Jump to content
Carl Favre

Procédure de sécurité à lire attentivement

Recommended Posts

Le site officiel prestashop.com a été victime d’une infraction électronique entrainant le détournement d’un script de mise à jour d’actualité, visible depuis le back office des boutiques PrestaShop.

 

L’équipe PrestaShop a mis tout en œuvre pour identifier et corriger rapidement le problème, un correctif est dès à présent disponible.

 

 

Comment savoir si je suis concerné ?

 

Seuls les utilisateurs de la version 1.4 /1.4.1/ 1.4.2/1.4.3/1.4.4 sont concernés, mais pas forcément touchés.

 

Si vous utilisez une de ces versions, vérifiez si:

  • un fichier « her.php » se trouve à la racine de votre répertoire /modules
  • des fichiers « .php » autres que « index.php » se trouvent dans les répertoires /upload et /download
  • le fichier footer.tpl de votre thème a été modifié
  • le répertoire tools/smarty_v2 a disparu

Si vous êtes dans au moins un de ces cas, votre boutique est affectée, mais vous pouvez très simplement corriger le problème, en suivant la procédure ci-dessous.

 

Par mesure de prévention, nous vous conseillons d'appliquer ce correctif même si votre boutique n'a pas été affectée.

 

Que dois-je faire ?

 

1. Changez le mot de passe de votre base de données ou contactez votre hébergeur si vous ne savez pas comment procéder.

 

Une fois le changement de mot de passe effectué, ouvrez le fichier settings.inc.php du dossier /config et remplacez votre ancien mot de passe par le nouveau. Voir ci-dessous.

 

post-268579-0-46066700-1314203464_thumb.png

 

2. Téléchargez ensuite le correctif élaboré par PrestaShop en cliquant ici

 

3. Placez-le à la racine de votre boutique avec votre client FTP (Filezilla, Transmit…)

 

4. Rendez-vous à l’adresse http://www.maboutique.com/herfix.php

 

5. Le correctif est maintenant appliqué, n'oubliez pas de supprimer le fichier herfix.php précédemment chargé à la racine de votre boutique

 

6. Renommez votre répertoire admin

 

7. Changez le mot de passe de tous vos administrateurs back office

 

Pour toute aide et questions complémentaires, envoyez-nous un e-mail à security@prestashop.com .

 

Vous recevrez immédiatement une réponse de notre équipe à vos questions.

 

Toute l’équipe PrestaShop souhaite remercier la communauté de son implication dans la résolution de ce problème.

Share this post


Link to post
Share on other sites

Pour les 4 points à vérifier, ceux qui sont contaminés ont forcément les 4 points ou ça peut juste être 1 point ?

 

Vous avez mis pour le point 4 : "le répertoire tools/smartyv2 a disparu" en fait c'est tools/smarty_v2

Share this post


Link to post
Share on other sites

bonjour alors je pensait être le seul a être infecter (j ai eu ce problème un client ma appeler ce matin et me dit que mon site a un cheval de Troie :angry: )

mais en faite c'est tous le monde alors la ca fous le Bor..

 

merci pour le fix prestashop qui ma permis de réparer mon site ;)

(grosse sueur en perspective :angry: )

 

svp faire suivre ce forum a tous ceux qui on une boutique prestat version 1.4 ou envoyer un mail :)

Share this post


Link to post
Share on other sites

Bonsoir,

Faut-il changer et appliquer la procédure même si on n'est pas affecté

mais étant sous prestashop 1.4.3 ?

Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?

Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?

 

Merci pour les précisions.

;)

Share this post


Link to post
Share on other sites

Quelqu'un a des nouvelles ?

 

Une réponse à la question précédente ?

 

"Faut-il changer et appliquer la procédure même si on n'est pas affecté

mais étant sous prestashop 1.4.3 ?

Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?

Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?"

 

Merci d'avance

Share this post


Link to post
Share on other sites

Bonsoir,

Faut-il changer et appliquer la procédure même si on n'est pas affecté

mais étant sous prestashop 1.4.3 ?

Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?

Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?

 

Merci pour les précisions.

;)

 

Carl Favre a deja repondu ...

 

Hello Patrick,

 

Le fix doit être appliqué sur toutes les versions 1.4.

