Jump to content

Edit History

Alchy

Alchy


signalement à Envato Market

On 2/18/2023 at 11:00 PM, lionsteph said:

Bonsoir,

La c'est clairement une injection de code, donc un hacker peut faire ce qu'il veut avec votre site internet.

 

Voir cette page : https://www.microsoft.com/en-us/security/blog/2022/05/23/beneath-the-surface-uncovering-the-shift-in-web-skimming/

On retrouve le lien qui est appelé une fois décodé :

aHR0cHM6Ly8xMDYuMTUuMTc5LjI1NQ==    =>    hxxps://106[.]15[.]179[.]255

La il est temps de changer tous les mots de passe, faire les mises à jours, du nettoyage dans les modules et le thème éventuellement, ou alors faire appel à un professionnel.

Bon courage.

Merci lionsteph et Mediacom87,

j'avais posté une réponse il y a quelques jours mais je ne la vois pas apparaitre.

Oui, il s'agit bien d'un hack. J'avais déjà pris toutes les précautions sur les mots de passe, le nom du chemin d'admin, les modules inutiles, les mises à jour, etc.

Le virus n'a peut-être jamais réellement pu agir mais a contaminé près de 20 fichiers que j'ai remplacé par leur version normale.

Je soupçonne très fortement rubik_team par leur thème Covan (Beauty & Cosmetics) d'avoir fait le coup alors qu'il y avait un bug sur une fonction relativement mineure à l'installation. Ils n'ont jamais voulu me donner la solution pour régler ce bug et je leur ai passé les codes pour qu'ils le fassent. J'ai ensuite changé les codes évidemment mais je pense qu'ils ont injecté le code malveillant dans je ne sais quel(s) fichier(s).

Comme l'un de leurs fichiers reste toujours infecté (module slider, que je n'utilise pas), je leur ai demandé à nouveau de m'envoyer la version saine du fichier qui ne se trouve pas dans l'archive. Et rebelote, ils veulent encore les codes. Je leur ai dit que s'ils ne m'envoyaient pas le fichier sain, je signale le problème à themeforest.net (Envato Market) où j'avais acheté le thème. (MAJ j'ai signalé le problème car me demander à nouveau les code me semble interdit et parfaitement inapproprié de toute façon...)

Ceci dit, c'est l'antivirus du site qui trouve ce fichier malveillant alors que l'analyse par le script cleaner.zip ne le détecte pas (https://devcustom.net/public/scripts/cleaner.zip).

Le problème de connexion à l'admin est apparu quelques mois après leur avoir passé les codes, puis il est revenu de plus en plus fréquemment. Le retour à des backup du FTP a toujours marché mais ces derniers temps, le bug revenait tous les 2 jours.

Les fichiers touchés étaient (ou sont toujours) notamment des fichier update (d'où le fait que cela revenait après les mises à jour) et connexion. Donc assez graves s'ils captaient les mots de passe...

L'antivirus trouve toujours ces fichiers infectés mais je ne saurai pas dire s'il s'agit de faux positifs. Mais ça serait étonnant...

"/controllers/admin/AdminInformationController.php"
"/admin***/autoupgrade/latest/install/upgrade/upgrade.php"
"/modules/rbthemeslider/library/rbslider_output.class.php"
"/modules/autoupgrade/classes/pclzip.lib.php"
"/modules/autoupgrade/upgrade/upgrade.php"
"/bridge2cart/bridge.php"

J'essaie de coller les codes dans un nouveau message car là le site me les refuse dans ce message...
 

Merci encore pour vos indications et tant mieux si on arrive à trouver des solutions pour chacun !

Alchy

Alchy


précision Enato Market

On 2/18/2023 at 11:00 PM, lionsteph said:

Bonsoir,

La c'est clairement une injection de code, donc un hacker peut faire ce qu'il veut avec votre site internet.

 

Voir cette page : https://www.microsoft.com/en-us/security/blog/2022/05/23/beneath-the-surface-uncovering-the-shift-in-web-skimming/

On retrouve le lien qui est appelé une fois décodé :

aHR0cHM6Ly8xMDYuMTUuMTc5LjI1NQ==    =>    hxxps://106[.]15[.]179[.]255

La il est temps de changer tous les mots de passe, faire les mises à jours, du nettoyage dans les modules et le thème éventuellement, ou alors faire appel à un professionnel.

Bon courage.

Merci lionsteph et Mediacom87,

j'avais posté une réponse il y a quelques jours mais je ne la vois pas apparaitre.

Oui, il s'agit bien d'un hack. J'avais déjà pris toutes les précautions sur les mots de passe, le nom du chemin d'admin, les modules inutiles, les mises à jour, etc.

Le virus n'a peut-être jamais réellement pu agir mais a contaminé près de 20 fichiers que j'ai remplacé par leur version normale.

Je soupçonne très fortement rubik_team par leur thème Covan (Beauty & Cosmetics) d'avoir fait le coup alors qu'il y avait un bug sur une fonction relativement mineure à l'installation. Ils n'ont jamais voulu me donner la solution pour régler ce bug et je leur ai passé les codes pour qu'ils le fassent. J'ai ensuite changé les codes évidemment mais je pense qu'ils ont injecté le code malveillant dans je ne sais quel(s) fichier(s).

