arm15 Posted June 15, 2023 Share Posted June 15, 2023 Le script ne fonctionne plus, ne t'inquiète pas. Il faut juste comparer la liste des fichiers js contenu dans le répertoire /js de l'archive de votre version (1.7.8.9) et supprimer de votre site ceux qui n'ont rien à y faire. Le dossier des fichiers propre a PrestaShop se trouve en général à la racine de ton site. Link to comment Share on other sites More sharing options...
boutiquepel Posted June 22, 2023 Share Posted June 22, 2023 (edited) Salut, Donc un mois plus tard... rebelotte. J'ai chargé le dossier JS de ma sauvegarde et le hack a disparu mais le cleaner donne exactement les même résultats. Je ne comprends pas pk. Je suis en 1.7.6.7 et le hack disparait en 1.7.8.7? Je peux lancer la màj directement ou ça risque de tout planter? Edit: MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0) if (0) if (0) if (0) if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => www/classes/controller/Controller.php c'est quoi ça? Edited June 22, 2023 by boutiquepel (see edit history) Link to comment Share on other sites More sharing options...
Mediacom87 Posted June 22, 2023 Share Posted June 22, 2023 Il y a 2 heures, boutiquepel a dit : Salut, Donc un mois plus tard... rebelotte. J'ai chargé le dossier JS de ma sauvegarde et le hack a disparu mais le cleaner donne exactement les même résultats. Je ne comprends pas pk. Je suis en 1.7.6.7 et le hack disparait en 1.7.8.7? Je peux lancer la màj directement ou ça risque de tout planter? Edit: MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0) if (0) if (0) if (0) if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => www/classes/controller/Controller.php c'est quoi ça? Vous avez été piraté, vous avez effacé les conséquences du piratage, mais c'est là que le boulot commence. Identifier la faille employée et la corriger. Car piraté une fois, piraté toujours si la faille n'est pas bouchée. Link to comment Share on other sites More sharing options...
doekia Posted June 22, 2023 Share Posted June 22, 2023 Il y a 7 heures, boutiquepel a dit : MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0) if (0) if (0) if (0) if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => www/classes/controller/Controller.php Le if (0) correspond à une manière pour cleaner de corriger d'urgence un code de hacking connu. Vous avez alors eu une alerte rouge qui vous demandait de verifier/restaurer le fichier. Vous avez ici lancé 7x le cleaner sans restaurer. Pourquoi if (0) ? Parce que cela permet de rendre le hack inopérant sans en connaitre la syntaxe exacte et d'avoir un spectre de protection d'URGENCE plus large Link to comment Share on other sites More sharing options...
boutiquepel Posted June 24, 2023 Share Posted June 24, 2023 (edited) Salut, J'ai téléchargé les fichiers de la 1.7.6.7 et changé le dossier JS... Si j'efface le dossier JS, le script me donne du vert... Si je remets le dossier JS de l'archive saine, le script me donne du rouge pour tout le dossier JS. Je ne comprends pas. edit: Si ça peux aider, Bitdefender m'a trouvé ça: www\upload\b2b.php est infecté par Generic.WebShell.Z.FA7B3844 et a été placé en quarantaine. Nous vous recommandons d'effectuer une analyse du système afin de vérifier que votre système est sain. et ça: Edited June 25, 2023 by boutiquepel (see edit history) Link to comment Share on other sites More sharing options...
Leguman Posted June 29, 2023 Share Posted June 29, 2023 Suite à un mail de mon hébergeur (voir ci dessous), j'ai voulu lancer cleaner.php et j'ai ce message : La mémoire disponible sur votre serveur (128M) est insuffisante pour exécuter ce script, veuillez l'augmenter à 512 MB au minimum Que dois-je faire ? Mail de l'hébergeur : Pour information, notre anti-virus a détecté un ou plusieurs fichiers potentiellement malveillants sur votre hébergement xxxx. Liste des fichiers suspects : - /home/php-upload/php3RIjCT: phpnet.php.injectedBase64.5 - /home/php-upload/phpabXd2O: phpnet.php.injectedBase64.5 - /home/php-upload/phpavMV50: phpnet.php.injectedBase64.5 - /home/php-upload/phpFdbvTt: phpnet.php.injectedBase64.5 - /home/php-upload/phpK4TCOs: phpnet.php.injectedBase64.5 - /home/php-upload/phpMV7Szh: phpnet.php.injectedBase64.5 Link to comment Share on other sites More sharing options...
