Procédure de sécurité à lire attentivement - Discussion générale - PrestaShop

Jump to content

Photo

Procédure de sécurité à lire attentivement

#1

Posted 24 August 2011 - 06:49 PM

Carl Favre

    Community Addict

  • Members
  • PipPipPipPip
  • 3929 Active Posts
Le site officiel prestashop.com a été victime d’une infraction électronique entrainant le détournement d’un script de mise à jour d’actualité, visible depuis le back office des boutiques PrestaShop.

L’équipe PrestaShop a mis tout en œuvre pour identifier et corriger rapidement le problème, un correctif est dès à présent disponible.


Comment savoir si je suis concerné ?

Seuls les utilisateurs de la version 1.4 /1.4.1/ 1.4.2/1.4.3/1.4.4 sont concernés, mais pas forcément touchés.

Si vous utilisez une de ces versions, vérifiez si:
  • un fichier « her.php » se trouve à la racine de votre répertoire /modules
  • des fichiers « .php » autres que « index.php » se trouvent dans les répertoires /upload et /download
  • le fichier footer.tpl de votre thème a été modifié
  • le répertoire tools/smarty_v2 a disparu
Si vous êtes dans au moins un de ces cas, votre boutique est affectée, mais vous pouvez très simplement corriger le problème, en suivant la procédure ci-dessous.

Par mesure de prévention, nous vous conseillons d'appliquer ce correctif même si votre boutique n'a pas été affectée.

Que dois-je faire ?

1. Changez le mot de passe de votre base de données ou contactez votre hébergeur si vous ne savez pas comment procéder.

Une fois le changement de mot de passe effectué, ouvrez le fichier settings.inc.php du dossier /config et remplacez votre ancien mot de passe par le nouveau. Voir ci-dessous.

Attached File  screen.png   41.24KB   333 downloads

2. Téléchargez ensuite le correctif élaboré par PrestaShop en cliquant ici

3. Placez-le à la racine de votre boutique avec votre client FTP (Filezilla, Transmit…)

4. Rendez-vous à l’adresse http://www.maboutique.com/herfix.php

5. Le correctif est maintenant appliqué, n'oubliez pas de supprimer le fichier herfix.php précédemment chargé à la racine de votre boutique

6. Renommez votre répertoire admin

7. Changez le mot de passe de tous vos administrateurs back office

Pour toute aide et questions complémentaires, envoyez-nous un e-mail à security@prestashop.com .

Vous recevrez immédiatement une réponse de notre équipe à vos questions.

Toute l’équipe PrestaShop souhaite remercier la communauté de son implication dans la résolution de ce problème.

#2

Posted 24 August 2011 - 07:00 PM

Patrick21

    PrestaShop Enthusiast

  • Members
  • PipPip
  • 207 Active Posts
Bonsoir

Doit on appliquer le fix sur les boutiques non impactées ?

Patrick
Prestashop 1.2.5.0 - 1.4.3.0

#3

Posted 24 August 2011 - 07:01 PM

Carl Favre

    Community Addict

  • Members
  • PipPipPipPip
  • 3929 Active Posts
Hello Patrick,

Le fix doit être appliqué sur toutes les versions 1.4.

#4

Posted 24 August 2011 - 07:08 PM

coeos.pro

    PrestaShop Superstar

  • Global Moderators
  • 5644 Active Posts
Pour les 4 points à vérifier, ceux qui sont contaminés ont forcément les 4 points ou ça peut juste être 1 point ?

Vous avez mis pour le point 4 : "le répertoire tools/smartyv2 a disparu" en fait c'est tools/smarty_v2

#5

Posted 24 August 2011 - 07:15 PM

africart

    PrestaShop Enthusiast

  • Members
  • PipPip
  • 184 Active Posts
Et si on a le miroir en local ?
meme procédure ?
Doit-on aussi modifier le mot de passe de la base de données, etc ?

#6

Posted 24 August 2011 - 07:17 PM

Raphaël Malié

    PrestArchitecte

  • Members
  • PipPipPip
  • 800 Active Posts
Si vous avez eu ce bug en local, pas besoin de changer le mot de passe de votre base de donnée sauf si celle ci est accessible depuis l'extérieur, ce qui n'est pas le cas par défaut.
Ex-PrestaShop Core Developer - CTO @ Tous Voisins http://www.tousvoisins.fr

#7

Posted 24 August 2011 - 07:58 PM

Sam59

    PrestaShop Enthusiast

  • Members
  • PipPip
  • 401 Active Posts
Faut-il changer le mot de passe BDD même si on n'est pas affecté ?

Freestyle Création


#8

Posted 24 August 2011 - 08:44 PM

Stéphane Cataldi

    PrestaShop Apprentice

  • Members
  • PipPip
  • 27 Active Posts
Bonsoir,
Il est indiqué qu'il faut effacer le fix après application mais apparemment il s'efface tout seul ?

