Jump to content

Procédure de sécurité à lire attentivement


Carl Favre

Recommended Posts

Le site officiel prestashop.com a été victime d’une infraction électronique entrainant le détournement d’un script de mise à jour d’actualité, visible depuis le back office des boutiques PrestaShop.

 

L’équipe PrestaShop a mis tout en œuvre pour identifier et corriger rapidement le problème, un correctif est dès à présent disponible.

 

 

Comment savoir si je suis concerné ?

 

Seuls les utilisateurs de la version 1.4 /1.4.1/ 1.4.2/1.4.3/1.4.4 sont concernés, mais pas forcément touchés.

 

Si vous utilisez une de ces versions, vérifiez si:

  • un fichier « her.php » se trouve à la racine de votre répertoire /modules
  • des fichiers « .php » autres que « index.php » se trouvent dans les répertoires /upload et /download
  • le fichier footer.tpl de votre thème a été modifié
  • le répertoire tools/smarty_v2 a disparu

Si vous êtes dans au moins un de ces cas, votre boutique est affectée, mais vous pouvez très simplement corriger le problème, en suivant la procédure ci-dessous.

 

Par mesure de prévention, nous vous conseillons d'appliquer ce correctif même si votre boutique n'a pas été affectée.

 

Que dois-je faire ?

 

1. Changez le mot de passe de votre base de données ou contactez votre hébergeur si vous ne savez pas comment procéder.

 

Une fois le changement de mot de passe effectué, ouvrez le fichier settings.inc.php du dossier /config et remplacez votre ancien mot de passe par le nouveau. Voir ci-dessous.

 

post-268579-0-46066700-1314203464_thumb.png

 

2. Téléchargez ensuite le correctif élaboré par PrestaShop en cliquant ici

 

3. Placez-le à la racine de votre boutique avec votre client FTP (Filezilla, Transmit…)

 

4. Rendez-vous à l’adresse http://www.maboutique.com/herfix.php

 

5. Le correctif est maintenant appliqué, n'oubliez pas de supprimer le fichier herfix.php précédemment chargé à la racine de votre boutique

 

6. Renommez votre répertoire admin

 

7. Changez le mot de passe de tous vos administrateurs back office

 

Pour toute aide et questions complémentaires, envoyez-nous un e-mail à [email protected] .

 

Vous recevrez immédiatement une réponse de notre équipe à vos questions.

 

Toute l’équipe PrestaShop souhaite remercier la communauté de son implication dans la résolution de ce problème.

Link to comment
Share on other sites

bonjour alors je pensait être le seul a être infecter (j ai eu ce problème un client ma appeler ce matin et me dit que mon site a un cheval de Troie :angry: )

mais en faite c'est tous le monde alors la ca fous le Bor..

 

merci pour le fix prestashop qui ma permis de réparer mon site ;)

(grosse sueur en perspective :angry: )

 

svp faire suivre ce forum a tous ceux qui on une boutique prestat version 1.4 ou envoyer un mail :)

Link to comment
Share on other sites

Bonsoir,

Faut-il changer et appliquer la procédure même si on n'est pas affecté

mais étant sous prestashop 1.4.3 ?

Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?

Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?

 

Merci pour les précisions.

;)

Link to comment
Share on other sites

Quelqu'un a des nouvelles ?

 

Une réponse à la question précédente ?

 

"Faut-il changer et appliquer la procédure même si on n'est pas affecté

mais étant sous prestashop 1.4.3 ?

Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?

Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?"

 

Merci d'avance

Link to comment
Share on other sites

Bonsoir,

Faut-il changer et appliquer la procédure même si on n'est pas affecté

mais étant sous prestashop 1.4.3 ?

Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?

Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?

 

Merci pour les précisions.

;)

 

Carl Favre a deja repondu ...

 

Hello Patrick,

 

Le fix doit être appliqué sur toutes les versions 1.4.

