Fahmid Posted October 22 Share Posted October 22 (edited) Thank you @Eolia. I loved your help. You are nice and knowladgeable. I restored /classes /controllers /tools . Also I attached the update report. I have a question. Before i did those my website infected with fake payment gatway injected by hacker. Will this problem solve now? or I have to do anything else? Please guide me. Edited October 24 by Fahmid (see edit history) Link to comment Share on other sites More sharing options...
Nickz Posted October 22 Share Posted October 22 1 minute ago, Fahmid said: Will this problem solve now? That'd depend on having the entrance hole closed shut or not. Link to comment Share on other sites More sharing options...
Eolia Posted October 22 Author Share Posted October 22 Check this file from the original one Restore this files Delete the module Gamification from your BO (this module is useless) And CHANGE ALL EMPLOYEES PASSWORDS ! Link to comment Share on other sites More sharing options...
Fahmid Posted October 23 Share Posted October 23 (edited) @Eolia I have redtored those Controlling JS scripts: which are red warnings form the ps version 1.6.1.4 and then restart the script again. but red warings are there yet. What can I do now? Edited October 24 by Fahmid (see edit history) Link to comment Share on other sites More sharing options...
Fahmid Posted October 23 Share Posted October 23 @Nickz How can I understand entrance hole closed shut or not ? Link to comment Share on other sites More sharing options...
Eolia Posted October 23 Author Share Posted October 23 Il y a 3 heures, Fahmid a dit : @Eolia I have redtored those Controlling JS scripts: which are red warnings form the ps version 1.6.1.4 and then restart the script again. but red warings are there yet. What can I do now? FireShot Capture 033.pdf 3.18 Mo · 0 downloads Hum... i don't know if your site is really on 1.6.1.4 version (sometimes files/versions are not correct if an old upgrade has failed) Link to comment Share on other sites More sharing options...
Nickz Posted October 23 Share Posted October 23 7 hours ago, Fahmid said: How can I understand entrance hole closed shut or not ? in a hack there are several entrances. Those need to be closed. If someone has got hold of your passwords, you need to change those plus the loginpage needs to move. Its a module than you need to find their way to enter your shop. Its the hosting, than you need to move. Link to comment Share on other sites More sharing options...
AcidLava Posted October 23 Share Posted October 23 On 10/15/2024 at 3:20 PM, Eolia said: A priori c'est votre système qui a été infecté. Redémarrez complètement votre machine. Bonjour Eolia, aujourd'hui et après 1 semaine sans aucun problème, le site a de nouveau été infecté. Quand vous disiez que le système a été infecté, cela signifie-t-il que ce hack serait indépendant de Prestashop ? Link to comment Share on other sites More sharing options...
Eolia Posted October 23 Author Share Posted October 23 Infections possibles: - Autre cms non-protégé sur le même hébergement (Presta, WordPress ou autre) - Vol des identifiants employés (le hacker se logue à la place d'un employé et installe un module qui lui sert à naviguer sur le ftp et déposer ses infections puis supprime le module) - Module externe non sécurisé (Cleaner vous donne une liste des modules à contrôler utilisant des fonctions sensibles) - Infection non détectée car n'utilisant pas de code spécialement dangereux à priori mais ajoutée dans un module - Virus sur votre PC qui récupère vos mots de passe (hébergeur, ftp, etc...) lorsque vous les entrez au clavier - etc... Link to comment Share on other sites More sharing options...
AcidLava Posted October 29 Share Posted October 29 @Eolia Comment expliquer que j'ai toujours une erreur 403 en accédant à cleaner.php alors que index.php et le .htaccess sont ok (à la racine) ? Est-ce que d'autres fichiers à d'autres niveaux de l'arborescence peuvent avoir un impact ? Link to comment Share on other sites More sharing options...
AcidLava Posted October 29 Share Posted October 29 EDIT : J'ai trouvé un .htaccess corrompu à la racine même de l'hébergement, donc 2 niveaux avant mon Prestashop production. Maintenant que je l'ai mis à jour, je peux bien accéder à cleaner.php mais j'obtiens l'erreur suivante : Ce script doit être placé à la racine de votre site (là où est installé votre Prestahop sur votre ftp) et nulle part ailleurs Pourtant cleaner.php est bien à la racine de mon Prestashop prod. Link to comment Share on other sites More sharing options...
Eolia Posted October 29 Author Share Posted October 29 Cleaner cherche le fichier init.php à la racine du site, ce fichier doit manquer chez vous (et ce n'est pas normal) Link to comment Share on other sites More sharing options...
Essemme_Forniture Posted November 12 Share Posted November 12 On 12/23/2022 at 3:26 PM, Mediacom87 said: Utiliser un module comme https://www.prestatoolbox.fr/modules-gratuits/115-crontab.html Créer une nouvelle tâche cron sur le serveur concerné Passer par un service de type webcron comme easycron Salut les gars, je me bats avec ce hacker depuis presque un an maintenant et je n'ai toujours pas réussi à le tenir à l'écart... cependant, quelqu'un peut-il me dire comment recevoir un email lorsque le cronjob a détecté quelque chose mauvais? parce qu'en utilisant easycron, je n'obtiens rien. Merci Link to comment Share on other sites More sharing options...
