Hack Prestashop sur la page de paiement - nettoyage

[arm15]

Le script ne fonctionne plus, ne t'inquiète pas. Il faut juste comparer la liste des fichiers js contenu dans le répertoire /js de l'archive de votre version (1.7.8.9) et supprimer de votre site ceux qui n'ont rien à y faire.

Le dossier des fichiers propre a PrestaShop se trouve en général à la racine de ton site. 

 

[boutiquepel]

Salut,

 

Donc un mois plus tard... rebelotte. 

J'ai chargé le dossier JS de ma sauvegarde et le hack a disparu mais le cleaner donne exactement les même résultats.

Je ne comprends pas pk.

Je suis en 1.7.6.7 et le hack disparait en 1.7.8.7? 

Je peux lancer la màj directement ou ça risque de tout planter?

 

Edit:

 

MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0) if (0) if (0) if (0) if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => www/classes/controller/Controller.php

 

c'est quoi ça? 

Edited June 22, 2023 by boutiquepel (see edit history)

[Mediacom87]

Il y a 2 heures, boutiquepel a dit :

Salut,

 

Donc un mois plus tard... rebelotte. 

J'ai chargé le dossier JS de ma sauvegarde et le hack a disparu mais le cleaner donne exactement les même résultats.

Je ne comprends pas pk.

Je suis en 1.7.6.7 et le hack disparait en 1.7.8.7? 

Je peux lancer la màj directement ou ça risque de tout planter?

 

Edit:

 

MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0) if (0) if (0) if (0) if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => www/classes/controller/Controller.php

 

c'est quoi ça? 

Vous avez été piraté, vous avez effacé les conséquences du piratage, mais c'est là que le boulot commence.

Identifier la faille employée et la corriger.

Car piraté une fois, piraté toujours si la faille n'est pas bouchée.

[doekia]

Il y a 7 heures, boutiquepel a dit :

MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0) if (0) if (0) if (0) if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => www/classes/controller/Controller.php

Le if (0) correspond à une manière pour cleaner de corriger d'urgence un code de hacking connu.

Vous avez alors eu une alerte rouge qui vous demandait de verifier/restaurer le fichier. Vous avez ici lancé 7x le cleaner sans restaurer.

Pourquoi if (0) ? Parce que cela permet de rendre le hack inopérant sans en connaitre la syntaxe exacte et d'avoir un spectre de protection d'URGENCE plus large

[boutiquepel]

Salut,

J'ai téléchargé les fichiers de la 1.7.6.7 et changé le dossier JS... 

Si j'efface le dossier JS, le script me donne du vert... 

Si je remets le dossier JS de l'archive saine, le script me donne du rouge pour tout le dossier JS.

Je ne comprends pas. 

 

edit: Si ça peux aider, Bitdefender m'a trouvé ça: 

www\upload\b2b.php est infecté par Generic.WebShell.Z.FA7B3844 et a été placé en quarantaine. Nous vous recommandons d'effectuer une analyse du système afin de vérifier que votre système est sain.

 

et ça:

 

 

Edited June 25, 2023 by boutiquepel (see edit history)

[Leguman]

Suite à un mail de mon hébergeur (voir ci dessous), j'ai voulu lancer cleaner.php et j'ai ce message :

La mémoire disponible sur votre serveur (128M) est insuffisante pour exécuter ce script, veuillez l'augmenter à 512 MB au minimum

Que dois-je faire ?

 

Mail de l'hébergeur : Pour information, notre anti-virus a détecté un ou plusieurs fichiers potentiellement malveillants sur votre hébergement xxxx.

Liste des fichiers suspects :
- /home/php-upload/php3RIjCT: phpnet.php.injectedBase64.5
- /home/php-upload/phpabXd2O: phpnet.php.injectedBase64.5
- /home/php-upload/phpavMV50: phpnet.php.injectedBase64.5
- /home/php-upload/phpFdbvTt: phpnet.php.injectedBase64.5
- /home/php-upload/phpK4TCOs: phpnet.php.injectedBase64.5
- /home/php-upload/phpMV7Szh: phpnet.php.injectedBase64.5

[Mediacom87]

il y a 3 minutes, Leguman a dit :

Que dois-je faire ?

Augmenter la mémoire allouée à PHP, cette procédure dépend de votre hébergeur, voyez avec lui.

[Leguman]

J'ai ouvert un ticket chez mon hébergeur, j’espérais pouvoir modifier cela moi même.

[Mediacom87]

il y a 5 minutes, Leguman a dit :

J'ai ouvert un ticket chez mon hébergeur, j’espérais pouvoir modifier cela moi même.

Peut-être que cela est possible, mais comme vous ne communiquez pas l'information principale, à savoir, quel est votre hébergeur, nous ne pouvons pas vous communiquer d'éléments à ce sujet.