Link to comment
Share on other sites

ba si vous ete pas infecter c'est déjà ça :)

garder le correctif a porter de main on sait jamais mais a première vue il on identifier le pirate qui nous a fit ch.. donc ce devrait plus continuer enfin je croise les doigts pour que ça arrive pas

car quand un client vous appelle et vous dit que votre site a un chevale de troie ça fait des grosse sueur dans le dos

sans compter toute les vente perdue, les clients perdu qui reviendrons pas sur le site, nous on a ete bloquer toute la mâtiné avec se problème c'est notre hébergeur 1&1 qui nous a dit ou était le problème (code dans thème)mais avec le correctif de prestat on c'est rendu compte qu'il restait des trace de ce hacker

merci encore a eu pour cette correction

cordialement

 

 

j'avais pas vue :blink:

Carl Favre a deja repondu ...

Carl Favre, on 24 August 2011 - 07:01 PM, said:

Hello Patrick,

 

Le fix doit être appliqué sur toutes les versions 1.4.

Link to comment
Share on other sites

Bonsoir à tous :)

 

Une petite sécurité (indispensable à mon avis) car je trouve très dangereux de laisser "en clair" ses mots de passe et identifiants à la base de donnée.

Dans settings.inc.php écrivez ceci

<?php
include ("/home/votre_repertoire_root/securedata/passdb.php");
define('__PS_BASE_URI__', '/');
define('_MEDIA_SERVER_1_', '');
define('_MEDIA_SERVER_2_', '');
define('_MEDIA_SERVER_3_', '');
define('_PS_CACHING_SYSTEM_', 'CacheFS');
define('_PS_CACHE_ENABLED_', '1');
define('_THEME_NAME_', 'white');
define('_DB_NAME_', $db_name);
define('_MYSQL_ENGINE_', 'MyISAM');
define('_DB_SERVER_', 'localhost');
define('_DB_USER_', $db_user);
define('_DB_PREFIX_', $db_prefix);
define('_DB_PASSWD_', $db_passwd);
define('_DB_TYPE_', 'MySQL');
define('_COOKIE_KEY_', '0D8FkQuiyBpEbqmjUJrt5DJbIFVRc5ErEkRGcc4m1Riam6tCNhAPfQa5');
define('_COOKIE_IV_', 'THMgydL7');
define('_RIJNDAEL_KEY_', 'mjGup041tWsdUURJhTX5JbuuiWLQsgBM');
define('_RIJNDAEL_IV_', 'MtEhEgf5aaWNZpFm5KYOhw==');
define('_PS_VERSION_', '1.4.2.5');

?>

 

Ensuite créez un fichier nommé "passdb.php" et placez-le AVANT votre répertoire public-html (Dans la zone non-accessible aux personnes extérieures par le biais du web) et inscrivez ceci à l'intérieur:

<?php
$db_user   = "votre_identifiant";   //database username here
$db_passwd = "votre_mot_de_passe";  //database password here
$db_name   = "le_nom_de_votre_base";    //your database name here
$db_prefix = "le_prefixe_de_votre_base"; // your prefix database name
?>

 

 

N'oubliez pas le "include" au début du fichier qui indique le chemin du fichier à consulter et ne mettez pas de ' autour de vos variables.

 

Un peu plus de sécurité ne peux pas faire de mal tongue.gif

 

Eolia

 

PS: Il reste le problème des mots de passe et identifiants en clair dans les emails d'inscription mais ça va venir...

  • Like 1
Link to comment
Share on other sites

Quelqu'un a des nouvelles ?

 

Une réponse à la question précédente ?

 

"Faut-il changer et appliquer la procédure même si on n'est pas affecté

mais étant sous prestashop 1.4.3 ?

Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?

Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?"

 

Merci d'avance

 

Mais bon dieu c'est écrit et clair. pour toutes les version 1.4, vérifier qu'il n'y est qu'un seul fichier php dans module, upload, et download, si le nombre n'est pas exact mettez le fichier.

 

C'est pas sorcier quand même.