Share this post


Link to post
Share on other sites

ba si vous ete pas infecter c'est déjà ça :)

garder le correctif a porter de main on sait jamais mais a première vue il on identifier le pirate qui nous a fit ch.. donc ce devrait plus continuer enfin je croise les doigts pour que ça arrive pas

car quand un client vous appelle et vous dit que votre site a un chevale de troie ça fait des grosse sueur dans le dos

sans compter toute les vente perdue, les clients perdu qui reviendrons pas sur le site, nous on a ete bloquer toute la mâtiné avec se problème c'est notre hébergeur 1&1 qui nous a dit ou était le problème (code dans thème)mais avec le correctif de prestat on c'est rendu compte qu'il restait des trace de ce hacker

merci encore a eu pour cette correction

cordialement

 

 

j'avais pas vue :blink:

Carl Favre a deja repondu ...

Carl Favre, on 24 August 2011 - 07:01 PM, said:

Hello Patrick,

 

Le fix doit être appliqué sur toutes les versions 1.4.

Share this post


Link to post
Share on other sites

J'ai beau installer le fichier et l’exécuter, j'ai bien un OK

mais après visite, je continue à avoir une alerte CHEVAL de Troie d'Avast !

 

Que faire ?

 

Merci pour votre aide.

Share this post


Link to post
Share on other sites

Bonsoir et merci pour la correction Herfix.php.

 

J'étais aussi infecté et après avoir suivi la procédure et vérifié mes fichiers, tout semble normal.

 

Encore merci et bonne continuation.

 

Sincèrement.

 

Franck (weby-shop.com)

Share this post


Link to post
Share on other sites

Bonsoir à tous :)

 

Une petite sécurité (indispensable à mon avis) car je trouve très dangereux de laisser "en clair" ses mots de passe et identifiants à la base de donnée.

Dans settings.inc.php écrivez ceci

<?php
include ("/home/votre_repertoire_root/securedata/passdb.php");
define('__PS_BASE_URI__', '/');
define('_MEDIA_SERVER_1_', '');
define('_MEDIA_SERVER_2_', '');
define('_MEDIA_SERVER_3_', '');
define('_PS_CACHING_SYSTEM_', 'CacheFS');
define('_PS_CACHE_ENABLED_', '1');
define('_THEME_NAME_', 'white');
define('_DB_NAME_', $db_name);
define('_MYSQL_ENGINE_', 'MyISAM');
define('_DB_SERVER_', 'localhost');
define('_DB_USER_', $db_user);
define('_DB_PREFIX_', $db_prefix);
define('_DB_PASSWD_', $db_passwd);
define('_DB_TYPE_', 'MySQL');
define('_COOKIE_KEY_', '0D8FkQuiyBpEbqmjUJrt5DJbIFVRc5ErEkRGcc4m1Riam6tCNhAPfQa5');
define('_COOKIE_IV_', 'THMgydL7');
define('_RIJNDAEL_KEY_', 'mjGup041tWsdUURJhTX5JbuuiWLQsgBM');
define('_RIJNDAEL_IV_', 'MtEhEgf5aaWNZpFm5KYOhw==');
define('_PS_VERSION_', '1.4.2.5');

?>

 

Ensuite créez un fichier nommé "passdb.php" et placez-le AVANT votre répertoire public-html (Dans la zone non-accessible aux personnes extérieures par le biais du web) et inscrivez ceci à l'intérieur:

<?php
$db_user   = "votre_identifiant";   //database username here
$db_passwd = "votre_mot_de_passe";  //database password here
$db_name   = "le_nom_de_votre_base";    //your database name here
$db_prefix = "le_prefixe_de_votre_base"; // your prefix database name
?>

 

 

N'oubliez pas le "include" au début du fichier qui indique le chemin du fichier à consulter et ne mettez pas de ' autour de vos variables.

 

Un peu plus de sécurité ne peux pas faire de mal tongue.gif

 

Eolia

 

PS: Il reste le problème des mots de passe et identifiants en clair dans les emails d'inscription mais ça va venir...

Share this post


Link to post
Share on other sites

Quelqu'un a des nouvelles ?

 

Une réponse à la question précédente ?

 

"Faut-il changer et appliquer la procédure même si on n'est pas affecté

mais étant sous prestashop 1.4.3 ?

Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?

Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?"