Comme l'un de leurs fichiers reste toujours infecté (module slider, que je n'utilise pas), je leur ai demandé à nouveau de m'envoyer la version saine du fichier qui ne se trouve pas dans l'archive. Et rebelote, ils veulent encore les codes. Je leur ai dit que s'ils ne m'envoyaient pas le fichier sain, je signale le problème à themeforest.net (Envato Market) où j'avais acheté le thème.

Ceci dit, c'est l'antivirus du site qui trouve ce fichier malveillant alors que l'analyse par le script cleaner.zip ne le détecte pas (https://devcustom.net/public/scripts/cleaner.zip).

Le problème de connexion à l'admin est apparu quelques mois après leur avoir passé les codes, puis il est revenu de plus en plus fréquemment. Le retour à des backup du FTP a toujours marché mais ces derniers temps, le bug revenait tous les 2 jours.

Les fichiers touchés étaient (ou sont toujours) notamment des fichier update (d'où le fait que cela revenait après les mises à jour) et connexion. Donc assez graves s'ils captaient les mots de passe...

L'antivirus trouve toujours ces fichiers infectés mais je ne saurai pas dire s'il s'agit de faux positifs. Mais ça serait étonnant...

"/controllers/admin/AdminInformationController.php"
"/admin***/autoupgrade/latest/install/upgrade/upgrade.php"
"/modules/rbthemeslider/library/rbslider_output.class.php"
"/modules/autoupgrade/classes/pclzip.lib.php"
"/modules/autoupgrade/upgrade/upgrade.php"
"/bridge2cart/bridge.php"

J'essaie de coller les codes dans un nouveau message car là le site me les refuse dans ce message...
 

Merci encore pour vos indications et tant mieux si on arrive à trouver des solutions pour chacun !

Alchy

Alchy

On 2/18/2023 at 11:00 PM, lionsteph said:

Bonsoir,

La c'est clairement une injection de code, donc un hacker peut faire ce qu'il veut avec votre site internet.

 

Voir cette page : https://www.microsoft.com/en-us/security/blog/2022/05/23/beneath-the-surface-uncovering-the-shift-in-web-skimming/

On retrouve le lien qui est appelé une fois décodé :

aHR0cHM6Ly8xMDYuMTUuMTc5LjI1NQ==    =>    hxxps://106[.]15[.]179[.]255

La il est temps de changer tous les mots de passe, faire les mises à jours, du nettoyage dans les modules et le thème éventuellement, ou alors faire appel à un professionnel.

Bon courage.

Merci lionsteph et Mediacom87,

j'avais posté une réponse il y a quelques jours mais je ne la vois pas apparaitre.

Oui, il s'agit bien d'un hack. J'avais déjà pris toutes les précautions sur les mots de passe, le nom du chemin d'admin, les modules inutiles, les mises à jour, etc.

Le virus n'a peut-être jamais réellement pu agir mais a contaminé près de 20 fichiers que j'ai remplacé par leur version normale.

Je soupçonne très fortement rubik_team par leur thème Covan (Beauty & Cosmetics) d'avoir fait le coup alors qu'il y avait un bug sur une fonction relativement mineure à l'installation. Ils n'ont jamais voulu me donner la solution pour régler ce bug et je leur ai passé les codes pour qu'ils le fassent. J'ai ensuite changé les codes évidemment mais je pense qu'ils ont injecté le code malveillant dans je ne sais quel(s) fichier(s).

Comme l'un de leurs fichiers reste toujours infecté (module slider, que je n'utilise pas), je leur ai demandé à nouveau de m'envoyer la version saine du fichier qui ne se trouve pas dans l'archive. Et rebelote, ils veulent encore les codes. Je leur ai dit que s'ils ne m'envoyaient pas le fichier sain, je signale le problème à themeforest.net où j'avais acheté le thème.

Ceci dit, c'est l'antivirus du site qui trouve ce fichier malveillant alors que l'analyse par le script cleaner.zip ne le détecte pas (https://devcustom.net/public/scripts/cleaner.zip).

Le problème de connexion à l'admin est apparu quelques mois après leur avoir passé les codes, puis il est revenu de plus en plus fréquemment. Le retour à des backup du FTP a toujours marché mais ces derniers temps, le bug revenait tous les 2 jours.

Les fichiers touchés étaient (ou sont toujours) notamment des fichier update (d'où le fait que cela revenait après les mises à jour) et connexion. Donc assez graves s'ils captaient les mots de passe...

L'antivirus trouve toujours ces fichiers infectés mais je ne saurai pas dire s'il s'agit de faux positifs. Mais ça serait étonnant...

"/controllers/admin/AdminInformationController.php"
"/admin***/autoupgrade/latest/install/upgrade/upgrade.php"
"/modules/rbthemeslider/library/rbslider_output.class.php"
"/modules/autoupgrade/classes/pclzip.lib.php"
"/modules/autoupgrade/upgrade/upgrade.php"
"/bridge2cart/bridge.php"

J'essaie de coller les codes dans un nouveau message car là le site me les refuse dans ce message...
 

Merci encore pour vos indications et tant mieux si on arrive à trouver des solutions pour chacun !

×
×
  • Create New...