Link to comment
Share on other sites

@Eolia:

J'ai pas compris en quoi c'était plus sécurisant de mettre les mots de passe dans un autre fichier, si quelqu'un de malveillant créait un module qui envoi les mdp par mail (ou autre) ta solution n'apporte pas grand chose, on a toujours _DB_NAME_, _DB_USER_, _DB_PASSWD_ et _DB_PREFIX_

 

Pour les mots de passe et identifiants en clair dans les emails, si quelqu'un a accès à ta boite mail de toute façon il peut cliquer sur "mot de passe oublié" et faire ce qu'il veut ensuite.

Link to comment
Share on other sites

@Eolia:

J'ai pas compris en quoi c'était plus sécurisant de mettre les mots de passe dans un autre fichier, si quelqu'un de malveillant créait un module qui envoi les mdp par mail (ou autre) ta solution n'apporte pas grand chose, on a toujours _DB_NAME_, _DB_USER_, _DB_PASSWD_ et _DB_PREFIX_

 

Pour les mots de passe et identifiants en clair dans les emails, si quelqu'un a accès à ta boite mail de toute façon il peut cliquer sur "mot de passe oublié" et faire ce qu'il veut ensuite.

 

exact, le remède est pour le moment celui là mais Prestashop doit créer le vaccin.

Link to comment
Share on other sites

Bonsoir à tous :)

 

Une petite sécurité (indispensable à mon avis) car je trouve très dangereux de laisser "en clair" ses mots de passe et identifiants à la base de donnée.

Dans settings.inc.php écrivez ceci

<?php
include ("/home/votre_repertoire_root/securedata/passdb.php");
define('__PS_BASE_URI__', '/');
define('_MEDIA_SERVER_1_', '');
define('_MEDIA_SERVER_2_', '');
define('_MEDIA_SERVER_3_', '');
define('_PS_CACHING_SYSTEM_', 'CacheFS');
define('_PS_CACHE_ENABLED_', '1');
define('_THEME_NAME_', 'white');
define('_DB_NAME_', $db_name);
define('_MYSQL_ENGINE_', 'MyISAM');
define('_DB_SERVER_', 'localhost');
define('_DB_USER_', $db_user);
define('_DB_PREFIX_', $db_prefix);
define('_DB_PASSWD_', $db_passwd);
define('_DB_TYPE_', 'MySQL');
define('_COOKIE_KEY_', '0D8FkQuiyBpEbqmjUJrt5DJbIFVRc5ErEkRGcc4m1Riam6tCNhAPfQa5');
define('_COOKIE_IV_', 'THMgydL7');
define('_RIJNDAEL_KEY_', 'mjGup041tWsdUURJhTX5JbuuiWLQsgBM');
define('_RIJNDAEL_IV_', 'MtEhEgf5aaWNZpFm5KYOhw==');
define('_PS_VERSION_', '1.4.2.5');

?>

 

Ensuite créez un fichier nommé "passdb.php" et placez-le AVANT votre répertoire public-html (Dans la zone non-accessible aux personnes extérieures par le biais du web) et inscrivez ceci à l'intérieur:

<?php
$db_user   = "votre_identifiant";   //database username here
$db_passwd = "votre_mot_de_passe";  //database password here
$db_name   = "le_nom_de_votre_base";    //your database name here
$db_prefix = "le_prefixe_de_votre_base"; // your prefix database name
?>

 

 

N'oubliez pas le "include" au début du fichier qui indique le chemin du fichier à consulter et ne mettez pas de ' autour de vos variables.

 

Un peu plus de sécurité ne peux pas faire de mal tongue.gif

 

Eolia

 

PS: Il reste le problème des mots de passe et identifiants en clair dans les emails d'inscription mais ça va venir...

 

Sachant qu'il s'agit de fichier php la lecture en est impossible puisque le fichier est d'abords executé par le serveur. Donc à la tentative d'affichage le fichier retournera une page blanche comme ça ou comme ça.

Ensuite, sachant que le hack objet du présent sujet installait un logiciel capable de lire l’arborescence complète du serveur ça ne ferais que déplacer le fichier à risque.