[Leguman]

Pardon, c'est Nuxit, Magiconline

[Leguman]

Suite à l'ouverture d'un ticket, mon hébergeur me dit de réessayer, mais j'ai tjs le même message d'erreur.

[Designbyrhino]

Merci pour ce script @Eolia

Je viens de scanner, et j'ai comparé les fichiers dans Notepad++, mais R.A.S ils matchent, je vais quand même les remplacer.

[boutiquepel]

7 hours ago, Designbyrhino said:

Merci pour ce script @Eolia

Je viens de scanner, et j'ai comparé les fichiers dans Notepad++, mais R.A.S ils matchent, je vais quand même les remplacer.

Salut,

 

Cela ne fonctionnera pas... 

[Designbyrhino]

@boutiquepel Ok je m'en doutais, et je n'ai rien fait.

[los]

Le 13/06/2023 à 1:11 PM, Eolia a dit :

Comparez la liste des fichiers js contenu dans le répertoire /js de l'archive de votre version (1.7.8.9) et supprimez de votre site ceux qui n'ont rien à y faire.

Les fichiers sont en rouge car il comportent des fonctions sensibles.

Et concernant le support pour les versions 1.7 et supérieures, Prestashop faisant tout son possible pour supprimer les liens vers les anciennes versions et ayant autre chose à faire je n'en assure plus le suivi.

Bonjour,

Je viens d'avoir l'agréable surprise que Prestashop a rétabli l'accès aux anciennes versions (1.7). Serait-il possible de vous aider ou participer à la réintégration du suivi de ces versions sur votre cleaner ? S'il vous plaît

https://prestashop.fr/versions/

Merci d'avance,

Cordialement,

Los

Edited October 2, 2023 by los (see edit history)

[Roger66]

Bonjour,

merci infiniment pour ce script. Victime de la fausse page PayPal, j'ai lancé un scan sur ma boutique.

Quelques lignes rouges sur lesquelles j'ai commencé à intervenir.

Problème toutefois, lorsque je restaure la version d'origine sur certains fichiers les pages d'accueil FO et BO sont vierges, sans affichage de code d'erreur... 

C'est le cas notamment et par exemple pour /tools/smarty/sysplugins/smarty_cacheresource.php (en rouge) mais également /classes/Hook.php (en orange).

Je n'ai rien vu sur la discussion à ce sujet... que puis-je faire pour pallier ce problème ?

cordialement.

[Eolia]

si vous êtes sur une version 1.7 il faut vider les caches après chaque modif

[Roger66]

Merci,

pardon je n'ai pas précisé version 1.6.1.23

[Eolia]

Il faut vider le cache aussi.

[Roger66]

N'ayant pas accès au BO, pouvez-vous me préciser quels fichiers supprimer ?

la suppression du seul /cache/class_index.php ne suffit visiblement pas

[Eolia]

Envoyez-moi un accès ftp en Message Privé

[Jofrey]

Holà à tous !

Nous avons été piraté il y'a de cela quelques mois... Blocage de nos accès et mise en place d'une page de paiement... nous avons fait appel à l'aide... enfin bref... le scirpt nous a bien aidé.... idem que les autres (page de paiement frauduleuse et ''dégueulasse" dans le. panier sans même prendre la peine de faire bien... Notre template fait cependant très bien le job en éclatant le menu pour créer une page blanche lors de ces attaques... Mais les clients ne sont pas content de ne pas pouvoir commander quand cela arrive...

Cela veux dire qu'il reste quelque part du code... et je n'ai plus le temps en ce moment de me concentré sur cette partie donc de. temps en temps je fais un script et ces derniers temps comme pour les. autres j'ai cette info qui remonte systèmathiquement...

J'utilise donc souvent le script et merci encore 10000 fois (je l'ai déjà fait dans d'autres posts) ahah  

Cependant en suivant ce forum, j'ai cru comprendre que cela ne servait plus à rien ? Voici le fichier qu'il extrait à. la suite du script.

Au cas ou si quelqu'un vois ce message merci. par avance  

[skur2000]

On 10/4/2023 at 5:02 PM, Eolia said:

Envoyez-moi un accès ftp en Message Privé

this cleaner script work for old version prestashop ?

example - prestashop 1.5.6 and php 5.4 ?

[Eolia]

il y a 36 minutes, skur2000 a dit :

this cleaner script work for old version prestashop ?

example - prestashop 1.5.6 and php 5.4 ?

Yes

[skur2000]

13 minutes ago, Eolia said:

Yes

500 error - for link and page after start cleaner, cleaner.php go /7ef1a3be9440.php, but have 500.

site work, may be version php(5.4) not work

[Eolia]

Change 

@ini_set('display_errors', 0);

to

@ini_set('display_errors', 1);

on line 20 of 7ef1a3be9440.php

[skur2000]

12 minutes ago, Eolia said:

Change 

@ini_set('display_errors', 0);

to

@ini_set('display_errors', 1);

on line 20 of 7ef1a3be9440.php

 

13 minutes ago, Eolia said:

Change 

@ini_set('display_errors', 0);

to

@ini_set('display_errors', 1);

on line 20 of 7ef1a3be9440.php

no error, only 500.

may be at hosting off errors

[boutiquepel]

Salut à tous,

Juste pour vous dire qu'en passant en 1.7.8.9, il n'y a plus de problème.... 