#9

Posted 24 August 2011 - 08:50 PM

Raphaël Malié

    PrestArchitecte

  • Members
  • PipPipPip
  • 800 Active Posts
Bonsoir,
il s'efface tout seul s'il a les droits nécessaire pour le faire, ce n'est pas toujours le cas et une seconde vérification manuelle est toujours positive.

Cordialement
Ex-PrestaShop Core Developer - CTO @ Tous Voisins http://www.tousvoisins.fr

#10

Posted 24 August 2011 - 08:54 PM

electro

    PrestaShop Newbie

  • Members
  • Pip
  • 7 Active Posts
bonjour alors je pensait être le seul a être infecter (j ai eu ce problème un client ma appeler ce matin et me dit que mon site a un cheval de Troie :angry: )
mais en faite c'est tous le monde alors la ca fous le Bor..

merci pour le fix prestashop qui ma permis de réparer mon site ;)
(grosse sueur en perspective :angry: )

svp faire suivre ce forum a tous ceux qui on une boutique prestat version 1.4 ou envoyer un mail :)

#11

Posted 24 August 2011 - 09:07 PM

dino31

    PrestaShop Newbie

  • Members
  • Pip
  • 6 Active Posts
Bonsoir,
Faut-il changer et appliquer la procédure même si on n'est pas affecté
mais étant sous prestashop 1.4.3 ?
Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?
Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?

Merci pour les précisions.
;)
PrestaShop™ 1.4.3

#12

Posted 24 August 2011 - 09:21 PM

noiset

    PrestaShop Newbie

  • Members
  • Pip
  • 13 Active Posts
Quelqu'un a des nouvelles ?

Une réponse à la question précédente ?

"Faut-il changer et appliquer la procédure même si on n'est pas affecté
mais étant sous prestashop 1.4.3 ?
Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?
Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?"


Merci d'avance

#13

Posted 24 August 2011 - 09:26 PM

a-prods

    PrestaShop Enthusiast

  • Members
  • PipPip
  • 459 Active Posts
[quote name='dino31' timestamp='1314216420' post='615291']
Bonsoir,
Faut-il changer et appliquer la procédure même si on n'est pas affecté
mais étant sous prestashop 1.4.3 ?
Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?
Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?

Merci pour les précisions.
;)
[/quote]

Carl Favre a deja repondu ...

[quote name='Carl Favre' timestamp='1314208877' post='615175']
Hello Patrick,

Le fix doit être appliqué sur toutes les versions 1.4.
[/quote]
Protegez vos SMS et email sur iphone par cryptage et mot de passe: http://www.encode-it.com (pas assez de vente :( )
PS 1.3.7.0 à 1.4.3.0

#14

Posted 24 August 2011 - 09:32 PM

electro

    PrestaShop Newbie

  • Members
  • Pip
  • 7 Active Posts
ba si vous ete pas infecter c'est déjà ça :)
garder le correctif a porter de main on sait jamais mais a première vue il on identifier le pirate qui nous a fit ch.. donc ce devrait plus continuer enfin je croise les doigts pour que ça arrive pas
car quand un client vous appelle et vous dit que votre site a un chevale de troie ça fait des grosse sueur dans le dos
sans compter toute les vente perdue, les clients perdu qui reviendrons pas sur le site, nous on a ete bloquer toute la mâtiné avec se problème c'est notre hébergeur 1&1 qui nous a dit ou était le problème (code dans thème)mais avec le correctif de prestat on c'est rendu compte qu'il restait des trace de ce hacker
merci encore a eu pour cette correction
cordialement


j'avais pas vue :blink:
Carl Favre a deja repondu ...
Carl Favre, on 24 August 2011 - 07:01 PM, said:
Hello Patrick,

Le fix doit être appliqué sur toutes les versions 1.4.

#15

Posted 24 August 2011 - 10:01 PM

Leguman

    PrestaShop Apprentice

  • Members
  • PipPip
  • 37 Active Posts
J'ai beau installer le fichier et l’exécuter, j'ai bien un OK
mais après visite, je continue à avoir une alerte CHEVAL de Troie d'Avast !

Que faire ?

Merci pour votre aide.

#16

Posted 24 August 2011 - 10:11 PM

delcom599

    PrestaShop Apprentice

  • Members
  • PipPip
  • 67 Active Posts
Bonsoir et merci pour la correction Herfix.php.

J'étais aussi infecté et après avoir suivi la procédure et vérifié mes fichiers, tout semble normal.

Encore merci et bonne continuation.

Sincèrement.