Enfin, les variables sont récupérés par la boutique pour qu'elle puisse fonctionner, encore une fois, peut importe ou le fichier est planqué, un script peut en récupérer le contenue et l'envoyer par email sans problème.

 

Je me trompe ?

Link to comment
Share on other sites

Bonjour,

 

Voilà j'ai suivi toutes les indications a la lettre pour mettre le patch, résultat j'ai plus de site??? et apparemment je ne suis pas le seul avoir ce problème après avoir appliquer tout ça.

 

Par contre j'accés au BO mais plus de front office.

 

Pourrions nous avoir de l'aide car personne ne répond a cette question.

 

Merci. !

 

Cordialement Tchupa.

Link to comment
Share on other sites

Bonjour,

 

la version de prestashop en téléchargement est-elle mise à jour à l'heure actuelle ou doit on mettre le fix quand même ?

 

merci

On est encore dans une situation très intermédiaire.

Ajax.php était modifié sur le SVN (version 8176, 24/08/2011 vers 15h57), et le fix remet en place la 7674.

Le SVN n'a pas été mis à jour depuis et en reste, pour l'instant, à la 8176.

 

Je suppose que la team va faire rapidement le nécessaire, mais il faut le temps au temps ...

Link to comment
Share on other sites

Bonjour,

 

Voilà j'ai suivi toutes les indications a la lettre pour mettre le patch, résultat j'ai plus de site??? et apparemment je ne suis pas le seul avoir ce problème après avoir appliquer tout ça.

 

Par contre j'accés au BO mais plus de front office.

 

Pourrions nous avoir de l'aide car personne ne répond a cette question.

 

Merci. !

 

Cordialement Tchupa.

 

En même temps le patch concernait uniquement les boutiques en Prestashop 1.4 et supérieures... On dirait que la votre était en 1.3 donc c'est logique que ça puisse créer des problèmes non ?

J'espère que vous aviez fait une copie de vos fichiers avant l'application du patch !

Link to comment
Share on other sites

Important : pour ceux qui ont appliqué le fix avant ce matin 10h, pensez à vider votre dossier ~/tools/smarty/compile/, il y a eu un petit oubli sur le fix qui ne vidait pas ce dossier mais ça a été corrigé.

 

Cordialement

 

Bonjour Raphael

 

il faut vider quoi dans ce fichier ?

Tout inclu le fichier index.php ou juste les noms a rallonge ?

 

Il faut les supprimer comme cela en dure via le FTP ? Ca va pas fiche le bazar sur la boutique ?

 

Merci de tes précisions

Cordialement

Christian

Link to comment
Share on other sites

Merci Carl. Suppression faite.

 

Une autre question (j'en profite).

Mon premier site celui de ma signature était infecté j'ai donc suivi la procédure en entier.

Par contre celui de madame (qui est en maintenance et en cours de création) n'était pas infecté.

Je me suis donc limité a installer le patch mais je n'ai pas modifié les mots de passe, nom du dossier admin etc.

 

Je présume que toutes ces modifs étaient utiles seulement pour les sites infectés car le hacker avait du coup pu récupérer nos infos. Mais dans le cas d'un site non infecté la mise en place du patch devrait être suffisante, non ?

Ai je raison et bien fait ?

Merci d'avance

Link to comment
Share on other sites

Je me permet de poser une petite question...

 

On a repéré et éradiqué le fichier her.php OK

N'ayant pas été infecté je n'ai pas pu faire la manip suivante, mais quelqu'un qui aurait une sauvegarde récente de son site et qui n'aurait pas encore appliqué le fix pourrait-il faire une comparaison fichier à fichier des éventuelles AUTRES modifications qui nous auraient échappé et qui seraient beaucoup moins visible ?

Du style récupérer des infos sensibles et les envoyer par la fonction mail() sans que l'on s'en rende compte si on épluche pas ses logs de sortie ?