 

Merci d'avance

 

Mais bon dieu c'est écrit et clair. pour toutes les version 1.4, vérifier qu'il n'y est qu'un seul fichier php dans module, upload, et download, si le nombre n'est pas exact mettez le fichier.

 

C'est pas sorcier quand même.

Share this post


Link to post
Share on other sites

@Eolia:

J'ai pas compris en quoi c'était plus sécurisant de mettre les mots de passe dans un autre fichier, si quelqu'un de malveillant créait un module qui envoi les mdp par mail (ou autre) ta solution n'apporte pas grand chose, on a toujours _DB_NAME_, _DB_USER_, _DB_PASSWD_ et _DB_PREFIX_

 

Pour les mots de passe et identifiants en clair dans les emails, si quelqu'un a accès à ta boite mail de toute façon il peut cliquer sur "mot de passe oublié" et faire ce qu'il veut ensuite.

Share this post


Link to post
Share on other sites

@Eolia:

J'ai pas compris en quoi c'était plus sécurisant de mettre les mots de passe dans un autre fichier, si quelqu'un de malveillant créait un module qui envoi les mdp par mail (ou autre) ta solution n'apporte pas grand chose, on a toujours _DB_NAME_, _DB_USER_, _DB_PASSWD_ et _DB_PREFIX_

 

Pour les mots de passe et identifiants en clair dans les emails, si quelqu'un a accès à ta boite mail de toute façon il peut cliquer sur "mot de passe oublié" et faire ce qu'il veut ensuite.

 

exact, le remède est pour le moment celui là mais Prestashop doit créer le vaccin.

Share this post


Link to post
Share on other sites

Bonjour

 

peut on avoir la liste des fihiers qui ont été patchés pour en assurer une sauvegarde ?

 

Patrick

 

Le fichier admin/ajax.php est modifié, et un .htaccess est ajouté à dans le dossier download.

Share this post


Link to post
Share on other sites

Bonsoir à tous :)

 

Une petite sécurité (indispensable à mon avis) car je trouve très dangereux de laisser "en clair" ses mots de passe et identifiants à la base de donnée.

Dans settings.inc.php écrivez ceci

<?php
include ("/home/votre_repertoire_root/securedata/passdb.php");
define('__PS_BASE_URI__', '/');
define('_MEDIA_SERVER_1_', '');
define('_MEDIA_SERVER_2_', '');
define('_MEDIA_SERVER_3_', '');
define('_PS_CACHING_SYSTEM_', 'CacheFS');
define('_PS_CACHE_ENABLED_', '1');
define('_THEME_NAME_', 'white');
define('_DB_NAME_', $db_name);
define('_MYSQL_ENGINE_', 'MyISAM');
define('_DB_SERVER_', 'localhost');
define('_DB_USER_', $db_user);
define('_DB_PREFIX_', $db_prefix);
define('_DB_PASSWD_', $db_passwd);
define('_DB_TYPE_', 'MySQL');
define('_COOKIE_KEY_', '0D8FkQuiyBpEbqmjUJrt5DJbIFVRc5ErEkRGcc4m1Riam6tCNhAPfQa5');
define('_COOKIE_IV_', 'THMgydL7');
define('_RIJNDAEL_KEY_', 'mjGup041tWsdUURJhTX5JbuuiWLQsgBM');
define('_RIJNDAEL_IV_', 'MtEhEgf5aaWNZpFm5KYOhw==');
define('_PS_VERSION_', '1.4.2.5');

?>

 

Ensuite créez un fichier nommé "passdb.php" et placez-le AVANT votre répertoire public-html (Dans la zone non-accessible aux personnes extérieures par le biais du web) et inscrivez ceci à l'intérieur:

<?php
$db_user   = "votre_identifiant";   //database username here
$db_passwd = "votre_mot_de_passe";  //database password here
$db_name   = "le_nom_de_votre_base";    //your database name here
$db_prefix = "le_prefixe_de_votre_base"; // your prefix database name
?>

 

 

N'oubliez pas le "include" au début du fichier qui indique le chemin du fichier à consulter et ne mettez pas de ' autour de vos variables.

 

Un peu plus de sécurité ne peux pas faire de mal tongue.gif

 

Eolia

 

PS: Il reste le problème des mots de passe et identifiants en clair dans les emails d'inscription mais ça va venir...

 

Sachant qu'il s'agit de fichier php la lecture en est impossible puisque le fichier est d'abords executé par le serveur. Donc à la tentative d'affichage le fichier retournera une page blanche comme ça ou comme ça.