Mediacom87 Posted June 29, 2023 Share Posted June 29, 2023 il y a 3 minutes, Leguman a dit : Que dois-je faire ? Augmenter la mémoire allouée à PHP, cette procédure dépend de votre hébergeur, voyez avec lui. Link to comment Share on other sites More sharing options...
Leguman Posted June 29, 2023 Share Posted June 29, 2023 J'ai ouvert un ticket chez mon hébergeur, j’espérais pouvoir modifier cela moi même. Link to comment Share on other sites More sharing options...
Mediacom87 Posted June 29, 2023 Share Posted June 29, 2023 il y a 5 minutes, Leguman a dit : J'ai ouvert un ticket chez mon hébergeur, j’espérais pouvoir modifier cela moi même. Peut-être que cela est possible, mais comme vous ne communiquez pas l'information principale, à savoir, quel est votre hébergeur, nous ne pouvons pas vous communiquer d'éléments à ce sujet. 1 Link to comment Share on other sites More sharing options...
Leguman Posted June 29, 2023 Share Posted June 29, 2023 Pardon, c'est Nuxit, Magiconline Link to comment Share on other sites More sharing options...
Leguman Posted June 29, 2023 Share Posted June 29, 2023 Suite à l'ouverture d'un ticket, mon hébergeur me dit de réessayer, mais j'ai tjs le même message d'erreur. Link to comment Share on other sites More sharing options...
Designbyrhino Posted July 4, 2023 Share Posted July 4, 2023 Merci pour ce script @Eolia Je viens de scanner, et j'ai comparé les fichiers dans Notepad++, mais R.A.S ils matchent, je vais quand même les remplacer. 1 Link to comment Share on other sites More sharing options...
boutiquepel Posted July 4, 2023 Share Posted July 4, 2023 7 hours ago, Designbyrhino said: Merci pour ce script @Eolia Je viens de scanner, et j'ai comparé les fichiers dans Notepad++, mais R.A.S ils matchent, je vais quand même les remplacer. Salut, Cela ne fonctionnera pas... Link to comment Share on other sites More sharing options...
Designbyrhino Posted July 5, 2023 Share Posted July 5, 2023 @boutiquepel Ok je m'en doutais, et je n'ai rien fait. Link to comment Share on other sites More sharing options...
los Posted October 2, 2023 Share Posted October 2, 2023 (edited) Le 13/06/2023 à 1:11 PM, Eolia a dit : Comparez la liste des fichiers js contenu dans le répertoire /js de l'archive de votre version (1.7.8.9) et supprimez de votre site ceux qui n'ont rien à y faire. Les fichiers sont en rouge car il comportent des fonctions sensibles. Et concernant le support pour les versions 1.7 et supérieures, Prestashop faisant tout son possible pour supprimer les liens vers les anciennes versions et ayant autre chose à faire je n'en assure plus le suivi. Bonjour, Je viens d'avoir l'agréable surprise que Prestashop a rétabli l'accès aux anciennes versions (1.7). Serait-il possible de vous aider ou participer à la réintégration du suivi de ces versions sur votre cleaner ? S'il vous plaîthttps://prestashop.fr/versions/ Merci d'avance, Cordialement, Los Edited October 2, 2023 by los (see edit history) Link to comment Share on other sites More sharing options...
Roger66 Posted October 4, 2023 Share Posted October 4, 2023 Bonjour, merci infiniment pour ce script. Victime de la fausse page PayPal, j'ai lancé un scan sur ma boutique. Quelques lignes rouges sur lesquelles j'ai commencé à intervenir. Problème toutefois, lorsque je restaure la version d'origine sur certains fichiers les pages d'accueil FO et BO sont vierges, sans affichage de code d'erreur... C'est le cas notamment et par exemple pour /tools/smarty/sysplugins/smarty_cacheresource.php (en rouge) mais également /classes/Hook.php (en orange). Je n'ai rien vu sur la discussion à ce sujet... que puis-je faire pour pallier ce problème ? cordialement. Link to comment Share on other sites More sharing options...
Eolia Posted October 4, 2023 Author Share Posted October 4, 2023 si vous êtes sur une version 1.7 il faut vider les caches après chaque modif Link to comment Share on other sites More sharing options...
Roger66 Posted October 4, 2023 Share Posted October 4, 2023 Merci, pardon je n'ai pas précisé version 1.6.1.23 Link to comment Share on other sites More sharing options...
Eolia Posted October 4, 2023 Author Share Posted October 4, 2023 Il faut vider le cache aussi. Link to comment Share on other sites More sharing options...