 

 

[Olliver54]

Bonjour, 

J'ai été piraté hier sur la page de paiement (cela s'est déjà produit plusieurs fois cette année) eolia m'avait donné un script il y a plusieurs mois que j'ai lancé hier soir, le problème semble résolu sur la boutique en front, cependant il y a un problème qui persiste dans le bo, car je ne peux plus accéder à mes modules. 

Lorsque je clique sur "Modules et Services" j'ai une page blanche avec ce message : 

[PrestaShop] Fatal error in module file :/home/gueumgne/public_html/modules/arlsf/arlsf.php:
Uncaught Error: Class 'ArLsfFakeConfigForm' not found in /home/gueumgne/public_html/modules/arlsf/arlsf.php:70 Stack trace: #0 [internal function]: ArLsf->__construct() #1 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(124): ReflectionClass->newInstance() #2 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(157): Core_Foundation_IoC_Container->makeInstanceFromClassName('arlsf', Array) #3 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(170): Core_Foundation_IoC_Container->doMake('arlsf', Array) #4 /home/gueumgne/public_html/Adapter/Adapter_ServiceLocator.php(52): Core_Foundation_IoC_Container->make('arlsf') #5 /home/gueumgne/public_html/classes/module/Module.php(1142): Adapter_ServiceLocator::get('arlsf') #6 /home/gueumgne/public_html/classes/module/Module.php(1107): ModuleCore::coreLoadModule('arlsf') #7 /home/gueumgne/public_html/classes/module/Module.php(1841): ModuleCore::getInstanceByName('arlsf') #8 /home/gu

j'ai aussi le résultat du script ( je ne sais pas si je peux le poster ici ? )

j'ai cette phrase en rouge  : MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0)                     if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => public_html/classes/controller/Controller.php

Je ne sais pas quoi faire... Peut être tout simplement supprimer le module arlsf ?  pourriez vous m'aider svp ? 

Merci beaucoup.

[Mediacom87]

Il y a 2 heures, Olliver54 a dit :

Bonjour, 

J'ai été piraté hier sur la page de paiement (cela s'est déjà produit plusieurs fois cette année) eolia m'avait donné un script il y a plusieurs mois que j'ai lancé hier soir, le problème semble résolu sur la boutique en front, cependant il y a un problème qui persiste dans le bo, car je ne peux plus accéder à mes modules. 

Lorsque je clique sur "Modules et Services" j'ai une page blanche avec ce message : 

[PrestaShop] Fatal error in module file :/home/gueumgne/public_html/modules/arlsf/arlsf.php:
Uncaught Error: Class 'ArLsfFakeConfigForm' not found in /home/gueumgne/public_html/modules/arlsf/arlsf.php:70 Stack trace: #0 [internal function]: ArLsf->__construct() #1 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(124): ReflectionClass->newInstance() #2 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(157): Core_Foundation_IoC_Container->makeInstanceFromClassName('arlsf', Array) #3 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(170): Core_Foundation_IoC_Container->doMake('arlsf', Array) #4 /home/gueumgne/public_html/Adapter/Adapter_ServiceLocator.php(52): Core_Foundation_IoC_Container->make('arlsf') #5 /home/gueumgne/public_html/classes/module/Module.php(1142): Adapter_ServiceLocator::get('arlsf') #6 /home/gueumgne/public_html/classes/module/Module.php(1107): ModuleCore::coreLoadModule('arlsf') #7 /home/gueumgne/public_html/classes/module/Module.php(1841): ModuleCore::getInstanceByName('arlsf') #8 /home/gu

j'ai aussi le résultat du script ( je ne sais pas si je peux le poster ici ? )

j'ai cette phrase en rouge  : MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0)                     if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => public_html/classes/controller/Controller.php

Je ne sais pas quoi faire... Peut être tout simplement supprimer le module arlsf ?  pourriez vous m'aider svp ? 

Merci beaucoup.

Bonjour,

Le module d'Eolia nettoie le hack dans sa grande majorité, mais il ne corrige pas la faille qui a permis ce hack.

Donc, si vous n'effectuez pas les corrections le hack va revenir régulièrement, car un site identifié comme hacké le sera indéfiniment.

[Vas69]

Bonjour,

Suite à une maj de module qui plantait, j'ai appris que j'avais été piraté. J'ai donc désactivé le cache, supprimé tous les modules douteux, ainsi que les fichiers qui semblaient infectés (merci à l'outil cleaner.ph d' Eolia).

Par contre, il me reste quelques alertes que je n'arrive pas résoudre.