 

Je me pose la question car j'ai déjà vu ce cas de figure (Hack très visible et facilement identifiable) et une fois le nettoyage effectué on repart comme si de rien n'était avec un micro-espion dans la doublure...huh.gif

Link to comment
Share on other sites

Bonjour,

 

Je viens à vous pour avoir un coup de main comme tous le monde ou presque !

J'ai eu les premiers symptomes le 23 au soir, pensant que cela venait de certains modules, j'ai refait une installation toute fraiche hier matin.

Pas de fichiers douteux ni supplémentaires.

J'ai fait les modifications et appliqué le correctif une 2ème fois à l'instant, vérifié le cache.

J'ai remplacé les fichiers par ceux d'origine pour PS cependant il reste quelques problèmes.

Dans le back office, les catégories et produits ont disparus alors qu'ils sont présents dans la BDD.

Après avoir cliqué sur l'onglet "Suivi", il y a une quantité de produits désactivés, des attributs qui ont été crées

Il y a des gros problèmes d'affichages sous IE8 alors qu'il n'y avait aucun soucis avant.

Il se peut que j'en trouve encore d'autres quand je vais attaquer le debug car mon site est en ligne mais pas en prod sur un serveur mutualisé 1and1.

Que dois-je faire ?

Link to comment
Share on other sites

Et ben, avec toutes ces personnes qui parlent de boutiques bloquées après application du patch, j'avoue que j'ai quelques réticences à appliquer le correctif sur ma boutique toute neuve en 1.4.4 (moins de 48h d'ouverture au public).

 

Je ne suis pas spécialiste en sécurité, mais j'avoue que lorsque j'ai installé et testé Prestashop la première fois il y a quelques semaines, la présence d'un flux de News en page d'accueil du Back Office m'avait un peu interpellé. Je m'étais dit que ça devait pas être évident de garantir la sécurité d'une telle "entrée".

 

Merci en tout cas à toute l'équipe qui se démène pour trouver des solutions au présent problème !

Link to comment
Share on other sites

merci pour ce fix

J'ai moi même était impacté par cette ******

J'ai appliquer la procédure

le fichier herfix.php est bien deleté

 

par contre

le fichier her.php s'est supprimé de lui même est ce normal ?

 

Cordialement

 

La réponse a été donnée plus haut :

Bonsoir,

il s'efface tout seul s'il a les droits nécessaire pour le faire, ce n'est pas toujours le cas et une seconde vérification manuelle est toujours positive.

 

Cordialement

Link to comment
Share on other sites

Non Lucy

 

c'est le fichier herfix.php qui s'efface tout seul en fonction des droits. Raphael ne parlait pas du fichier her.php.

 

Mais je présume que c'est normal que le herfix.php efface le her.php (c'est entre autre son role ;) ).

 

Dans le cas d'une boutique NON infectée, est il utile aussi de changer les mots de passes, nom de l'admin ou l'application du patch est-elle suffisante ?

Link to comment
Share on other sites

Non Lucy

 

c'est le fichier herfix.php qui s'efface tout seul en fonction des droits. Raphael ne parlait pas du fichier her.php.

 

Mais je présume que c'est normal que le herfix.php efface le her.php (c'est entre autre son role ;) ).

Au temps pour moi ! :)

 

Dans le cas d'une boutique NON infectée, est il utile aussi de changer les mots de passes, nom de l'admin ou l'application du patch est-elle suffisante ?

je suis intéressée par la réponse à cette question moi aussi! si jamais tu as l'info ailleurs!

Link to comment
Share on other sites

Je plussois Nomman

Car franchement cette version est vraiment devenu une usine a gaz avec tous les liens partenaire qui ne servent a rien

à la limite autant les proposer lors de l 'installation de la boutique.

