d'utiliser le cleaner.php mais j'ai eu une erreur "Warning: file_get_contents(https://devcustom.net/public/cleaner.txt): Failed to open stream: HTTP request failed! HTTP/1.1 403 Forbidden in /home/zinasto/public_html/cleaner.php on line 94" Que dois-je faire? Merci Link to comment Share on other sites More sharing options...
Eolia Posted February 25, 2023 Author Share Posted February 25, 2023 Il y a 9 heures, zoomht1 a dit : Hello, J'ai essayé d'utiliser le cleaner.php mais j'ai eu une erreur "Warning: file_get_contents(https://devcustom.net/public/cleaner.txt): Failed to open stream: HTTP request failed! HTTP/1.1 403 Forbidden in /home/zinasto/public_html/cleaner.php on line 94" Que dois-je faire? Merci Relancez le script (Le serveur est passé en mode sécurité hier soir suite à certaines requêtes malveillantes) 1 Link to comment Share on other sites More sharing options...
zoomht1 Posted February 25, 2023 Share Posted February 25, 2023 9 hours ago, Eolia said: Relancez le script (Le serveur est passé en mode sécurité hier soir suite à certaines requêtes malveillantes) Apres avoir relancer, j'ai eu cette erreur : "CMS inconnu. Script interrompu" Link to comment Share on other sites More sharing options...
Eolia Posted February 25, 2023 Author Share Posted February 25, 2023 Vous êtes sur une version fraiche d'installation avec le répertoire admin pas encore renommé ? Link to comment Share on other sites More sharing options...
zoomht1 Posted February 25, 2023 Share Posted February 25, 2023 1 minute ago, Eolia said: Vous êtes sur une version fraiche d'installation avec le répertoire admin pas encore renommé ? Non, Version 1.7.7.8 Link to comment Share on other sites More sharing options...
Eolia Posted February 25, 2023 Author Share Posted February 25, 2023 Alors il vous manque des fichiers... Le script cherche le fichier xxx_votre_admin/get-file-admin.php qui est bien dans cette version Link to comment Share on other sites More sharing options...
zoomht1 Posted February 25, 2023 Share Posted February 25, 2023 1 hour ago, Eolia said: Alors il vous manque des fichiers... Le script cherche le fichier xxx_votre_admin/get-file-admin.php qui est bien dans cette version Les fichiers sont bien comme vous pouvez constater si dessous: -rw-r----- 1 admin admin 25470 Feb 23 15:20 functions.php -rw-r----- 1 admin admin 1613 Feb 23 15:20 get-file-admin.php -rw-r----- 1 admin admin 1389 Feb 23 15:20 grider.php -rw-r----- 1 admin admin 2751 Feb 23 15:20 header.inc.php Link to comment Share on other sites More sharing options...
zoomht1 Posted February 25, 2023 Share Posted February 25, 2023 (edited) Je me demande si je dois abandonner la Plateforme Prestashop puisque ça fait plus d'un an depuis que je n'arrive pas a prendre soins du BO Edited February 25, 2023 by zoomht1 (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted February 25, 2023 Author Share Posted February 25, 2023 C'est sur que les 1.7 c'est la cata^^ La 1.6.2.1 (et bientôt 1.6.2.2) sont bien plus performantes et compatibles PHP8.2 1 Link to comment Share on other sites More sharing options...
blancmarine06 Posted February 28, 2023 Share Posted February 28, 2023 (edited) Bonjour Eolia, Notre site a été attaqué - On a mis en ligne le cleaner - Hier le script marcher bien mais ce matin on a cette erreur en rouge Fichiers source introuvables pour cette version: 1.6.1.24. Les contrôles md5 ne pourront être effectués. Plus moyen de voir les fichiers infectés MD5 - tu as une piste ? merci Edited February 28, 2023 by blancmarine06 (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted February 28, 2023 Author Share Posted February 28, 2023 il y a une heure, blancmarine06 a dit : Bonjour Eolia, Notre site a été attaqué - On a mis en ligne le cleaner - Hier le script marcher bien mais ce matin on a cette erreur en rouge Fichiers source introuvables pour cette version: 1.6.1.24. Les contrôles md5 ne pourront être effectués. Plus moyen de voir les fichiers infectés MD5 - tu as une piste ? merci Vous appelez le script depuis votre boutique ou autrement ? La dernière version est la 2.0.16 Link to comment Share on other sites More sharing options...