Roger66 Posted October 4, 2023 Share Posted October 4, 2023 N'ayant pas accès au BO, pouvez-vous me préciser quels fichiers supprimer ? la suppression du seul /cache/class_index.php ne suffit visiblement pas Link to comment Share on other sites More sharing options...
Eolia Posted October 4, 2023 Author Share Posted October 4, 2023 Envoyez-moi un accès ftp en Message Privé Link to comment Share on other sites More sharing options...
Jofrey Posted October 16, 2023 Share Posted October 16, 2023 Holà à tous ! Nous avons été piraté il y'a de cela quelques mois... Blocage de nos accès et mise en place d'une page de paiement... nous avons fait appel à l'aide... enfin bref... le scirpt nous a bien aidé.... idem que les autres (page de paiement frauduleuse et ''dégueulasse" dans le. panier sans même prendre la peine de faire bien... Notre template fait cependant très bien le job en éclatant le menu pour créer une page blanche lors de ces attaques... Mais les clients ne sont pas content de ne pas pouvoir commander quand cela arrive... Cela veux dire qu'il reste quelque part du code... et je n'ai plus le temps en ce moment de me concentré sur cette partie donc de. temps en temps je fais un script et ces derniers temps comme pour les. autres j'ai cette info qui remonte systèmathiquement... J'utilise donc souvent le script et merci encore 10000 fois (je l'ai déjà fait dans d'autres posts) ahah Cependant en suivant ce forum, j'ai cru comprendre que cela ne servait plus à rien ? Voici le fichier qu'il extrait à. la suite du script. Au cas ou si quelqu'un vois ce message merci. par avance Link to comment Share on other sites More sharing options...
skur2000 Posted October 27, 2023 Share Posted October 27, 2023 On 10/4/2023 at 5:02 PM, Eolia said: Envoyez-moi un accès ftp en Message Privé this cleaner script work for old version prestashop ? example - prestashop 1.5.6 and php 5.4 ? Link to comment Share on other sites More sharing options...
Eolia Posted October 27, 2023 Author Share Posted October 27, 2023 il y a 36 minutes, skur2000 a dit : this cleaner script work for old version prestashop ? example - prestashop 1.5.6 and php 5.4 ? Yes Link to comment Share on other sites More sharing options...
skur2000 Posted October 27, 2023 Share Posted October 27, 2023 13 minutes ago, Eolia said: Yes 500 error - for link and page after start cleaner, cleaner.php go /7ef1a3be9440.php, but have 500. site work, may be version php(5.4) not work Link to comment Share on other sites More sharing options...
Eolia Posted October 27, 2023 Author Share Posted October 27, 2023 Change @ini_set('display_errors', 0); to @ini_set('display_errors', 1); on line 20 of 7ef1a3be9440.php Link to comment Share on other sites More sharing options...
skur2000 Posted October 27, 2023 Share Posted October 27, 2023 12 minutes ago, Eolia said: Change @ini_set('display_errors', 0); to @ini_set('display_errors', 1); on line 20 of 7ef1a3be9440.php 13 minutes ago, Eolia said: Change @ini_set('display_errors', 0); to @ini_set('display_errors', 1); on line 20 of 7ef1a3be9440.php no error, only 500. may be at hosting off errors Link to comment Share on other sites More sharing options...
boutiquepel Posted October 30, 2023 Share Posted October 30, 2023 Salut à tous, Juste pour vous dire qu'en passant en 1.7.8.9, il n'y a plus de problème.... Link to comment Share on other sites More sharing options...
Olliver54 Posted October 30, 2023 Share Posted October 30, 2023 Bonjour, J'ai été piraté hier sur la page de paiement (cela s'est déjà produit plusieurs fois cette année) eolia m'avait donné un script il y a plusieurs mois que j'ai lancé hier soir, le problème semble résolu sur la boutique en front, cependant il y a un problème qui persiste dans le bo, car je ne peux plus accéder à mes modules. Lorsque je clique sur "Modules et Services" j'ai une page blanche avec ce message : [PrestaShop] Fatal error in module file :/home/gueumgne/public_html/modules/arlsf/arlsf.php: Uncaught Error: Class 'ArLsfFakeConfigForm' not found in /home/gueumgne/public_html/modules/arlsf/arlsf.php:70 Stack trace: #0 [internal function]: ArLsf->__construct() #1 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(124): ReflectionClass->newInstance() #2 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(157): Core_Foundation_IoC_Container->makeInstanceFromClassName('arlsf', Array) #3 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(170): Core_Foundation_IoC_Container->doMake('arlsf', Array) #4 /home/gueumgne/public_html/Adapter/Adapter_ServiceLocator.php(52): Core_Foundation_IoC_Container->make('arlsf') #5 /home/gueumgne/public_html/classes/module/Module.php(1142): Adapter_ServiceLocator::get('arlsf') #6 /home/gueumgne/public_html/classes/module/Module.php(1107): ModuleCore::coreLoadModule('arlsf') #7 /home/gueumgne/public_html/classes/module/Module.php(1841): ModuleCore::getInstanceByName('arlsf') #8 /home/gu j'ai aussi le résultat du script ( je ne sais pas si je peux le poster ici ? ) j'ai cette phrase en rouge : MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0) if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => public_html/classes/controller/Controller.php Je ne sais pas quoi faire... Peut être tout simplement supprimer le module arlsf ? pourriez vous m'aider svp ? Merci beaucoup. Link to comment Share on other sites More sharing options...