Dans les anciennes version (1.2.xx) c'était agréable, de pas avoir de truc comme çà , mais là c'est limite à chaque fois emmerdant de les voir à chaque ouverture de back office surtout la vidéo d'entré

  • Like 1
Link to comment
Share on other sites

Le site officiel prestashop.com a été victime d’une infraction électronique entrainant le détournement d’un script de mise à jour d’actualité, visible depuis le back office des boutiques PrestaShop.

ne serait il pas plus simple que notre shop, ne soit pas en liaison avec vous, et de virer les script, iframe et compagnie ( vous savez les id des module partenaire, les icone appelé depuis chez vous etc ... ) ?

Je plussois Nomman

Car franchement cette version est vraiment devenu une usine a gaz avec tous les liens partenaire qui ne servent a rien

à la limite autant les proposer lors de l 'installation de la boutique.

Dans les anciennes version (1.2.xx) c'était agréable, de pas avoir de truc comme çà , mais là c'est limite à chaque fois emmerdant de les voir à chaque ouverture de back office surtout la vidéo d'entré

 

Je me rappelle d'une discussion pas si éloignée (l'an dernier ou l'an d'avant) quand sont apparu les premières fonctionnalités d'interrogation systématique du site Prestashop. Bon le quidam avait manqué de tact certes mais son propos était le même et... nous l'avons presque trainé au buché.

 

Je partage ce point de vue ... se connecter pour de bonne ou mauvaises raisons à un site central sans demande expresse de l'administrateur du site c'est du suicide. Plus Prestashop deviendra populaire plus il sera intéressant pour des équipes de hacker de s'attaquer à ce point en cas de succès dans leur entreprise c'est immédiatement 30000, 40000 sites qu'ils aurons à leur botte.

 

 

Parallèlement, il est plus qu'urgent que la team divulgue la totalité des informations sur l'attaque: comment a t'elle pénétré, s'est propagé, quels sont tous les éléments susceptible d'avoir été atteint (mon client à vite passé le patch ... hélas ce serveur contient pas moins d'une trentaine d'application et serveur divers pour lesquels je n'ai aucune idée des conséquences de l'infection)

Link to comment
Share on other sites

Bonjour Tout le monde,

 

merci pour le fix rapide, cependant,

 

le fixe ne fonctionne pas pour nous ici.. on a tout essayé ! les symptomes ont commencé depuis 3 jours on ne peut plus mettre la boutique en "maintenance", les changements ne sont pas visibles si on rajoute des attributs (mais visible si on fait la vérification directe dans la BD).. de plus "la section nouveaux produits" ne se met plus a jour avec les nouveaux produits... les changements ne prennent pas effet

 

j'ai essayé le fix mais cela n'a pas fonctionner, j'ai fait la MAJ vers la version 1.4.4.1 (espérant régler le bug) mais toujours sans succès. Nous étions sur 1.4.3

 

Au secours, Cordialement

Link to comment
Share on other sites

bonjour !

 

bon ben petit souci pour moi, j'ai voulu faire la procédure de sécurité, mais j'ai plus accés a mon admin, j'ai pourtant bien changé le mdp sur tout. mais rien a faire, quelqu'un aurai une idée???

 

merci

Link to comment
Share on other sites

bonsoir à tous,

j'ai appliqué tts les consignes et tout est ok !

je tiens à souligner que la team a très rapidement identifié le problème et apporté le palliatif ad hoc.

donc j'en déduit qu'il y a une veille et cela me rassure.

Mais,

est il possible de désactiver les messages d'actualité, étant sur le forum tous les jours,

je n'en ai pas besoin ...

alors est ce possible ? a t'on le choix ? ou doit on modifier les fichiers du répertoire Admin\tabs... ?

Link to comment
Share on other sites

Bonsoir,

 

J'ai l'impression que ma journée n'est pas encore tout à fait finie...

A priori, mon site n'était pas infecté (aucun des symptômes décrits dans l'alerte).

 

J'ai néanmoins appliqué le patch comme recommandé.

Conséquence: on ne voit plus apparaitre les produits dans mes catégories. Ou plutôt, ils apparaissent mais sont cachés immédiatement après.

