Prestahop 1.6 infecté par malware SMW-INJ-*-php Bkdr

[walidkira]

Prestahop 1.6 infecté par malware SMW-INJ-19721-php Bkdr
comment trouver backdoor et comment je peux le protéger ? 
La seule solution que je trouve sur les forums est d'affecter un plugin de sécurité.

 

Merci

[Eolia]

Concernant le dernier hack #prestashop en cours, voici un script de contrôle et de nettoyage (Ouvrez le zip, prenez le fichier cleaner.php et placez-le à la racine de votre site, puis appelez-le avec cette url: https://votresite.com/cleaner.php)

Ce script a été écrit principalement pour cibler le hack en cours mais il contrôle également l'intégrité générale de votre boutique.

Il est fortement conseillé de l'appeler régulièrement pour vérifier que tout est ok.

Le script se met à jour automatiquement à chaque appel si une nouvelle version est disponible.

Il est conseillé de passer votre boutique en maintenance ou mode catalogue si elle est infectée. Une fois les nettoyages terminé et les fichiers restaurés et que toutes les lignes principales sont en vert vous pourrez réactiver votre boutique.

- Script compatible toutes versions Presta

- Support PHP de 5.6 à 8

- Aucun fichier cœur n'est supprimé. Ils sont éventuellement corrigés pour bloquer les infections mais je vous conseille de restaurer les fichiers d'origine (fournis avec le résultat du script)

- Un rapport complet vous est fourni. Exemple sur une boutique bien infectée :

 

Pour rappel, si vous avez des lignes en rouge, corrigez les fichiers au plus vite et modifiez vos mots de passe employés en BO car il y a de fortes chances que ceux-ci aient été récupérés.

 

Cleaner.zip

[walidkira]

Merci bien @Eolia Pour votre retour

voilà le résultat après avoir lancé le fichier cleaner.php
MD5 ADMIN WARNING => httpdocs/**admin**/  (Avec Couleur Jaune moutarde)
MD5 ADMIN WARNING => httpdocs/js/  ( AVEC COULEUR ROUGE)
MD5 INTEGRITY => sur les fichiers php coeur

Vous pouvez m'expliquer c'est quoi MD5 ADMIN WARNING..

Merci

 

 

[Mediacom87]

Vous ouvrez tous les fichiers suspicieux, c'est-à-dire l'archive de contrôle généré par le script et vous comparez le code avec les fichiers originaux de votre version que le script propose aussi de télécharger pour faciliter la vie de tous ceux qui ne savent même pas quelle version ils utilisent et qui l'ont installé automatiquement par le biais de leur hébergeur.

Vous avez tout de fourni par le script, le reste, c'est du contrôle humain et ce script ne corrige pas les failles de sécurité apportées par des modules tiers (99,99% des failles) c'est aussi du contrôle humain à faire.

[Eolia]

Il y a 7 heures, walidkira a dit :

Merci bien @Eolia Pour votre retour

voilà le résultat après avoir lancé le fichier cleaner.php
MD5 ADMIN WARNING => httpdocs/**admin**/  (Avec Couleur Jaune moutarde)
MD5 ADMIN WARNING => httpdocs/js/  ( AVEC COULEUR ROUGE)
MD5 INTEGRITY => sur les fichiers php coeur

Vous pouvez m'expliquer c'est quoi MD5 ADMIN WARNING..

Merci

 

 

ADMIN WARNING: ATTENTION de fichiers de votre BO (administration) ont été modifiés et ne sont plus conformes à l'origine.

En orange: a controler

En rouge: soit supprimé directement si c'est un fichier ajouté, soit à restaurer impérativement

MD5 INTEGRITY: contrôle si les contenu des fichiers est conforme aux originaux

Pour les couleurs:

- Rouge c'est très grave

- Orange c'est anormal donc à contrôler

- Bleu: A priori pas dangereux mais contenant des fonctions à risque

- Vert: c'est ok, propre et conforme.

[el_lo10]

On 2/3/2023 at 5:37 PM, walidkira said:

Prestahop 1.6 infecté par malware SMW-INJ-19721-php Bkdr
comment trouver backdoor et comment je peux le protéger ? 
La seule solution que je trouve sur les forums est d'affecter un plugin de sécurité.

 

Merci

Bonjour Walidkira,

As-tu pu trouver la source de cette injection ? J'ai un client infecté également en PS 1.7.5.2

[magicbel]

Le 17/04/2023 à 3:13 PM, el_lo10 a dit :

As-tu pu trouver la source de cette injection ? J'ai un client infecté également en PS 1.7.5.2

Ne pas se fier à la porte d'entrée chez l'un en pensant que ce sera le même chez vous. Des sites vérolés, on en voit passer un paquet et à chaque fois c'est différent.

Ce qui est identique par contre,c'est le résultat 😁

Trêve de plaisanterie : Vérifier la totalité de vos modules (et mettre à jour). Si vous avez un module ou un thème de chez Léo, gros conseil, jetez tout car c'est une passoire.

Si vos modules sont à jour et que le module d' @Eolia ne sort plus rien en rouge/orange, ça devrait être bon.

En cas de doute, consulter un pro pour faire une double vérif.

[abouzouzou]

bonjour, pareil jai un client a qui s'est arrive, comment se premunir ? la on va faire un revert des fichiers a une date anterieure de la modification des fichiers

merci pour le zip on va tester ca, sur o2switch il y a un scanner gratuit dans cpanel

doit-on forcement mettre à jour le prestashop (implique plein d autres soucis)

 

merci

[Eolia]

L'infection n'a rien à voir avec la version Presta/Phenix, cela vient à 99.99% de modules ou d'autres sites non sécurisés sur le même espace web.

[abouzouzou]

58 minutes ago, Eolia said:

L'infection n'a rien à voir avec la version Presta/Phenix, cela vient à 99.99% de modules ou d'autres sites non sécurisés sur le même espace web.

tant mieux ca me rassure

du coup jai revert tous les dossiers avant le piratage, par contre strip e ne fonctionne plus :! jai installer la derniere version form in bloc mais il me met une popup vide grrr