La première concerne le fichier produc.php, malgré mes tentatives pour réinstallé le fichier d'origine, celui-ci s'affiche toujours la mention MD5 SECURITY, mais je ne trouve pas le même bout de code malicieux que j'avais trouvé dans les autres fichiers remplacés depuis. Du coup, je ne sais pas si le fichier est infecté ou éventuellement modifié par un autre module pour une bonne raison

La seconde concerne des fichiers (Ps_accounts561AdminContainer.php, Ps_accounts561FrontContainer.php, Ps_checkout6350AdminContainer, Ps_checkout6350FrontContainer.php) apparaissant dans le dossier cache et comme leurs noms et le code l'indique en rapport avec les modules PSAccount et PSCheckout. Là encore je ne sais pas si ces fichiers sont légitimes ou signe que l'infection est toujours là...

Si vous avez une idée, je suis preneur, merci ! 😊

Ps_accounts561AdminContainer.zip product.php.zip

Edited November 6, 2023 by Vas69 (see edit history)

[Eolia]

Les fichiers ajoutés visibles sur votre capture ne sont pas dangereux, pour le fichier product.php, je ne connais pas votre version donc difficile de faire un diff avec la version officielle.

[Vas69]

Merci Eolia ! Ce soir, je m'endormirai l'esprit un peu plus léger grâce à ta réponse... 🙂

Sinon ma version de PS est une bonne vieille 1.6.1.23

[OUTPOST]

Hello,

 

Je vien de decouvir ce script très cool, j'ai lancer par curiosité et j'ai rien eu de grave mais par contre depuis l'affichage des commande est dégradé, une idée ?

 

Merci

[Eolia]

Le script ne modifie pas votre boutique. Là il semblerait que quelque chose bloque le chargement de votre css, ouvrez votre console pour en savoir plus (F12)

[OUTPOST]

Hello, tout etait nickel avant de lancer le teste.

Voici les erreurs, j'ai re installer le module checkout pour voir mais pareille.

 

Merci

[Eolia]

activez le mode debug, vous avez une erreur 500

 

[OUTPOST]

Ah zut je pensait qu'il était déjà activé, c'etait le module Amazon.

Re installer et c'est bon, cleaner aurai supprimer un fichier du module amazon ?

 

Merci

Edited November 7, 2023 by OUTPOST (see edit history)

[Eolia]

Il faudrait regarder le contenu du zip créé à la base de votre hébergement (1ère date)

[OUTPOST]

Décidément je devrais être moins curieux, j'ai que des bugs depuis avoir lancé le script hier, j'ai un autre message d'erreur depuis hier après avoir re installer Amazon et j'ai aussi le module ps_checkout qui ne marche pas en front-office même après avoir re installer le module hier. Je me disais j'ai plus de commande depuis hier soir 😞

Ce qui se trouvre dans le fichier ZIP ce sont des fichiers qu'il a supprimer ou modifier ? si je remet tout je reviens comme avant ?

Il faudrait peut-être mettre une étape avant de tout modifier ou supprimé, un bouton pour validé ou pas, je voulais juste voir si j'avais des fichiers hacker. 🙂

[Eolia]

il y a 18 minutes, OUTPOST a dit :

Ce qui se trouvre dans le fichier ZIP ce sont des fichiers qu'il a supprimer ou modifier ? si je remet tout je reviens comme avant ?

Oui

[Jofrey]

On 10/16/2023 at 6:24 PM, Jofrey said:

Holà à tous !

Nous avons été piraté il y'a de cela quelques mois... Blocage de nos accès et mise en place d'une page de paiement... nous avons fait appel à l'aide... enfin bref... le scirpt nous a bien aidé.... idem que les autres (page de paiement frauduleuse et ''dégueulasse" dans le. panier sans même prendre la peine de faire bien... Notre template fait cependant très bien le job en éclatant le menu pour créer une page blanche lors de ces attaques... Mais les clients ne sont pas content de ne pas pouvoir commander quand cela arrive...

Cela veux dire qu'il reste quelque part du code... et je n'ai plus le temps en ce moment de me concentré sur cette partie donc de. temps en temps je fais un script et ces derniers temps comme pour les. autres j'ai cette info qui remonte systèmathiquement...

J'utilise donc souvent le script et merci encore 10000 fois (je l'ai déjà fait dans d'autres posts) ahah  

Cependant en suivant ce forum, j'ai cru comprendre que cela ne servait plus à rien ? Voici le fichier qu'il extrait à. la suite du script.

Au cas ou si quelqu'un vois ce message merci. par avance  

Hello ! 

Un petit Up car pas eu de réponse mais cette semaine ENCORE la page de paiement est apparu et cette fois-ci voici la nouvelle capture : j'en peu plus...

le script efface la page de hack mais j'arrive plus à comprendre d'ou ça peux revenir et provenir... Help !