 

Heureusement, j'ai un backup de mon site qui tourne tous les soirs. Je pense que je vais procéder à la restauration....

Link to comment
Share on other sites

Bonjour Tout le monde,

 

merci pour le fix rapide, cependant,

 

le fixe ne fonctionne pas pour nous ici.. on a tout essayé ! les symptomes ont commencé depuis 3 jours on ne peut plus mettre la boutique en "maintenance", les changements ne sont pas visibles si on rajoute des attributs (mais visible si on fait la vérification directe dans la BD).. de plus "la section nouveaux produits" ne se met plus a jour avec les nouveaux produits... les changements ne prennent pas effet

 

j'ai essayé le fix mais cela n'a pas fonctionner, j'ai fait la MAJ vers la version 1.4.4.1 (espérant régler le bug) mais toujours sans succès. Nous étions sur 1.4.3

 

Au secours, Cordialement

 

Rebonjour Tout le monde,

le fix fonctionne bien et pour mon problème précedant, j'ai du en plus de la recette que Prestashop propose, j'ai du "resetter" le cache

PERFORMANCE > CACHE en bas de la page descariver et reactiver

 

le tout fonctionne a merveille, MERCI beaucoup à toute l'équipe pour le fix rapide

 

PrestaShop demeure toujours la meilleure solution E-Commerce et la plus sécuritaire malgré tout ! pour rassurer les futures PrestaShoppiens et pour en avoir tester plusieurs ! Bon succès

Link to comment
Share on other sites

Bonjour,

 

Thoran : Vous pouvez contacter directement Carl Favre l'un des Community Manager ou Michaël Marinetti un des membres de la team pour avoir de l'aide sur votre problème.

 

l'indien : Pour le moment, il n'y a pas d'option pour désactiver le flux, cependant vous pouvez le faire en modifiant le fichier ajax.php, ceci dit, il existe d'autre sujet qui en parle, je n'ai pas les liens sous la main mais vous pourrez facilement les trouver

 

OlivOliv : Je vous invite à faire la même que Thoran si vous rencontrez encore un problème.

 

africart : Pour plus de sécurité cela ne coute rien de vider le dossier compile et cache de Smarty 2

 

Cordialement.

Link to comment
Share on other sites

Bonjour,

 

J'ai compris qu'il fallait vider~/tools/smarty/compile/

 

Faut-il procéder de même avec ~/tools/smarty_v2/compile/

???????

Cordialement

 

Sauf erreur smarty_v2 et smarty ne fonctionne pas en meme temps.

 

Je serai tenté de dire que si vous avez des entrées dans smarty/compile/, les entrées dans smarty_v2/compile/ qui est l'ancienne version sont obsolètes et vous pouvez donc les virer sans soucis.

Link to comment
Share on other sites

OlivOliv

 

A testez

-1°/ Activer Vider le cache et forcer la compile dans le Back office

 

2°/ Ensuite dans votre FTP allez dans le répertoire suivant \img\ à la racine de votre site

copier l 'intégralité du répertoire \P\ sur votre PC et réinjecter ce répertoire au même endroits (dossier IMG à la racine) sur le FTP

 

Toujours sur votre ftp

3°/ Allez dans \Tools\ Smarty\

Ouvrez le répertoire \Cache \ supprimez tous ce qui si trouve SAUF index.php

 

3.1°/Allez dans \Tools\ Smarty\

Ouvrez le répertoire \Compile \ supprimez tous ce qui si trouve SAUF index.php

 

3.2°/Allez dans \Tools\ Smarty_v2\

Ouvrez le répertoire\Cache \ supprimez tous ce qui si trouve SAUF index.php

 

3.3°/Allez dans \Tools\ Smarty_v2\

Ouvrez le répertoire \Compile \ supprimez tous ce qui si trouve SAUF index.php

 

4°/Revenez sur votre Back office

Désactiver Vider le cache et désactiver forcer la compile dans le Back office (pour passer en mode de production )

 

5°/Revenez sur le Front Office

Faites un CTRL+F5 et vérifier si les image produits sont à nouveau présentes

 

PS: avez vous bien modifié le mot de passe de la base données aussi bien sur celle ci, que, dans le fichier setting.inc.php comme indiqué dans le procédure pour Fixer le patch ?