Mediacom87 Posted October 30, 2023 Share Posted October 30, 2023 Il y a 2 heures, Olliver54 a dit : Bonjour, J'ai été piraté hier sur la page de paiement (cela s'est déjà produit plusieurs fois cette année) eolia m'avait donné un script il y a plusieurs mois que j'ai lancé hier soir, le problème semble résolu sur la boutique en front, cependant il y a un problème qui persiste dans le bo, car je ne peux plus accéder à mes modules. Lorsque je clique sur "Modules et Services" j'ai une page blanche avec ce message : [PrestaShop] Fatal error in module file :/home/gueumgne/public_html/modules/arlsf/arlsf.php: Uncaught Error: Class 'ArLsfFakeConfigForm' not found in /home/gueumgne/public_html/modules/arlsf/arlsf.php:70 Stack trace: #0 [internal function]: ArLsf->__construct() #1 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(124): ReflectionClass->newInstance() #2 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(157): Core_Foundation_IoC_Container->makeInstanceFromClassName('arlsf', Array) #3 /home/gueumgne/public_html/Core/Foundation/IoC/Core_Foundation_IoC_Container.php(170): Core_Foundation_IoC_Container->doMake('arlsf', Array) #4 /home/gueumgne/public_html/Adapter/Adapter_ServiceLocator.php(52): Core_Foundation_IoC_Container->make('arlsf') #5 /home/gueumgne/public_html/classes/module/Module.php(1142): Adapter_ServiceLocator::get('arlsf') #6 /home/gueumgne/public_html/classes/module/Module.php(1107): ModuleCore::coreLoadModule('arlsf') #7 /home/gueumgne/public_html/classes/module/Module.php(1841): ModuleCore::getInstanceByName('arlsf') #8 /home/gu j'ai aussi le résultat du script ( je ne sais pas si je peux le poster ici ? ) j'ai cette phrase en rouge : MD5 INTEGRITY >>>> Ligne modifiée: if (0) if (0) if (0) if (0) if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => public_html/classes/controller/Controller.php Je ne sais pas quoi faire... Peut être tout simplement supprimer le module arlsf ? pourriez vous m'aider svp ? Merci beaucoup. Bonjour, Le module d'Eolia nettoie le hack dans sa grande majorité, mais il ne corrige pas la faille qui a permis ce hack. Donc, si vous n'effectuez pas les corrections le hack va revenir régulièrement, car un site identifié comme hacké le sera indéfiniment. Link to comment Share on other sites More sharing options...
Vas69 Posted November 6, 2023 Share Posted November 6, 2023 (edited) Bonjour, Suite à une maj de module qui plantait, j'ai appris que j'avais été piraté. J'ai donc désactivé le cache, supprimé tous les modules douteux, ainsi que les fichiers qui semblaient infectés (merci à l'outil cleaner.ph d' Eolia). Par contre, il me reste quelques alertes que je n'arrive pas résoudre. La première concerne le fichier produc.php, malgré mes tentatives pour réinstallé le fichier d'origine, celui-ci s'affiche toujours la mention MD5 SECURITY, mais je ne trouve pas le même bout de code malicieux que j'avais trouvé dans les autres fichiers remplacés depuis. Du coup, je ne sais pas si le fichier est infecté ou éventuellement modifié par un autre module pour une bonne raison La seconde concerne des fichiers (Ps_accounts561AdminContainer.php, Ps_accounts561FrontContainer.php, Ps_checkout6350AdminContainer, Ps_checkout6350FrontContainer.php) apparaissant dans le dossier cache et comme leurs noms et le code l'indique en rapport avec les modules PSAccount et PSCheckout. Là encore je ne sais pas si ces fichiers sont légitimes ou signe que l'infection est toujours là... Si vous avez une idée, je suis preneur, merci ! 😊 Ps_accounts561AdminContainer.zip product.php.zip Edited November 6, 2023 by Vas69 (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted November 6, 2023 Author Share Posted November 6, 2023 Les fichiers ajoutés visibles sur votre capture ne sont pas dangereux, pour le fichier product.php, je ne connais pas votre version donc difficile de faire un diff avec la version officielle. Link to comment Share on other sites More sharing options...