Je viens également de modifier tous les mots de passe employés / FTP / et Base de données pour être bien sur que déjà ce n'est pas cela qui pose problème en soit... 

Merci de vos réponses  

[Eolia]

Le script efface / corrige ce qu'il peut mais vous devez analyser la liste des fichiers suspects qu'il a trouvé.

Ensuite il faut restaurer les fichier d'origine (pour ceux qui ont été modifiés) et supprimer ceux qui ont été trouvé en plus et qui n'ont rien à faire là.

[Jofrey]

11 minutes ago, Eolia said:

Le script efface / corrige ce qu'il peut mais vous devez analyser la liste des fichiers suspects qu'il a trouvé.

Ensuite il faut restaurer les fichier d'origine (pour ceux qui ont été modifiés) et supprimer ceux qui ont été trouvé en plus et qui n'ont rien à faire là.

Mais la je suis totalement désemparé mon site met error 550 une fois sur deux mon site mobile ne fonctionne plus après le nettoyage

je vous envoi un mp 😮‍💨  

[Fredoxx]

Bonjour,

J'ai également eu des alertes de sécurité suite à des mises à jour hier de modules (je suis sur PS 1.7.8.10)

J'ai donc lancé le cleaner.php, qui fonctionne parfaitement un grand merci Eolia tout est vert/orange.

En revanche les quelques fichiers restants qui posent problème (les alertes que j'ai reçu) sont étonnamment des modules de renom, (mondial relay / prestasblog /security pro etc.) mais aussi "csoft" je ne sais pas ce que c'est. Sauriez-vous ce que je dois chercher dans ces fichiers php ?

j'ai essayé de retrouver les lignes indiquées plus en amont, mais je ne les trouve pas, serait-ce bon signe ?

Bonne journée

Fred
 

[Eolia]

Quel type d'alertes avez vous reçu et qui vous les a envoyé ?

[Fredoxx]

J'ai eu des alertes envoyées directement de mon site via le module security pro justement qui scanne tous les jours.
Enfin je suppose que c'est lui qui me les a envoyé, car il est sensé le faire quand il détecte quelque chose !

La liste exhaustive reçue est la suivante :

"Alerte de sécurité: Analyse des logiciels malveillants"

Code malveillant trouvé sur votre serveur. Voir le chemin d'accès complet aux fichiers ci-dessous :

- /public_html/modules/dynamicproduct/classes/factory/DynamicFieldFactory.php" (dd7824222fcbb10908f6ea55c2cc687c7f08b306)
- /public_html/modules/prestablog/prestablog.php" (e3f2cc60ef08f3bb61b7f174f07736955d2ac141)
- /public_html/modules/csoft_phpunit/csoft_phpunit.php" (48b6b1ef5e3ef52cb338f0a02d5a194f85cc7f94)
- /public_html/modules/crazyelements/includes/settings/settings-page.php" (a6193d91818d4bb749b161d0bfffc62e35f794c6)
- /public_html/modules/mondialrelay/classes/services/MondialrelayService.php" (8285850654e6d822d91b77066ca69187f7f4d930)
- /public_html/modules/autoupgrade/upgrade/upgrade.php" (9e7a2e57082fcf672e9bc855e2a2f8b8af3c8491)

[Fredoxx]

Bonjour !

Je reviens à la suite de ce post, car ce matin je reçois à nouveau ces alertes, mais cela inclut cette fois le fichier cleaner.php que j'ai utilisé hier.

Je pense donc que le module security pro détecte potentiellement un faux positif, sauf si Eolia est un hackeur officiant depuis des années dans l'ombre XD !

[Eolia]

cleaner contient pas mal de signatures de hack pour les reconnaitre donc c'est normal.

Ce qui compte c'est de savoir si votre site est ok ou pas.

[Fredoxx]

Mon site fonctionne parfaitement, mais je suis incapable de savoir si les fichiers indiqués contiennent un trojan, cheval ou troie ou autre hack potentiel...

Je ne sais pas ce que je dois chercher, et security pro ne fait (à priori) que de l'information...

[Eolia]

il y a 55 minutes, Fredoxx a dit :

security pro ne fait (à priori) que de l'information...

Et cleaner aussi, si vous avez des doutes demandez à un pro de vérifier ces fichiers.

[JLCH]

Bonjour, quand je fais ça : Vous pouvez créer une tache cron dans le module cronjobs 1 fois par semaine en appelant http://sitetruc.fr/xxxxxxx7f.php automatiquement et recevoir le résultat par mail.

