Problème De Piratage De Ma Boutique

[Nouvelle Vape]

Bonjour,

 

L'été dernier j'ai été victime d'un piratage de ma boutique Prestashop (www.nouvellevape.com). Je m'explique.

J'ai été avertis par un email de la part d'OVH d'une connexion à mon espace OVH qui n'était pas la mienne, puis par une erreur de sitemap dans la Search Console de google. En regardant le sitemap, il contenait des URL qui n'étaient pas les miennes.

En cherchant à résoudre le problème, je suis tombé sur un fichier php de ma boutique prestashop qui envoyait un email à "quelqu'un" contenant mon login et mon password, à chaque fois que je le saisissais pour accéder à mon back office.

Bref, j'ai corrigé tout ça, et tout est rentré dans l'ordre.

 

Mais pas complètement, je ne m'en aperçois que maintenant.

Lorsque je tape dans le moteur de recherche Google la commande suivante:

site:www.nouvellevape.com

 

Il affiche ça:

 

Cigarettec le site du vapoteur de cigarette électronique ...

www.nouvellevape.com/

•  
•  

Spécialiste de la cigarette electronique sur internet. Une sélection des meilleurs e-liquides, e cigarettes jetables et rechargeables et cigare électronique parmi ...

 

Si je tape:

info:www.nouvellevape.com

 

il affiche ça:

Cigarettec le site du vapoteur de cigarette électronique ...

www.cigarettec.com/

Spécialiste de la cigarette electronique sur internet. Une sélection des meilleurs e-liquides, e cigarettes jetables et rechargeables et cigare électronique parmi ...

 

Y'a clairement un problème: Cigarettec n'est pas ma boutique.

Depuis, je cherche à résoudre le problème, mais je ne trouve pas, et je ne sais pas trop où chercher.

 

Quelqu'un aurait-il une idée?

 

D'avance merci pour votre aide!

Olivier

 

Edited January 25, 2016 by Nouvelle Vape (see edit history)

[Oron]

Bonjour

 

Qui a eu accès a votre site via le back office et le FTP de votre site, vous avez laissé faire des modifications par des prestataires depuis sa création ?

 

Est-ce que votre poste informatique est protégé contre les virus, chevaux de troies pare-feux ?

 

Est-ce que le mot de passe de votre boite e-mail est-il simple ou complexe ?

 

Les mots de passe de votre site ftp back office base de donnée sont-ils simple ou complexe ? complexe = chiffre majuscule et minuscule et chiffre et caractères spéciaux mélangé

 

Vous avez quel version de Prestashop ?

 

 

 

J'ai été avertis par un email de la part d'OVH d'une connexion à mon espace OVH qui n'était pas la mienne

 

dans votre e-mail vous avez reçu l'accès de connexion d'un espace ovh qui n'est pas le votre ? vous en avez référé à OVH ?

 

Pour les mots clés cigarette cigarettec le c n'as pas été taper une fois par erreur ? quelque part sur une de vos pages

 

Ce que vous pouvez faire exporter votre base de donnée et l'ouvrir avec notepad++ et rechercher les mots et lien de votre concurrent

cigarettec et le nom de son site l'url etc..

 

Vous avez essayer de demander à Google au sujet du cache google ?

[Johann]

la page en cache date du 10/01, tout devrait rentrer dans l'ordre au prochain crawl. Tu peux forcer ça avec un "explorer comme google" dans la GSC

[Nouvelle Vape]

Merci à tous pour vos réponses.

Quelques nouvelles du front et je réponds à vos questions ensuite.

A force d'acharnement hier soir, j'ai fini par trouver quelques chose. En fait c'est grâce à sitecheck.sucuri.net que j'ai pu identifier le problème.

Le diagnostic était le suivant:

Suspicious conditional redirect

Redirect users to: www.cigarettec.com

Le site indique également le nom du malware: MW:HTA:7. Ce malware s'en prend principalement au htaccess et parfois à index.php.