Vas69 Posted November 6, 2023 Share Posted November 6, 2023 Merci Eolia ! Ce soir, je m'endormirai l'esprit un peu plus léger grâce à ta réponse... 🙂 Sinon ma version de PS est une bonne vieille 1.6.1.23 Link to comment Share on other sites More sharing options...
OUTPOST Posted November 7, 2023 Share Posted November 7, 2023 Hello, Je vien de decouvir ce script très cool, j'ai lancer par curiosité et j'ai rien eu de grave mais par contre depuis l'affichage des commande est dégradé, une idée ? Merci Link to comment Share on other sites More sharing options...
Eolia Posted November 7, 2023 Author Share Posted November 7, 2023 Le script ne modifie pas votre boutique. Là il semblerait que quelque chose bloque le chargement de votre css, ouvrez votre console pour en savoir plus (F12) Link to comment Share on other sites More sharing options...
OUTPOST Posted November 7, 2023 Share Posted November 7, 2023 Hello, tout etait nickel avant de lancer le teste. Voici les erreurs, j'ai re installer le module checkout pour voir mais pareille. Merci Link to comment Share on other sites More sharing options...
Eolia Posted November 7, 2023 Author Share Posted November 7, 2023 activez le mode debug, vous avez une erreur 500 Link to comment Share on other sites More sharing options...
OUTPOST Posted November 7, 2023 Share Posted November 7, 2023 (edited) Ah zut je pensait qu'il était déjà activé, c'etait le module Amazon. Re installer et c'est bon, cleaner aurai supprimer un fichier du module amazon ? Merci Edited November 7, 2023 by OUTPOST (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted November 7, 2023 Author Share Posted November 7, 2023 Il faudrait regarder le contenu du zip créé à la base de votre hébergement (1ère date) Link to comment Share on other sites More sharing options...
OUTPOST Posted November 8, 2023 Share Posted November 8, 2023 Décidément je devrais être moins curieux, j'ai que des bugs depuis avoir lancé le script hier, j'ai un autre message d'erreur depuis hier après avoir re installer Amazon et j'ai aussi le module ps_checkout qui ne marche pas en front-office même après avoir re installer le module hier. Je me disais j'ai plus de commande depuis hier soir 😞 Ce qui se trouvre dans le fichier ZIP ce sont des fichiers qu'il a supprimer ou modifier ? si je remet tout je reviens comme avant ? Il faudrait peut-être mettre une étape avant de tout modifier ou supprimé, un bouton pour validé ou pas, je voulais juste voir si j'avais des fichiers hacker. 🙂 Link to comment Share on other sites More sharing options...
Eolia Posted November 8, 2023 Author Share Posted November 8, 2023 il y a 18 minutes, OUTPOST a dit : Ce qui se trouvre dans le fichier ZIP ce sont des fichiers qu'il a supprimer ou modifier ? si je remet tout je reviens comme avant ? Oui Link to comment Share on other sites More sharing options...
Jofrey Posted November 17, 2023 Share Posted November 17, 2023 On 10/16/2023 at 6:24 PM, Jofrey said: Holà à tous ! Nous avons été piraté il y'a de cela quelques mois... Blocage de nos accès et mise en place d'une page de paiement... nous avons fait appel à l'aide... enfin bref... le scirpt nous a bien aidé.... idem que les autres (page de paiement frauduleuse et ''dégueulasse" dans le. panier sans même prendre la peine de faire bien... Notre template fait cependant très bien le job en éclatant le menu pour créer une page blanche lors de ces attaques... Mais les clients ne sont pas content de ne pas pouvoir commander quand cela arrive... Cela veux dire qu'il reste quelque part du code... et je n'ai plus le temps en ce moment de me concentré sur cette partie donc de. temps en temps je fais un script et ces derniers temps comme pour les. autres j'ai cette info qui remonte systèmathiquement... J'utilise donc souvent le script et merci encore 10000 fois (je l'ai déjà fait dans d'autres posts) ahah Cependant en suivant ce forum, j'ai cru comprendre que cela ne servait plus à rien ? Voici le fichier qu'il extrait à. la suite du script. Au cas ou si quelqu'un vois ce message merci. par avance Hello ! Un petit Up car pas eu de réponse mais cette semaine ENCORE la page de paiement est apparu et cette fois-ci voici la nouvelle capture : j'en peu plus... le script efface la page de hack mais j'arrive plus à comprendre d'ou ça peux revenir et provenir... Help ! Je viens également de modifier tous les mots de passe employés / FTP / et Base de données pour être bien sur que déjà ce n'est pas cela qui pose problème en soit... Merci de vos réponses Link to comment Share on other sites More sharing options...