Qui reçois l'email, quelle adresse? merci

 

J'ai trouvé cela avec imunifyAV de Cpanel sur deux sites PhenixSuite (avant de faire tourner le script cleaner.php) :

20 novembre 2023 18:54     insert_drive_file     
/home/xxx/public_html/xxx.fr/xxxxadmin/sytem/check.php
    SMW-BLKH-SA-CLOUDAV-php.bkdr.fmngr.hredi-21744-0    Infecté    
    
20 novembre 2023 18:54     insert_drive_file     
/home/xxx/public_html/xxx.fr/xxxxadmin/sytem/check.php
    SMW-BLKH-SA-CLOUDAV-php.bkdr.fmngr.hredi-21744-0    Infecté    

[Eolia]

ça, ce sont des sites où je suis allé

Ce fichier fait partie de mes outils d'intervention, vous pouvez le supprimer si vous voulez.

Pour le mail, il arrive dans la boite du superadmin qui s'est connecté en dernier.

[Hélène Siroux]

Bonjour @Eolia,

j'ai chargé cleaner.php via le ftp et j'ai entré l'url correspondant mais il ne se passe rien (j'ai juste une page 404 qui s'affiche)... Est-ce que j'ai raté une étape ?

Merci

[Eolia]

donc vous avez appelé:  https://votresite.com/cleaner.php c'est bien cela ?

cleaner.php est bien à la racine du dossier où est installé votre Prestashop ?

[JLCH]

il y a 25 minutes, JLCH a dit :

J'ai trouvé cela avec imunifyAV de Cpanel sur deux sites PhenixSuite (avant de faire tourner le script cleaner.php) :

20 novembre 2023 18:54     insert_drive_file     
/home/xxx/public_html/xxx.fr/xxxxadmin/sytem/check.php
    SMW-BLKH-SA-CLOUDAV-php.bkdr.fmngr.hredi-21744-0    Infecté    

En realité, en cherchant j'ai vu que dans PhenixSuite il n'y a pas de dossier admin/sytem/ et dans ce dossier j'ai trouvé:

adminbdd.php
bdd.php
bom.php
check.php
create.php
index.php

et dans le dossier admin il y a le fichier serverinfo.php en plus!
est-ce normal? merci

[JLCH]

il y a 28 minutes, Eolia a dit :

ça, ce sont des sites où je suis allé

Ce fichier fait partie de mes outils d'intervention, vous pouvez le supprimer si vous voulez.

Pour le mail, il arrive dans la boite du superadmin qui s'est connecté en dernier.

Oooooooouuuuuuuffffff 😉 merci

[Eolia]

il y a 2 minutes, JLCH a dit :

et dans le dossier admin il y a le fichier serverinfo.php en plus!
est-ce normal? merci

Oui et c'est une classe qui n'est pas accessible de l'extérieur mais uniquement depuis votre BO => Informations.

[Hélène Siroux]

12 minutes ago, Eolia said:

donc vous avez appelé:  https://votresite.com/cleaner.php c'est bien cela ?

cleaner.php est bien à la racine du dossier où est installé votre Prestashop ?

oui, tout à fait

[Eolia]

Ben y a forcément quelque chose qui cloche dans son emplacement si vous avez une 404...

[Hélène Siroux]

3 minutes ago, Hélène Siroux said:

oui, tout à fait

 

11 minutes ago, Hélène Siroux said:

oui, tout à fait

j'ai installé le script dans le dossier www où se trouve le prestashop et lancé l'url https://www.halle-au-tract.fr/cleaner.php

 

[Hélène Siroux]

9 minutes ago, Eolia said:

Ben y a forcément quelque chose qui cloche dans son emplacement si vous avez une 404...

oui, je vais essayer de le mettre ailleurs (pour l'instant il est bien dans le dossier www du prestahop)

 

[Eolia]

Cette url fonctionne https://www.halle-au-tract.fr/error500.html

donc mettez cleaner.php à côté du fichier error500.html 

[Hélène Siroux]

5 minutes ago, Eolia said:

Cette url fonctionne https://www.halle-au-tract.fr/error500.html

donc mettez cleaner.php à côté du fichier error500.html 

c'est ce que j'ai fait mais même résultat

est-ce que ça pourrait être causé par un pbl de rewrite mod ? J'ai vu dans le htacess que la page 404 s'affiche quand rewrite mod n'est pas dispo... j'ai un htaccess classique, les droits du fichier cleaner.php sont 705

 

[Eolia]

Quelle version de PrestaShop ? Il semblerait que le fait que vous soyez en maintenance bloque toute exécution de php

[Hélène Siroux]

2 minutes ago, Eolia said:

Quelle version de PrestaShop ? Il semblerait que le fait que vous soyez en maintenance bloque toute exécution de php

Version 1.7.1.2. j'ai retiré le mode maintenance, cela ne change rien

 

[Eolia]

On est bien d'accord que le fichier cleaner.php est celui contenu dans cette archive ?

https://devcustom.net/public/scripts/cleaner.zip

[Hélène Siroux]

5 minutes ago, Eolia said:

On est bien d'accord que le fichier cleaner.php est celui contenu dans cette archive ?

https://devcustom.net/public/scripts/cleaner.zip

oui ! le fichier que j'ai mis sur le ftp commence par <?php
/*
* Le code a été écrit pour faire face aux dernières attaques sur les boutiques Prestashop
* Original code : psmoduly.cz/openservis.cz
* Ce code est open source, distribuez-le comme vous le souhaitez.
* Est mis à jour régulièrement à mesure que de nouvelles connaissances émergent
* Copyright @eolia since 23/07/2022
* Une fois lancé, ce script sera renommé
*/

[Eolia]

Alors je ne comprends pas, je n'ai jamais vu ça et rien qui explique ce cas de figure.

