Besoin d'une intervention suite à un piratage

[timalmax]

Bonjour,

 

 

Le site est hébergé sur un serveur mutualisé de OVH.
Nous utilisons la version 1.5.4.1 de Prestashop.

 

Depuis 1 mois, OVH coupe de facon intempestive notre serveur WEB suite à une activité suspecte sur notre serveur.

 

Nous avons tenté de mettre à jour le prestashop mais cela n'a pas fonctionné.

 

Nous avons eu une nouvelle coupure cette nuit et j'avoue être complètement dépasser par les évènements.

 

Voici le mail recu de OVH recu par mon client :

 

Bonjour,

Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :


Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /homez.723/www/themes/theme595/modules/.nfs000000000215ee67000012cb
Horodatage: 2014-11-07 11:30:11

Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.

Si ce n'est pas vous qui avez lancé ce script, cela signifie
qu'il y a une faille sur votre site et qu'un hacker s'en
est servi pour réaliser cette opération.

Nous avons désactivé l'accès web temporairement pour éviter tout
risque de nouveau piratage.

Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problème. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.

Comment faire ?
Consultez ces guides :
-  http://guides.ovh.com/AlerteHackMutu
-  http://guides.ovh.com/SecuriteSite

Une fois le problème résolu, vous pouvez rouvrir votre site
en remettant les bons droits sur le répertoire racine (chmod 705 .).
--------------------------------------------------------

 

Il semblerait qu'un petit malin s'amuse a créer des fichiers et ensuite à les supprimer sur notre serveur.
Ovh considère cela comme du piratage et coupe donc le serveur WEB.

 

Mes clients souhaiteraient faire appel à un professionnel pour :

-Mettre à jour Prestashop avec la derniere version et s'assurer que le site passe bien suite à la MAJ
- Corriger ou sécurisé les fichiers afin que ces intrusions ne soient plus possible.

 

Merci de nous faire parvenir une proposition pour cette intervention.

 

Bien cordialement,

Maxime

Edited January 12, 2015 by timalmax (see edit history)

[Easy Site]

Bonjour

 

Vous avez quoi comme module slider ?

 

Nico

[Oron]

Bonjour

 

De quel manière ce hacker s'est connecter sur votre site ?

Combien de personne ont accès à FTP,  dossier d'administration ?

 

Les postes que vous utilisez sont-ils sécurisé par un antivirus ?

 

Avant de faire quoi que ce soit il faut déterminer de quel manière on a accéder à vos données.

Quel version actuellement ?

Edited November 7, 2014 by Oron (see edit history)

[timalmax]

Bonjour et merci pour vos messages.

 

Concernant les divers slider du site, nous utilisons le module ads & Slideshow

 

Nous ne savons justement pas comment le hacker a pu faire cette intrusion.
Concernant le serveur FTP je suis le seul a y avoir accès.

Pour le backoffice c'est moi et ma cliente.

 

Mon pc a bien un antivirus Kaspersky et j'utilise régulierement les logiciels suivants : Search and destroy et CCleaner.

 

Concernant ma cliente je me rapproche d'elle pour savoir si elle a bien protéger son pc.

 

Nous utilisons actuellement la version 1.5.4.1 de PS

 

Cordialement,

Maxime

[Oron]

Search and Destroy ne protège pas systématiquent, il cherche propose de détruire et immunise des fichiers.

Ccleaner ne protège en rien c'est juste une aide à garde un pc propre, fichier cache, temporaire, log, cookies etc..

Désinstaller des logiciels et nettoyer la base de registre.

 

Si kaspersky ne le fait pas il vous faut aussi un antimalware style MalwareByte, après il y a des petit programme pour rechercher d'éventuel programme indésirables style Adwcleaner.

[Thierry Création]

Bonjour,

 

Le thème installé sur votre site date de quand ?

 

Quelles sont les dernières actions que vous avez faites sur le site ?

 

La cliente n'a pas l'accès au ftp, vous êtes donc le seul à en disposer ?

 

Avez vous ajouté des fichiers dernièrement ?

 

Quel est le chmod du dossier de votre theme et des sous dossiers / fichiers ?

 

Pour trouver le point d'entrée sur le serveur, vérifier la date de vos fichiers aussi ... Si il y a de nouveaux fichiers ou que la date vous semble anormale , ils sont forcément en cause ...

 

Cordialement Thierry

Edited November 7, 2014 by Thierry Création (see edit history)

[Easy Site]

Bonjour

 

Télécharger votre module ads, passez le à l'antivirus, je pari à 100/1 que c'est là !

 

Nico

[timalmax]

Bonjour à tous,

Nous avons choisi le prestataire suivant : Oexo France

 

Un grand merci a Marc Antoine pour sa rapidité et son professionalisme, je recommande ce prestataire

 

Maxime

[Oexo France]

Un plaisir d'avoir travailler avec vous, une grande facilité relationelle ce qui nous à permis ensemble d'arriver au résultat final sans prise de tête

Au plaisir de retravailler avec vous.

 

Cordialement,

[Johann]

bonjour,

et au final, c'était quoi le pb ou la faille ? ça peut servir à d'autres et les inciter à des actions de prévention ou de mise à jour

[Oexo France]

Bonjour,

 

Malheureusement il y a eu une faille causée par un plugin sous prestashop (je n'ai pas le nom en tête) qui a creer plusieurs backdoor a la suite du problème plusieurs trojan sont apparus.

 

Voilà en gros par respect de mon client je ne pourrai malheureusement pas donner plus d'informations mise a part le nom du plugin que je ferai remonter auprès de la team prestashop.

 

Cordialement,

Edited January 23, 2015 by Oexo France (see edit history)