Eolia Posted November 17, 2023 Author Share Posted November 17, 2023 Le script efface / corrige ce qu'il peut mais vous devez analyser la liste des fichiers suspects qu'il a trouvé. Ensuite il faut restaurer les fichier d'origine (pour ceux qui ont été modifiés) et supprimer ceux qui ont été trouvé en plus et qui n'ont rien à faire là. Link to comment Share on other sites More sharing options...
Jofrey Posted November 17, 2023 Share Posted November 17, 2023 11 minutes ago, Eolia said: Le script efface / corrige ce qu'il peut mais vous devez analyser la liste des fichiers suspects qu'il a trouvé. Ensuite il faut restaurer les fichier d'origine (pour ceux qui ont été modifiés) et supprimer ceux qui ont été trouvé en plus et qui n'ont rien à faire là. Mais la je suis totalement désemparé mon site met error 550 une fois sur deux mon site mobile ne fonctionne plus après le nettoyage je vous envoi un mp 😮💨 Link to comment Share on other sites More sharing options...
Fredoxx Posted November 21, 2023 Share Posted November 21, 2023 Bonjour, J'ai également eu des alertes de sécurité suite à des mises à jour hier de modules (je suis sur PS 1.7.8.10) J'ai donc lancé le cleaner.php, qui fonctionne parfaitement un grand merci Eolia tout est vert/orange. En revanche les quelques fichiers restants qui posent problème (les alertes que j'ai reçu) sont étonnamment des modules de renom, (mondial relay / prestasblog /security pro etc.) mais aussi "csoft" je ne sais pas ce que c'est. Sauriez-vous ce que je dois chercher dans ces fichiers php ? j'ai essayé de retrouver les lignes indiquées plus en amont, mais je ne les trouve pas, serait-ce bon signe ? Bonne journée Fred Link to comment Share on other sites More sharing options...
Eolia Posted November 21, 2023 Author Share Posted November 21, 2023 Quel type d'alertes avez vous reçu et qui vous les a envoyé ? Link to comment Share on other sites More sharing options...
Fredoxx Posted November 21, 2023 Share Posted November 21, 2023 J'ai eu des alertes envoyées directement de mon site via le module security pro justement qui scanne tous les jours. Enfin je suppose que c'est lui qui me les a envoyé, car il est sensé le faire quand il détecte quelque chose ! La liste exhaustive reçue est la suivante : "Alerte de sécurité: Analyse des logiciels malveillants" Code malveillant trouvé sur votre serveur. Voir le chemin d'accès complet aux fichiers ci-dessous : - /public_html/modules/dynamicproduct/classes/factory/DynamicFieldFactory.php" (dd7824222fcbb10908f6ea55c2cc687c7f08b306) - /public_html/modules/prestablog/prestablog.php" (e3f2cc60ef08f3bb61b7f174f07736955d2ac141) - /public_html/modules/csoft_phpunit/csoft_phpunit.php" (48b6b1ef5e3ef52cb338f0a02d5a194f85cc7f94) - /public_html/modules/crazyelements/includes/settings/settings-page.php" (a6193d91818d4bb749b161d0bfffc62e35f794c6) - /public_html/modules/mondialrelay/classes/services/MondialrelayService.php" (8285850654e6d822d91b77066ca69187f7f4d930) - /public_html/modules/autoupgrade/upgrade/upgrade.php" (9e7a2e57082fcf672e9bc855e2a2f8b8af3c8491) Link to comment Share on other sites More sharing options...
Fredoxx Posted November 22, 2023 Share Posted November 22, 2023 Bonjour ! Je reviens à la suite de ce post, car ce matin je reçois à nouveau ces alertes, mais cela inclut cette fois le fichier cleaner.php que j'ai utilisé hier. Je pense donc que le module security pro détecte potentiellement un faux positif, sauf si Eolia est un hackeur officiant depuis des années dans l'ombre XD ! Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 cleaner contient pas mal de signatures de hack pour les reconnaitre donc c'est normal. Ce qui compte c'est de savoir si votre site est ok ou pas. Link to comment Share on other sites More sharing options...