Mediacom87 Posted November 12 Share Posted November 12 Il y a 2 heures, Essemme_Forniture a dit : Salut les gars, je me bats avec ce hacker depuis presque un an maintenant et je n'ai toujours pas réussi à le tenir à l'écart... cependant, quelqu'un peut-il me dire comment recevoir un email lorsque le cronjob a détecté quelque chose mauvais? parce qu'en utilisant easycron, je n'obtiens rien. Merci Le script Cleaner envoie un rapport à chaque lancement à l'email de la boutique. Link to comment Share on other sites More sharing options...
Eolia Posted November 12 Author Share Posted November 12 (edited) il y a 7 minutes, Mediacom87 a dit : Le script Cleaner envoie un rapport à chaque lancement à l'email de la boutique. Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté. Edited November 12 by Eolia (see edit history) Link to comment Share on other sites More sharing options...
Mediacom87 Posted November 12 Share Posted November 12 il y a 22 minutes, Eolia a dit : Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté. Merci pour cette précision. Link to comment Share on other sites More sharing options...
Essemme_Forniture Posted November 13 Share Posted November 13 On 11/12/2024 at 4:41 PM, Eolia said: Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté. Je n'avais qu'un superadmin, dois-je donc en créer un spécifiquement pour AMDIN ? Merci Link to comment Share on other sites More sharing options...
Eolia Posted November 13 Author Share Posted November 13 Non un superadmin est admin Si vous êtes chez OVH les mails ne partent pas en tâche Cron, je ne cherche même plus à savoir pourquoi... Link to comment Share on other sites More sharing options...
Essemme_Forniture Posted November 14 Share Posted November 14 14 hours ago, Eolia said: Non un superadmin est admin Si vous êtes chez OVH les mails ne partent pas en tâche Cron, je ne cherche même plus à savoir pourquoi... eheheh non non pas OVH, jamais de la vie par contre ils ne viennent même pas du mien malheureusement, j'ai cru devoir activer certaines choses moi-même. Merci Link to comment Share on other sites More sharing options...
Jrbzh Posted November 14 Share Posted November 14 (edited) Bonjour, j'ai un de mes sites qui est attaqué (Merci cleaner pour la suppresion de la menace ) Merci beaucoup @Eolia Par contre j'ai plein de fichier JS en rouge et pas mal de fichier en orange. Je ne sais pas trop par quoi commencer Edit : du coup j'ai recherché base64 via ssh et je les tous remplacé Du coup j'ai remplacé les fichier JS aussi mais c'est toujours pareil Pour les fichiers en Orange je ne sais pas quoi faire Merci Edited November 15 by Jrbzh (see edit history) Link to comment Share on other sites More sharing options...
Mediacom87 Posted November 15 Share Posted November 15 Il y a 11 heures, Jrbzh a dit : Edit : du coup j'ai recherché base64 via ssh et je les tous remplacé Du coup j'ai remplacé les fichier JS aussi mais c'est toujours pareil J'espère que ces fichiers d'origine n'ont pas besoin de ce genre de code. Il y a 11 heures, Jrbzh a dit : Pour les fichiers en Orange je ne sais pas quoi faire Cela dépend des fichiers, du code, de leur différence par rapport à l'origine. Dans tous les cas, le problème, c'est de boucher la faille de sécurité qui a permis le piratage, pas juste de réparer ce qui fut touché. Link to comment Share on other sites More sharing options...
Jrbzh Posted November 15 Share Posted November 15 12 minutes ago, Mediacom87 said: J'espère que ces fichiers d'origine n'ont pas besoin de ce genre de code. Cela dépend des fichiers, du code, de leur différence par rapport à l'origine. Dans tous les cas, le problème, c'est de boucher la faille de sécurité qui a permis le piratage, pas juste de réparer ce qui fut touché. Merci pour la réponse J'ai remplacé les fichier JS par les fichiers d'origine mais il reste en rouge Pour les fichier orange la plus part j'ai remit les fichier d'origine mais il reste en orange ce sont des modules Link to comment Share on other sites More sharing options...
Mediacom87 Posted November 15 Share Posted November 15 il y a 22 minutes, Jrbzh a dit : Pour les fichier orange la plus part j'ai remit les fichier d'origine mais il reste en orange ce sont des modules Comme cela est précisé sur le script, en orange ce sont des fichiers intégrant des bouts de code potentiellement dangereux, donc il faut s'assurer que le code est propre. Link to comment Share on other sites More sharing options...
Eolia Posted November 15 Author Share Posted November 15 Je vais me répéter encore une fois mais c'est nécessaire à priori: - Cleaner est un outil, pas une solution - Cleaner nettoie ce dont il est sûr d'être une infection, pour le reste seul un humain peut décider quoi faire - Cleaner vous donne une explication ou un conseil facile à comprendre à chaque ligne - Ce qui est en rouge doit impérativement être traité - Un fichier cœur modifié doit être remplacé par l'original de votre version (et non pas ouvert, copié/collé ou modifié et enregistré) - Ce qui est en orange doit être analysé, si vous ne savez pas faire demandez à un pro. - Si vous avez été infecté vous devez IMPERATIVEMENT changer les mots de passe de TOUS les employés 1 Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now