Jump to content

Hack Prestashop sur la page de paiement - nettoyage


Eolia

Recommended Posts

Thank you @Eolia. I loved your help. You are nice and knowladgeable. I restored /classes /controllers /tools . Also I attached the update report. 

I have a question. Before i did those my website infected with fake payment gatway injected by hacker. Will this problem solve now? or I have to do anything else? Please guide me. 

 

Edited by Fahmid (see edit history)
Link to comment
Share on other sites

Il y a 3 heures, Fahmid a dit :

@Eolia I have redtored those Controlling JS scripts: which are red warnings form the ps version 1.6.1.4 and then restart the script again. but red warings are there yet. What can I do now?

FireShot Capture 033.pdf 3.18 Mo · 0 downloads

Hum... i don't know if your site is really on 1.6.1.4 version (sometimes files/versions are not correct if an old upgrade has failed)

Link to comment
Share on other sites

7 hours ago, Fahmid said:

How can I understand entrance hole closed shut or not ?

in a hack there are several entrances. Those need to be closed.
If someone has got hold of your passwords, you need to change those plus the loginpage needs to move.
Its a module than you need to find their way to enter your shop.

Its the hosting, than you need to move.

Link to comment
Share on other sites

On 10/15/2024 at 3:20 PM, Eolia said:

A priori c'est votre système qui a été infecté. Redémarrez complètement votre machine.

Bonjour Eolia, aujourd'hui et après 1 semaine sans aucun problème, le site a de nouveau été infecté. Quand vous disiez que le système a été infecté, cela signifie-t-il que ce hack serait indépendant de Prestashop ?

Link to comment
Share on other sites

Infections possibles:

- Autre cms non-protégé sur le même hébergement (Presta, WordPress ou autre)

- Vol des identifiants employés (le hacker se logue à la place d'un employé et installe un module qui lui sert à naviguer sur le ftp et déposer ses infections puis supprime le module)

- Module externe non sécurisé (Cleaner vous donne une liste des modules à contrôler utilisant des fonctions sensibles)

- Infection non détectée car n'utilisant pas de code spécialement dangereux à priori mais ajoutée dans un module

- Virus sur votre PC qui récupère vos mots de passe (hébergeur, ftp, etc...) lorsque vous les entrez au clavier

- etc...

Link to comment
Share on other sites

@Eolia Comment expliquer que j'ai toujours une erreur 403 en accédant à cleaner.php alors que index.php et le .htaccess sont ok (à la racine) ? Est-ce que d'autres fichiers à d'autres niveaux de l'arborescence peuvent avoir un impact ?

Link to comment
Share on other sites

EDIT : J'ai trouvé un .htaccess corrompu à la racine même de l'hébergement, donc 2 niveaux avant mon Prestashop production. Maintenant que je l'ai mis à jour, je peux bien accéder à cleaner.php mais j'obtiens l'erreur suivante :

Ce script doit être placé à la racine de votre site (là où est installé votre Prestahop sur votre ftp) et nulle part ailleurs

Pourtant cleaner.php est bien à la racine de mon Prestashop prod.

Link to comment
Share on other sites

  • 2 weeks later...
On 12/23/2022 at 3:26 PM, Mediacom87 said:

Salut les gars, je me bats avec ce hacker depuis presque un an maintenant et je n'ai toujours pas réussi à le tenir à l'écart... cependant, quelqu'un peut-il me dire comment recevoir un email lorsque le cronjob a détecté quelque chose mauvais? parce qu'en utilisant easycron, je n'obtiens rien. Merci

Link to comment
Share on other sites

Il y a 2 heures, Essemme_Forniture a dit :

Salut les gars, je me bats avec ce hacker depuis presque un an maintenant et je n'ai toujours pas réussi à le tenir à l'écart... cependant, quelqu'un peut-il me dire comment recevoir un email lorsque le cronjob a détecté quelque chose mauvais? parce qu'en utilisant easycron, je n'obtiens rien. Merci

Le script Cleaner envoie un rapport à chaque lancement à l'email de la boutique.

 

Link to comment
Share on other sites

il y a 7 minutes, Mediacom87 a dit :

Le script Cleaner envoie un rapport à chaque lancement à l'email de la boutique.

 

Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté.

Edited by Eolia (see edit history)
Link to comment
Share on other sites

14 hours ago, Eolia said:

Non un superadmin est admin :)

Si vous êtes chez OVH les mails ne partent pas en tâche Cron, je ne cherche même plus à savoir pourquoi...

eheheh non non pas OVH, jamais de la vie :) par contre ils ne viennent même pas du mien malheureusement, j'ai cru devoir activer certaines choses moi-même. Merci

Link to comment
Share on other sites

 

Bonjour, j'ai un de mes sites qui est attaqué (Merci cleaner pour la suppresion de la menace :) ) Merci beaucoup @Eolia

Par contre j'ai plein de fichier JS en rouge et pas mal de fichier en orange. Je ne sais pas trop par quoi commencer

Edit : du coup j'ai recherché base64 via ssh et je les tous remplacé Du coup j'ai remplacé les fichier JS aussi mais c'est toujours pareil

Pour les fichiers en Orange je ne sais pas quoi faire

 

Merci

Edited by Jrbzh (see edit history)
Link to comment
Share on other sites

Il y a 11 heures, Jrbzh a dit :

Edit : du coup j'ai recherché base64 via ssh et je les tous remplacé Du coup j'ai remplacé les fichier JS aussi mais c'est toujours pareil

J'espère que ces fichiers d'origine n'ont pas besoin de ce genre de code.

Il y a 11 heures, Jrbzh a dit :

Pour les fichiers en Orange je ne sais pas quoi faire

Cela dépend des fichiers, du code, de leur différence par rapport à l'origine. Dans tous les cas, le problème, c'est de boucher la faille de sécurité qui a permis le piratage, pas juste de réparer ce qui fut touché.

Link to comment
Share on other sites

12 minutes ago, Mediacom87 said:

J'espère que ces fichiers d'origine n'ont pas besoin de ce genre de code.

Cela dépend des fichiers, du code, de leur différence par rapport à l'origine. Dans tous les cas, le problème, c'est de boucher la faille de sécurité qui a permis le piratage, pas juste de réparer ce qui fut touché.

 

Merci pour la réponse

J'ai remplacé les fichier JS par les fichiers d'origine :)  mais il reste en rouge

Pour les fichier orange la plus part j'ai remit les fichier d'origine mais il reste en orange  ce sont des modules

 

 

Link to comment
Share on other sites

il y a 22 minutes, Jrbzh a dit :

Pour les fichier orange la plus part j'ai remit les fichier d'origine mais il reste en orange  ce sont des modules

Comme cela est précisé sur le script, en orange ce sont des fichiers intégrant des bouts de code potentiellement dangereux, donc il faut s'assurer que le code est propre.

Link to comment
Share on other sites

Je vais me répéter encore une fois mais c'est nécessaire à priori:

- Cleaner est un outil, pas une solution

- Cleaner nettoie ce dont il est sûr d'être une infection, pour le reste seul un humain peut décider quoi faire

- Cleaner vous donne une explication ou un conseil facile à comprendre à chaque ligne

- Ce qui est en rouge doit impérativement être traité

- Un fichier cœur modifié doit être remplacé par l'original de votre version  (et non pas ouvert, copié/collé ou modifié et enregistré)

- Ce qui est en orange doit être analysé, si vous ne savez pas faire demandez à un pro.

- Si vous avez été infecté vous devez IMPERATIVEMENT changer les mots de passe de TOUS les employés

  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...