Vous n'avez pas plusieurs boutiques sur votre ftp par hasard ?

[Hélène Siroux]

8 minutes ago, Eolia said:

Alors je ne comprends pas, je n'ai jamais vu ça et rien qui explique ce cas de figure.

Vous n'avez pas plusieurs boutiques sur votre ftp par hasard ?

je n'ai qu'une boutique, en revanche, j'ai aussi une sauvegarde de la boutique sur le même ftp... est-ce que ça peut jouer ?

 

[Eolia]

si cleaner est dans la sauvegarde à la place de la boutique en ligne, oui.

[Hélène Siroux]

Just now, Eolia said:

si cleaner est dans la sauvegarde à la place de la boutique en ligne, oui.

non, j'ai bien fait attention, j'ai aussi placé cleaner.php dans la sauvegarde pour tester, cela n'a rien changé

 

Just now, Eolia said:

si cleaner est dans la sauvegarde à la place de la boutique en ligne, oui.

 

[Eolia]

bah je ne sais pas et je ne peux rien tester vu que vous êtes en maintenance

 

[Hélène Siroux]

9 minutes ago, Eolia said:

bah je ne sais pas et je ne peux rien tester vu que vous êtes en maintenance

 

est-ce que vous voulez que je rajoute votre ip dans Presta pour que vous puissiez voir ? ça m'embête que les clients accèdent à la boutique

 

[Hélène Siroux]

bon, je la débloque un moment, je la remettrai en maintenance plus tard

[Eolia]

rafraichissez votre filezilla et vérifiez que cleaner est toujours là, dans le cas contraire un fichier du style 9547Jgej8dgg.php a du être créé (c'est lui qu'il faut appeler)

[Hélène Siroux]

15 hours ago, Eolia said:

rafraichissez votre filezilla et vérifiez que cleaner est toujours là, dans le cas contraire un fichier du style 9547Jgej8dgg.php a du être créé (c'est lui qu'il faut appeler)

Bonjour, ça ne marche toujours pas... J'ai testé un simple <?php
   echo 'Bonjour! Ca marche!';?> dans un fichier bonjour.php, j'obtiens le même résultat... Je ne s

[Hélène Siroux]

Just now, Hélène Siroux said:

Bonjour, ça ne marche toujours pas... J'ai testé un simple <?php
   echo 'Bonjour! Ca marche!';?> dans un fichier bonjour.php, j'obtiens le même résultat... Je ne s

oups... je ne sais pas ce qui bloque sur le site

 

[C_Ma_For]

Bonjour à tous,

Depuis ce soir et le script qui a tenté de faire une mise à jour, quand je l'execute j'arrive sur une erreur 502 bad gateway. J'ai l'impression que le script s'execute quand même car il y a bien la création d'un fichier suspicious.zip sur mon serveur...

Certains ont le même problème ?

Merci d'avance!

[Eolia]

Problème des serveurs OVH ça... On a ajouté des contrôles ce qui augmente le temps de traitement surtout si vous êtes sur une 1.7 ou supérieure.

[C_Ma_For]

Merci pour la réponse super rapide!!  Pas de poblème ovh, nous travaillons sur une config personnalisée qui est hébergée sur des serveurs gérés par notre admin. La paramétrage du temps d'execution max n'est probablement pas en cause car nous l'avons déjà beaucoup augmenté il y a quelques mois suite à des imports assez lourds. Nous sommes sur une version 1.6.1.9. Enfin dernière chose qui me fait penser que le délai d'execution n'est pas en cause, l'erreur s'affiche très vite. Quand le script fonctionnait sans problème c'était beaucoup plus long.
 

[Eolia]

Ben 502 bad gateway c'est pas un problème de perf mais d'infra / paramétrage serveur...

[C_Ma_For]

Je vais voir ca avec mon admin serveur du coup 🙂 Est ce que le fait que le fichier suspicious.zip se crée valide le fait que le script est bien executé malgré l'erreur ?

[Eolia]

Ben il s'exécute en partie mais ne termine pas son travail.

[C_Ma_For]

Avez vous la possibilité de me dire quelles ont été les modifications faites dans la version d'aujourd'hui ? Cela fonctionnait encore très bien ce matin. 

[Eolia]

lignes 1056 à 1120 pour rechercher les .htaccess modifiés et les .XXXXXX.php rajoutés

[C_Ma_For]

Merci. Nous sommes sur un serveur Nginx dont pas de htaccess. Peut être un explication de ce coté là ?