Franck (weby-shop.com)
www.weby-shop.com

#17

Posted 24 August 2011 - 10:19 PM

Eolia

    PrestaShop Superstar

  • Members
  • PipPipPipPipPip
  • 9943 Active Posts
Bonsoir à tous :)

Une petite sécurité (indispensable à mon avis) car je trouve très dangereux de laisser "en clair" ses mots de passe et identifiants à la base de donnée.
Dans settings.inc.php écrivez ceci
<?php
include ("/home/votre_repertoire_root/securedata/passdb.php");
define('__PS_BASE_URI__', '/');
define('_MEDIA_SERVER_1_', '');
define('_MEDIA_SERVER_2_', '');
define('_MEDIA_SERVER_3_', '');
define('_PS_CACHING_SYSTEM_', 'CacheFS');
define('_PS_CACHE_ENABLED_', '1');
define('_THEME_NAME_', 'white');
define('_DB_NAME_', $db_name);
define('_MYSQL_ENGINE_', 'MyISAM');
define('_DB_SERVER_', 'localhost');
define('_DB_USER_', $db_user);
define('_DB_PREFIX_', $db_prefix);
define('_DB_PASSWD_', $db_passwd);
define('_DB_TYPE_', 'MySQL');
define('_COOKIE_KEY_', '0D8FkQuiyBpEbqmjUJrt5DJbIFVRc5ErEkRGcc4m1Riam6tCNhAPfQa5');
define('_COOKIE_IV_', 'THMgydL7');
define('_RIJNDAEL_KEY_', 'mjGup041tWsdUURJhTX5JbuuiWLQsgBM');
define('_RIJNDAEL_IV_', 'MtEhEgf5aaWNZpFm5KYOhw==');
define('_PS_VERSION_', '1.4.2.5');

?>

Ensuite créez un fichier nommé "passdb.php" et placez-le AVANT votre répertoire public-html (Dans la zone non-accessible aux personnes extérieures par le biais du web) et inscrivez ceci à l'intérieur:
<?php
$db_user   = "votre_identifiant";   //database username here
$db_passwd = "votre_mot_de_passe";  //database password here
$db_name   = "le_nom_de_votre_base";    //your database name here
$db_prefix = "le_prefixe_de_votre_base"; // your prefix database name
?>


N'oubliez pas le "include" au début du fichier qui indique le chemin du fichier à consulter et ne mettez pas de ' autour de vos variables.

Un peu plus de sécurité ne peux pas faire de mal Posted Image

Eolia

PS: Il reste le problème des mots de passe et identifiants en clair dans les emails d'inscription mais ça va venir...

Independent Developer Bugs investigator PrestaShop Aware: Community Helper & Contributor
Eolia Shop ModulesPrestations sur mesure, Dépannage et Conseils
 Une question en français ? aide.prestashop.click réponse dans l'heure !
"Il y a au moins deux choses infinies au monde : l'univers et la bêtise humaine....mais pour l'univers je n'en suis pas très sûr" - Albert Einstein


#18

Posted 24 August 2011 - 11:06 PM

le-lutin31

    PrestaShop Addict

  • Members
  • PipPipPip
  • 546 Active Posts

Quelqu'un a des nouvelles ?

Une réponse à la question précédente ?

"Faut-il changer et appliquer la procédure même si on n'est pas affecté
mais étant sous prestashop 1.4.3 ?
Y a t-il un risque pour la suite si ce n'est pas fait puisque je ne suis pas affecté ?
Est-il préférable de faire quand même la procédure même si je ne suis pas affecté ?"


Merci d'avance


Mais bon dieu c'est écrit et clair. pour toutes les version 1.4, vérifier qu'il n'y est qu'un seul fichier php dans module, upload, et download, si le nombre n'est pas exact mettez le fichier.

C'est pas sorcier quand même.

#19

Posted 24 August 2011 - 11:38 PM

coeos.pro

    PrestaShop Superstar

  • Global Moderators
  • 5644 Active Posts
@Eolia:
J'ai pas compris en quoi c'était plus sécurisant de mettre les mots de passe dans un autre fichier, si quelqu'un de malveillant créait un module qui envoi les mdp par mail (ou autre) ta solution n'apporte pas grand chose, on a toujours _DB_NAME_, _DB_USER_, _DB_PASSWD_ et _DB_PREFIX_

Pour les mots de passe et identifiants en clair dans les emails, si quelqu'un a accès à ta boite mail de toute façon il peut cliquer sur "mot de passe oublié" et faire ce qu'il veut ensuite.

#20

Posted 25 August 2011 - 12:16 AM

le-lutin31

    PrestaShop Addict

  • Members
  • PipPipPip
  • 546 Active Posts

@Eolia:
J'ai pas compris en quoi c'était plus sécurisant de mettre les mots de passe dans un autre fichier, si quelqu'un de malveillant créait un module qui envoi les mdp par mail (ou autre) ta solution n'apporte pas grand chose, on a toujours _DB_NAME_, _DB_USER_, _DB_PASSWD_ et _DB_PREFIX_

Pour les mots de passe et identifiants en clair dans les emails, si quelqu'un a accès à ta boite mail de toute façon il peut cliquer sur "mot de passe oublié" et faire ce qu'il veut ensuite.


exact, le remède est pour le moment celui là mais Prestashop doit créer le vaccin.


0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Cookies help us deliver our services. By using our services, you agree to use our cookies.     Learn more