blancmarine06 Posted February 28, 2023 Share Posted February 28, 2023 (edited) Edited February 28, 2023 by blancmarine06 (see edit history) Link to comment Share on other sites More sharing options...
blancmarine06 Posted February 28, 2023 Share Posted February 28, 2023 (edited) :) Edited February 28, 2023 by blancmarine06 (see edit history) Link to comment Share on other sites More sharing options...
blancmarine06 Posted February 28, 2023 Share Posted February 28, 2023 (edited) Script appeler depuis notre boutique - Dès qu'on fasse des correction le site passe en Erreur 500 Edited February 28, 2023 by blancmarine06 (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted February 28, 2023 Author Share Posted February 28, 2023 Après analyse, votre ip a été bloquée car votre serveur tente de hacker d'autres boutiques Prestashop (par exemple à 7h34 ce matin) hébergées par nos soins. Si vous êtes en erreur 500 c'est que la copie des fichiers ou les correctifs s'est mal passée. Solution: renommer votre répertoire racine (wwww, ou public_html ou ...) Effectuer le remplacement de tous les fichiers coeurs mentionnés en rouge Supprimer les fichiers ajoutés suspects si vous ne les connaissez pas Controlez/corrigez les fichiers en orange ainsi que les modules Renommez votre répertoire racine comme à l'origine. Si vous n'y arrivez pas, envoyez-moi un accès ftp par message privé. Link to comment Share on other sites More sharing options...
blancmarine06 Posted February 28, 2023 Share Posted February 28, 2023 Je t'envois en MP les accès - Merci d'avance ! Link to comment Share on other sites More sharing options...
Eolia Posted February 28, 2023 Author Share Posted February 28, 2023 il y a 41 minutes, blancmarine06 a dit : Oui depuis la boutique -------------------------------------------------------------- Script de nettoyage et contrôle pour boutiques PrestaShop by @eolia, version 2.0.16 Ce script est fourni gracieusement et en aucun cas son utilisation ne peut être payante ou facturée Le répertoire www/**admin**/filemanager a été patché avec succès. Mémoire OK. Vous avez la dernière version à jour du script -> Démarrage... Veuillez supprimer ce message svp il y a les chemins de votre cleaner, merci 1 Link to comment Share on other sites More sharing options...
Eolia Posted February 28, 2023 Author Share Posted February 28, 2023 il y a 41 minutes, blancmarine06 a dit : Je t'envois en MP les accès - Merci d'avance ! Votre site est fonctionnel et nettoyé. Juste pour info, vous aviez déjà effectué des nettoyages avant (en supprimant des modules suspects par exemple ?) car là il n'y a pas de porte d'entrée clairement identifiée. Par sécurité, modifiez TOUS les mots de passe employés. 1 Link to comment Share on other sites More sharing options...
blancmarine06 Posted February 28, 2023 Share Posted February 28, 2023 Merci infiniment Link to comment Share on other sites More sharing options...
Eolia Posted February 28, 2023 Author Share Posted February 28, 2023 @blancmarine06 je vous ai dit de supprimer pas d'éditer car là on voit l'historique de vos modifications donc l'url... Link to comment Share on other sites More sharing options...
dn-graphisme Posted March 13, 2023 Share Posted March 13, 2023 Merci @Eolia pour tout ce que tu fais à chaque fois. Script nickel Link to comment Share on other sites More sharing options...
alain732 Posted March 30, 2023 Share Posted March 30, 2023 Bonjour, j'ai trouvé votre script, le l'ai telechargé et lors du lancement, j'ai ceci : ( il me demande la dernière version ?, la version de votre fichier) En vous remerciant. Strict Standards: date(): We selected 'Europe/Berlin' for 'CEST/2.0/DST' instead in /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php on line 93 Strict Standards: date(): We selected 'Europe/Berlin' for 'CEST/2.0/DST' instead in /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php on line 93 Strict Standards: header(): We selected 'Europe/Berlin' for 'CEST/2.0/DST' instead in /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php on line 100 Warning: Cannot modify header information - headers already sent by (output started at /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php:93) in /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php on line 100 Script de nettoyage et contrôle pour boutiques PrestaShop by @eolia Votre version doit être mise à jour. Téléchargement de la dernière version et exécution... Link to comment Share on other sites More sharing options...
Mediacom87 Posted March 30, 2023 Share Posted March 30, 2023 Même lorsque vous rafraichissez la page ? Link to comment Share on other sites More sharing options...
alain732 Posted March 30, 2023 Share Posted March 30, 2023 Ha du coup, j'ai l'air con, merci .... 🙃 Link to comment Share on other sites More sharing options...