[Mathieu C.]

Bonjour,

BRAVO pour le travail fantastique que vous faites !

Depuis hiers fin de journée, l'exécution du script nous retourne cette erreur :
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
Cependant tout le reste fonctionne (prestashop, next cloud...)
Config: Debian 10 / apache 2.4.38 / Php 7.0, 7.1, fpm
Version du script : 2.0.53 (la version 2.0.49 fonctionnait)

Edited November 29, 2023 by MathieuC (see edit history)

[Eolia]

Il y a 12 heures, C_Ma_For a dit :

Merci. Nous sommes sur un serveur Nginx dont pas de htaccess. Peut être un explication de ce coté là ?

Ben si pas de .htaccess, le code ne trouvera pas ces fichiers et continuera son exécution.

[Eolia]

il y a une heure, MathieuC a dit :

Depuis hiers fin de journée, l'exécution du script nous retourne cette erreur :
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

quel est votre max_execution_time ?

[Mathieu C.]

39 minutes ago, Eolia said:

quel est votre max_execution_time ?

apache/php.ini => max_execution_time = 30
fpm/php.ini => max_execution_time = 300
cli/php.ini => max_execution_time = 30

pour info nous utilisons OpCache, mais ce fichier php en est exclu

Edited November 29, 2023 by MathieuC (see edit history)

[Mathieu C.]

5 minutes ago, MathieuC said:

apache/php.ini => max_execution_time = 30
fpm/php.ini => max_execution_time = 300
cli/php.ini => max_execution_time = 30

pour info nous utilisons OpCache, mais ce fichier php en est exclu

pour les log d'erreur..
APACHE : 
AH01067: Failed to read FastCGI header
(104)Connection reset by peer: [client 90.162.XXX.XXX:58504] AH01075: Error dispatching request to : 

[Eolia]

mettez 300 partout pour être logique.

[Mathieu C.]

4 minutes ago, Eolia said:

mettez 300 partout pour être logique.

Fait... (restart php et apache)
le probleme  persiste 😞

[Eolia]

il y a 10 minutes, MathieuC a dit :

pour info nous utilisons OpCache, mais ce fichier php en est exclu

Et pour info, l'utilisation de caches PHP est à bannir avec un Prestashop. Les caches du CMS sont suffisants, adaptés et efficaces alors que les autres entrainent des erreurs indésirables (ne se vident pas totalement ou renvoient des résultats périmés à cause de la classe Cache.php qui n'est pas bien écrite du tout).

Il faut bien comprendre que Prestashop est un CMS dynamique avec des données qui changent souvent et ce genre de cache se retrouve en décalage vu qu'ils passent plus de temps à contrôler, effacer ré-écrire ou renvoyer que si on laisse PHP générer son retour.

[Eolia]

il y a 2 minutes, MathieuC a dit :

Fait... (restart php et apache)
le probleme  persiste 😞

Ok alors on va debuguer^^

Ajoutez-ca au début de votre fichier cleaner (renommé en xxxxxxxx.php):

function postmortem() {
   $resp = http_response_code();
   if(in_array($resp,array(500,))) {
      file_put_contents(__DIR__.'/exit500.log', print_r(array(
          date('c'),
          '$_SERVER' => $_SERVER,
          'input' => file_get_contents('php://input'),
          error_get_last(),
      ), 1));
   }
}
register_shutdown_function('postmortem');

Si le script crashe, vous aurez un fichier exit500.log à la racine de votre site et la raison du crash à la fin.

[Mathieu C.]

6 minutes ago, Eolia said:

Ok alors on va debuguer^^

Ajoutez-ca au début de votre fichier cleaner (renommé en xxxxxxxx.php):

function postmortem() {
   $resp = http_response_code();
   if(in_array($resp,array(500,))) {
      file_put_contents(__DIR__.'/exit500.log', print_r(array(
          date('c'),
          '$_SERVER' => $_SERVER,
          'input' => file_get_contents('php://input'),
          error_get_last(),
      ), 1));
   }
}
register_shutdown_function('postmortem');

Si le script crashe, vous aurez un fichier exit500.log à la racine de votre site et la raison du crash à la fin.

pas de crash ni de exit500.log...

Edited November 29, 2023 by MathieuC (see edit history)

[Mathieu C.]

Quelle type de Cache CMS conseillez vous ?

[Mathieu C.]

11 minutes ago, MathieuC said:

pas de crash ni de exit500.log...

Pour info : le site de dev est en 7.1 (sur le même serveur) ... le probleme est identique

[Mediacom87]

il y a 11 minutes, MathieuC a dit :

Quelle type de Cache CMS conseillez vous ?

Perso opCache est très bien.

Ce qu'il ne faut pas utiliser ce sont tous ceux proposés par l'option Cache serveur en bas de la page Performances