 

Cordialement,

Link to comment
Share on other sites

Conséquence: on ne voit plus apparaitre les produits dans mes catégories. Ou plutôt, ils apparaissent mais sont cachés immédiatement après.

 

Bonjour,

 

Essaye de désactiver le bloc navigation à facettes si celui-ci est activé.

Link to comment
Share on other sites

bonsoir à tous,

j'ai appliqué tts les consignes et tout est ok !

je tiens à souligner que la team a très rapidement identifié le problème et apporté le palliatif ad hoc.

donc j'en déduit qu'il y a une veille et cela me rassure.

Mais,

est il possible de désactiver les messages d'actualité, étant sur le forum tous les jours,

je n'en ai pas besoin ...

alors est ce possible ? a t'on le choix ? ou doit on modifier les fichiers du répertoire Admin\tabs... ?

J'ai donné une réponse ici http://www.prestashop.com/forums/topic/126114-please-read-security-procedure/page__view__findpost__p__616486tongue.gif

Link to comment
Share on other sites

Bonsoir,

après plusieurs essais d'appliquer la procédure, on a toujours pas accès ni au back office ni au shop.

après l'étape 4, lorsque nous nous rendons sur http://www.l'adressedenomshop.com/herfix.php est on censé apercevoir quelque chose à l’écran, une preuve de ce qu'il se passe?

car après avoir fait tout cela, supprimer le fichier herfix.php et renommez le répertoire admin, il nous est toujours impossible d'avoir accès au back office.

merci

Link to comment
Share on other sites

  • 2 weeks later...

Bjr a tous je viens de prendre connaissance du probleme ... a priori ma boutiqe n'est pas affecte mais j'aimerai etre tranquile et eviter de futur pb ...

je ne sais pas comment changer le mot d epasse de ma BDD ...

 

Pour le reste g a peu pres compris mais sans pouvoir changer le mot de passe je ne ve po essayer ...

me conseillez vous d'effectuer une sauvegarde de celle ci avant ?

dois je sauvegarder mes fichier prestashop de mon serveur ?

question a part ... quelles sont les modif de la nouvelle version 1.4.4.1? est ce que cela a a voir avec le bug ? dois je faire ma maj ? qu'est ce que je risque si je la fait ? si je ne la fait pas ?

 

dsl je suis perdu !!

Link to comment
Share on other sites

Bonjour a tous !

 

j'aurai besoin svp d'une reponse tres rapide ...

je suis en train d'essayer d'installer le correctif de PS ... le pb c'est que mon hebergeur ( ovh ) ne peut me donner de nouveau acces a la BDD car PS a ete installer automatiquement ... c'est c equ'il m'ont dit ...

 

comment je fait moi ?

 

Merci bcp

Link to comment
Share on other sites

Comme tu peux le voir dans le changelog ci-dessous la 1.4.4.1 n'apporte aucune fonctionnalité en plus.

 

On a juste intégré des modifications pour bloquer le malware. Si tu as appliqué le fix sur ta 1.4.x tu peux donc attendre la prochaine version pour mettre à jour.

 

####################################

# v1.4.4.1 - NONE (2011-08-25) #

####################################

 

Fixed bugs:

 

[-] Security: security fix on AdminHome file

Link to comment
Share on other sites

dsl d'être "idiot" le malware c'est le pb que vous avez eu ?

pourquoi alors ne pas passer a la nouvelle version sans appliquer le patch ? c'est peut etre pareil apres tout ... ? (je n'y connais rien dsl ...)

 

Comme annonce plus haut je ne peux changer le mot de passe d'acces a la BDD car PS installe en auto via OVH ( ma boutique n'etait pas infectee...) je fait comment ?

Link to comment
Share on other sites