J'ai donc ensuite trouvé la ligne qui avait été ajoutée dans mon htaccess et je l'ai retirée.

En repassant ma boutique au test, sucuri m'a confirmé que c'était ok.

Une bonne chose de faite. Cependant, comme vous le faites remarquer dans vos commentaires, le problème n'est peut-être pas éliminé à 100%.

Alors que faire? J'ai changé mes passwords bdd, ps backoffice et ftp. Ils étaient déjà complexes (sauf celui du ftp) et ils sont désormais très complexes.

J'aimerais pouvoir faire une vérification massive de tous les fichiers de ma boutique, mais je ne sais pas comment m'y prendre sans y passer trop de temps.

Avez vous un conseil pour faire ça?

 

Ce que j'aimerais aussi découvrir, c'est le point faible de ma boutique, qui a permis la première intrusion. J'ai cru comprendre que Filezilla n'était pas forcément très sûr. Vous confirmez? Si oui, quelles sont les alternatives? Y a t-il d'autres points à sécuriser?

 

Pour répondre à Oron:

Je suis le seul à avoir accès à tout l'environnement de ma boutique (ftp, ps back-office, ovh, etc.). Jamais personne à part moi n'y a eu accès par le passé.

Mon poste informatique est protégé (avast, malware bytes), mais c'est peut-être quand même le maillon faible, enfin c'est mon intuition.

A l'époque (cet été), je ne me souviens pas en avoir référé à OVH (de l'intrusion)

Je ne crois pas que les mots clés cigarettec ou équivalent figurent par erreur sur ma boutique.

Je vais faire ce que tu proposes, à savoir contrôler la bdd.

 

Question pour okom3pom:

Comment vérifier facilement la totalité des fichiers?

 

A part ça, depuis ce soir 18h30: nouveau souci: mon site est inaccessible. J'ai d'abord été très inquiet. Après avoir jeté un œil à mon espace OVH, je me dis que ce n'est peut-être pas trop grave: il y a une tâche en cours (DNSSEC : roulement de la ZSK) qui a démarré ce soir à 18h40 et qui se termine demain à la même heure. J'ai quand même ouvert un ticket pour en savoir plus. J'espère que ce n'est que ça. J'ai quand même vérifié rapidement mon site par ftp, et je n'ai pas vu de fichiers modifiés à cette date et cette heure. A suivre. Si vous avez des commentaires sur ce rebondissement, je suis preneur.

 

Pour info, je suis en PS1613 et je suis en OVH mutualisé.

 

Dernière question: existe t-il des recours possibles pour ce genre d'intrusion? Porter plainte? Auprès de qui? Quelles sont les démarches légales à mettre en oeuvre? Est-ce forcément cigarettec qui est à l'origine de cette intrusion, ou est-ce que ça peut-être quelqu'un d'autre qui "passe" par cigarettec?

 

Encore merci pour vos réponses et pour votre aide. La suite au prochain numéro. Je croise les doigts pour que tout rentre dans l'ordre rapidement.

 

Olivier

Edited January 12, 2016 by Nouvelle Vape (see edit history)

[Oron]

Bonjour

 

Est-ce que vous avez un Wordpress sur votre site ou quelque part y fait-il un lien ? 

A lire au sujet du MW HTA : https://www.google.fr/search?q=MW:HTA:7.+&ie=utf-8&oe=utf-8&gws_rd=cr&ei=X5OVVszTLMW1UbzvteAF

 

 

 

J'aimerais pouvoir faire une vérification massive de tous les fichiers de ma boutique, mais je ne sais pas comment m'y prendre sans y passer trop de temps.

 

Transférer tous les fichiers et dossiers sur votre poste dans un dossier et passez uniquement le dossier avec l'antivirus et malwarebyte

 

 

 

J'ai cru comprendre que Filezilla n'était pas forcément très sûr.