Fredoxx Posted November 22, 2023 Share Posted November 22, 2023 Mon site fonctionne parfaitement, mais je suis incapable de savoir si les fichiers indiqués contiennent un trojan, cheval ou troie ou autre hack potentiel... Je ne sais pas ce que je dois chercher, et security pro ne fait (à priori) que de l'information... Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 il y a 55 minutes, Fredoxx a dit : security pro ne fait (à priori) que de l'information... Et cleaner aussi, si vous avez des doutes demandez à un pro de vérifier ces fichiers. Link to comment Share on other sites More sharing options...
JLCH Posted November 22, 2023 Share Posted November 22, 2023 Bonjour, quand je fais ça : Vous pouvez créer une tache cron dans le module cronjobs 1 fois par semaine en appelant http://sitetruc.fr/xxxxxxx7f.php automatiquement et recevoir le résultat par mail. Qui reçois l'email, quelle adresse? merci J'ai trouvé cela avec imunifyAV de Cpanel sur deux sites PhenixSuite (avant de faire tourner le script cleaner.php) : 20 novembre 2023 18:54 insert_drive_file /home/xxx/public_html/xxx.fr/xxxxadmin/sytem/check.php SMW-BLKH-SA-CLOUDAV-php.bkdr.fmngr.hredi-21744-0 Infecté 20 novembre 2023 18:54 insert_drive_file /home/xxx/public_html/xxx.fr/xxxxadmin/sytem/check.php SMW-BLKH-SA-CLOUDAV-php.bkdr.fmngr.hredi-21744-0 Infecté Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 ça, ce sont des sites où je suis allé Ce fichier fait partie de mes outils d'intervention, vous pouvez le supprimer si vous voulez. Pour le mail, il arrive dans la boite du superadmin qui s'est connecté en dernier. Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 Bonjour @Eolia, j'ai chargé cleaner.php via le ftp et j'ai entré l'url correspondant mais il ne se passe rien (j'ai juste une page 404 qui s'affiche)... Est-ce que j'ai raté une étape ? Merci Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 donc vous avez appelé: https://votresite.com/cleaner.php c'est bien cela ? cleaner.php est bien à la racine du dossier où est installé votre Prestashop ? Link to comment Share on other sites More sharing options...
JLCH Posted November 22, 2023 Share Posted November 22, 2023 il y a 25 minutes, JLCH a dit : J'ai trouvé cela avec imunifyAV de Cpanel sur deux sites PhenixSuite (avant de faire tourner le script cleaner.php) : 20 novembre 2023 18:54 insert_drive_file /home/xxx/public_html/xxx.fr/xxxxadmin/sytem/check.php SMW-BLKH-SA-CLOUDAV-php.bkdr.fmngr.hredi-21744-0 Infecté En realité, en cherchant j'ai vu que dans PhenixSuite il n'y a pas de dossier admin/sytem/ et dans ce dossier j'ai trouvé: adminbdd.php bdd.php bom.php check.php create.php index.php et dans le dossier admin il y a le fichier serverinfo.php en plus! est-ce normal? merci Link to comment Share on other sites More sharing options...