Eolia Posted March 30, 2023 Author Share Posted March 30, 2023 il y a 3 minutes, alain732 a dit : Bonjour, j'ai trouvé votre script, le l'ai telechargé et lors du lancement, j'ai ceci : ( il me demande la dernière version ?, la version de votre fichier) En vous remerciant. Strict Standards: date(): We selected 'Europe/Berlin' for 'CEST/2.0/DST' instead in /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php on line 93 Strict Standards: date(): We selected 'Europe/Berlin' for 'CEST/2.0/DST' instead in /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php on line 93 Strict Standards: header(): We selected 'Europe/Berlin' for 'CEST/2.0/DST' instead in /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php on line 100 Warning: Cannot modify header information - headers already sent by (output started at /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php:93) in /homepages/21/d520998076/htdocs/AlpesBlanc/cleaner.php on line 100 Script de nettoyage et contrôle pour boutiques PrestaShop by @eolia Votre version doit être mise à jour. Téléchargement de la dernière version et exécution... Vous avez trouvé mon script où ? Parce que ça fait un moment que cette ligne a été ajouté pour éviter cette alerte @date_default_timezone_set('Europe/Paris'); Link to comment Share on other sites More sharing options...
alain732 Posted March 30, 2023 Share Posted March 30, 2023 sur votre lien en premier page, merci en tous cas, ca a fait, c'est ou qu'on peut vous payer une bierre !!! Link to comment Share on other sites More sharing options...
nicofisbon Posted April 13, 2023 Share Posted April 13, 2023 Merci beaucoup de l'Argentine, j'ai pu résoudre l'attaque que nous avons subie sur nos sites grâce à votre contribution. Merci encore, salutations de cette partie du monde. Link to comment Share on other sites More sharing options...
Jonnathan Posted May 3, 2023 Share Posted May 3, 2023 @Eolia 👏👏👏 Excelent travail Comment puis-je exécuter le script.php et recevoir les informations par e-mail ? Je ne me sens pas en sécurité en l'exécutant via le Web, j'aimerais également planifier une tâche qui le fasse de manière récursive, mais je ne sais pas comment exécutez-le via le terminal. Link to comment Share on other sites More sharing options...
Eolia Posted May 3, 2023 Author Share Posted May 3, 2023 Vous pouvez appeler le script par son chemin sur votre serveur directement depuis votre terminal /var/www/votre_site/XXXXXXXXXX.php Link to comment Share on other sites More sharing options...
Jonnathan Posted May 3, 2023 Share Posted May 3, 2023 (edited) 4 hours ago, Eolia said: Vous pouvez appeler le script par son chemin sur votre serveur directement depuis votre terminal /var/www/votre_site/XXXXXXXXXX.php Lors de son exécution sur mon serveur Linux, il génère ces erreurs : Prestashop 1.7.7.7 php 7.3.29 root@c292cfb04f04:/var/www/html# /var/www/html/4579d13501ef.php /var/www/html/4579d13501ef.php: line 1: ?php: No such file or directory /var/www/html/4579d13501ef.php: line 2: /bin: Is a directory /var/www/html/4579d13501ef.php: line 3: 4579d13501ef.php: command not found /var/www/html/4579d13501ef.php: line 4: 4579d13501ef.php: command not found /var/www/html/4579d13501ef.php: line 5: 4579d13501ef.php: command not found /var/www/html/4579d13501ef.php: line 6: 4579d13501ef.php: command not found /var/www/html/4579d13501ef.php: line 7: 4579d13501ef.php: command not found /var/www/html/4579d13501ef.php: line 8: 4579d13501ef.php: command not found /var/www/html/4579d13501ef.php: line 10: Changelog: command not found /var/www/html/4579d13501ef.php: line 11: syntax error near unexpected token `10/07/2022' /var/www/html/4579d13501ef.php: line 11: `1.0.0 (10/07/2022) - 1er script' Edited May 3, 2023 by Jonnathan (see edit history) Link to comment Share on other sites More sharing options...
Jonnathan Posted May 3, 2023 Share Posted May 3, 2023 (edited) @Eolia Prestashop 1.7.8.9 PHP 7.4.33 Lorsque vous essayez d'exécuter le cleaner.php via le Web, il affiche cette erreur Lorsque vous renommez cleaner.php en 622814d3812c.php, donnez-lui les autorisations chmod 755 et exécutez-le via le Web https://site.com/622814d3812c.php<
Recommended Posts