Ensuite, sachant que le hack objet du présent sujet installait un logiciel capable de lire l’arborescence complète du serveur ça ne ferais que déplacer le fichier à risque.

Enfin, les variables sont récupérés par la boutique pour qu'elle puisse fonctionner, encore une fois, peut importe ou le fichier est planqué, un script peut en récupérer le contenue et l'envoyer par email sans problème.

 

Je me trompe ?

Share this post


Link to post
Share on other sites

Bonjour,

 

Voilà j'ai suivi toutes les indications a la lettre pour mettre le patch, résultat j'ai plus de site??? et apparemment je ne suis pas le seul avoir ce problème après avoir appliquer tout ça.

 

Par contre j'accés au BO mais plus de front office.

 

Pourrions nous avoir de l'aide car personne ne répond a cette question.

 

Merci. !

 

Cordialement Tchupa.

Share this post


Link to post
Share on other sites

Bonjour,

 

la version de prestashop en téléchargement est-elle mise à jour à l'heure actuelle ou doit on mettre le fix quand même ?

 

merci

On est encore dans une situation très intermédiaire.

Ajax.php était modifié sur le SVN (version 8176, 24/08/2011 vers 15h57), et le fix remet en place la 7674.

Le SVN n'a pas été mis à jour depuis et en reste, pour l'instant, à la 8176.

 

Je suppose que la team va faire rapidement le nécessaire, mais il faut le temps au temps ...

Share this post


Link to post
Share on other sites

Quels sont les fichiers exactes qui sont modifiés par le fix? Car pour certain ça fou plus le bordel que sa corrige quoi que se soit.

Share this post


Link to post
Share on other sites

Merci à vous en tout cas pour la réactivité sur ce dossier ! Chapeau. J'ai reçu l'email cette nuit et un correctif est déjà en place. Bravo l'équipe PrestaShop.

 

Julien

Share this post


Link to post
Share on other sites

Bonjour,

 

Voilà j'ai suivi toutes les indications a la lettre pour mettre le patch, résultat j'ai plus de site??? et apparemment je ne suis pas le seul avoir ce problème après avoir appliquer tout ça.

 

Par contre j'accés au BO mais plus de front office.

 

Pourrions nous avoir de l'aide car personne ne répond a cette question.

 

Merci. !

 

Cordialement Tchupa.

 

En même temps le patch concernait uniquement les boutiques en Prestashop 1.4 et supérieures... On dirait que la votre était en 1.3 donc c'est logique que ça puisse créer des problèmes non ?

J'espère que vous aviez fait une copie de vos fichiers avant l'application du patch !

Share this post


Link to post
Share on other sites

Important : pour ceux qui ont appliqué le fix avant ce matin 10h, pensez à vider votre dossier ~/tools/smarty/compile/, il y a eu un petit oubli sur le fix qui ne vidait pas ce dossier mais ça a été corrigé.

 

Cordialement

Share this post


Link to post
Share on other sites

Important : pour ceux qui ont appliqué le fix avant ce matin 10h, pensez à vider votre dossier ~/tools/smarty/compile/, il y a eu un petit oubli sur le fix qui ne vidait pas ce dossier mais ça a été corrigé.

 

Cordialement

 

Bonjour Raphael

 

il faut vider quoi dans ce fichier ?

Tout inclu le fichier index.php ou juste les noms a rallonge ?

 

Il faut les supprimer comme cela en dure via le FTP ? Ca va pas fiche le bazar sur la boutique ?

 

Merci de tes précisions

Cordialement

Christian

Share this post


Link to post
Share on other sites

Merci Carl. Suppression faite.

 

Une autre question (j'en profite).

Mon premier site celui de ma signature était infecté j'ai donc suivi la procédure en entier.

Par contre celui de madame (qui est en maintenance et en cours de création) n'était pas infecté.

Je me suis donc limité a installer le patch mais je n'ai pas modifié les mots de passe, nom du dossier admin etc.

 

Je présume que toutes ces modifs étaient utiles seulement pour les sites infectés car le hacker avait du coup pu récupérer nos infos. Mais dans le cas d'un site non infecté la mise en place du patch devrait être suffisante, non ?

Ai je raison et bien fait ?

Merci d'avance

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×