JLCH Posted November 22, 2023 Share Posted November 22, 2023 il y a 28 minutes, Eolia a dit : ça, ce sont des sites où je suis allé Ce fichier fait partie de mes outils d'intervention, vous pouvez le supprimer si vous voulez. Pour le mail, il arrive dans la boite du superadmin qui s'est connecté en dernier. Oooooooouuuuuuuffffff 😉 merci Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 il y a 2 minutes, JLCH a dit : et dans le dossier admin il y a le fichier serverinfo.php en plus! est-ce normal? merci Oui et c'est une classe qui n'est pas accessible de l'extérieur mais uniquement depuis votre BO => Informations. Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 12 minutes ago, Eolia said: donc vous avez appelé: https://votresite.com/cleaner.php c'est bien cela ? cleaner.php est bien à la racine du dossier où est installé votre Prestashop ? oui, tout à fait Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 Ben y a forcément quelque chose qui cloche dans son emplacement si vous avez une 404... Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 3 minutes ago, Hélène Siroux said: oui, tout à fait 11 minutes ago, Hélène Siroux said: oui, tout à fait j'ai installé le script dans le dossier www où se trouve le prestashop et lancé l'url https://www.halle-au-tract.fr/cleaner.php Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 9 minutes ago, Eolia said: Ben y a forcément quelque chose qui cloche dans son emplacement si vous avez une 404... oui, je vais essayer de le mettre ailleurs (pour l'instant il est bien dans le dossier www du prestahop) Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 Cette url fonctionne https://www.halle-au-tract.fr/error500.html donc mettez cleaner.php à côté du fichier error500.html Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 5 minutes ago, Eolia said: Cette url fonctionne https://www.halle-au-tract.fr/error500.html donc mettez cleaner.php à côté du fichier error500.html c'est ce que j'ai fait mais même résultat est-ce que ça pourrait être causé par un pbl de rewrite mod ? J'ai vu dans le htacess que la page 404 s'affiche quand rewrite mod n'est pas dispo... j'ai un htaccess classique, les droits du fichier cleaner.php sont 705 Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 Quelle version de PrestaShop ? Il semblerait que le fait que vous soyez en maintenance bloque toute exécution de php Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 2 minutes ago, Eolia said: Quelle version de PrestaShop ? Il semblerait que le fait que vous soyez en maintenance bloque toute exécution de php Version 1.7.1.2. j'ai retiré le mode maintenance, cela ne change rien Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 On est bien d'accord que le fichier cleaner.php est celui contenu dans cette archive ? https://devcustom.net/public/scripts/cleaner.zip Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 5 minutes ago, Eolia said: On est bien d'accord que le fichier cleaner.php est celui contenu dans cette archive ? https://devcustom.net/public/scripts/cleaner.zip oui ! le fichier que j'ai mis sur le ftp commence par <?php /* * Le code a été écrit pour faire face aux dernières attaques sur les boutiques Prestashop * Original code : psmoduly.cz/openservis.cz * Ce code est open source, distribuez-le comme vous le souhaitez. * Est mis à jour régulièrement à mesure que de nouvelles connaissances émergent * Copyright @eolia since 23/07/2022 * Une fois lancé, ce script sera renommé */ Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 Alors je ne comprends pas, je n'ai jamais vu ça et rien qui explique ce cas de figure. Vous n'avez pas plusieurs boutiques sur votre ftp par hasard ? Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 8 minutes ago, Eolia said: Alors je ne comprends pas, je n'ai jamais vu ça et rien qui explique ce cas de figure. Vous n'avez pas plusieurs boutiques sur votre ftp par hasard ? je n'ai qu'une boutique, en revanche, j'ai aussi une sauvegarde de la boutique sur le même ftp... est-ce que ça peut jouer ? Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 si cleaner est dans la sauvegarde à la place de la boutique en ligne, oui. Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 Just now, Eolia said: si cleaner est dans la sauvegarde à la place de la boutique en ligne, oui. non, j'ai bien fait attention, j'ai aussi placé cleaner.php dans la sauvegarde pour tester, cela n'a rien changé Just now, Eolia said: si cleaner est dans la sauvegarde à la place de la boutique en ligne, oui. Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 bah je ne sais pas et je ne peux rien tester vu que vous êtes en maintenance Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 9 minutes ago, Eolia said: bah je ne sais pas et je ne peux rien tester vu que vous êtes en maintenance est-ce que vous voulez que je rajoute votre ip dans Presta pour que vous puissiez voir ? ça m'embête que les clients accèdent à la boutique Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 22, 2023 Share Posted November 22, 2023 bon, je la débloque un moment, je la remettrai en maintenance plus tard Link to comment Share on other sites More sharing options...
Eolia Posted November 22, 2023 Author Share Posted November 22, 2023 rafraichissez votre filezilla et vérifiez que cleaner est toujours là, dans le cas contraire un fichier du style 9547Jgej8dgg.php a du être créé (c'est lui qu'il faut appeler) Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 23, 2023 Share Posted November 23, 2023 15 hours ago, Eolia said: rafraichissez votre filezilla et vérifiez que cleaner est toujours là, dans le cas contraire un fichier du style 9547Jgej8dgg.php a du être créé (c'est lui qu'il faut appeler) Bonjour, ça ne marche toujours pas... J'ai testé un simple <?php echo 'Bonjour! Ca marche!';?> dans un fichier bonjour.php, j'obtiens le même résultat... Je ne s Link to comment Share on other sites More sharing options...
Hélène Siroux Posted November 23, 2023 Share Posted November 23, 2023 Just now, Hélène Siroux said: Bonjour, ça ne marche toujours pas... J'ai testé un simple <?php echo 'Bonjour! Ca marche!';?> dans un fichier bonjour.php, j'obtiens le même résultat... Je ne s oups... je ne sais pas ce qui bloque sur le site Link to comment Share on other sites More sharing options...
Recommended Posts