 

Ça fait plus de 10 ans que j'utilise filezilla et je n'ai jamais eu de problème à cause de Filezilla, on raconte que filezilla n'est pas sur pour la simple raison que si vous enregistrez l'url login et mot de passe, c'est stocker dans un fichier xml qui se trouve dans le dossier user\appdata\romaing\filzilla etc..

 

Donc si ce fichier est lu par un intrus à deux pattes ou informatisé, ce n'est pas la faute à filezilla mais au propriétaire du poste informatique qui n'est pas sécurisé.

80% des problèmes sont des erreurs humaines. Je dis stop de tout mettre sur le dos de Filezilla.

 

 

 

Mon poste informatique est protégé (avast, malware bytes), mais c'est peut-être quand même le maillon faible, enfin c'est mon intuition.

 

avast free ou payant ?  est-il à jour au niveau de la liste des virus ?

 

Vous pouvez aussi utilisez pour faire un scan de votre poste   AdwCleaner

 

Chercher au niveau d'un wordpress vu les info sur google c'est une faiblesse de wordpress.

[Eolia]

Question bête: Avez-vous contrôlé les fichiers (et leur contenu) du module gsitemap (ou un autre si vous n'utilisez pas celui par défaut) ?

 

Un module tiers peut être la source du problème, il est en effet très facile d'installer des fichiers lors de l'install d'un module...

[Nouvelle Vape]

Bonjour à tous,

 

Merci pour vos conseils. 

 

okom3pom:

 

Oui, j'ai l'habitude de vérifier dans paramètres > informations. Voici ce que j'obtiens:

• CONTRIBUTORS.md
• LICENSES
• admin8947/autoupgrade/index.php
• classes/controller/AdminController.php

Cependant en comparant les fichiers avec ceux de la version officielle de ps, je ne constate aucune différence.

 

Pour ce qui est du script, je n'ai pas un gros niveau de programmation...

GWT m'indique qu'il y a des erreurs et avertissements au niveau du sitemap, mais il n'est pas repassé sur mon site depuis les derniers correctifs, j'attends de voir...

 

oron:

Je viens d'installer un plugin sucuri (anti malware sur mon WP), je vais regarder ça de plus près.

J'ai transféré ma boutique en local, passé malwarebyte et avast, tout est ok.

J'utilise aussi filezilla depuis la nuit des temps, et je crois que je vais continuer!

côté antivirus, j'ai avast free avec une liste des virus à jour.

Je vais installer adwcleaner.

 

Eolia:

j'ai vérifié le contenu des fichiers sitemap générés par gsitemap.

 

A part ça, mon souci de site inaccessible d'hier soir s'est résolu, suite aux consignes d'ovh. Il manquait une définition de cname dans les domaines. J'attends encore "le pourquoi cette config avait disparu" du support technique.

 

Bref, ça a l'air de rentrer progressivement dans l'ordre. J'attends encore de voir disparaitre l'erreur sitemap indiquée par GWT et le retour à un référencement normal dans google...

 

La suite au prochain numéro.

 

Olivier

[Nouvelle Vape]

Bonjour,

 

Quelques jours ont passé et tout semble rentré dans l'ordre, mon trafic et mon référencement sont revenus à la normale. Ouf!

Mais ceci dit, je ne suis pas complètement rassuré. Je continue de chercher à comprendre quels sont les points faibles à consolider.

Pour trouver des pistes, j'ai soumis mon site à un test assez intensif proposé sur le site ozon.io.

Ce qu'il en ressort:

Niveau de risque (d'intrusion) global: élevé

Les 3 risques jugés élevés sont:

• Query injector vector
• Shell injection vector
• Server-side xml injection vector

Et les risques jugés moyens sont:

• Incorrect caching directives
• Directory traversal / file inclusion possible
• External content embedded on a page
• xss vector in document body

Je vous avoue que tout ça ne me parle pas des masses, mais j'aimerais investir plus toutes ces questions de sécurité. (J'ai autre chose à faire que de gérer des hackers!)

Pour commencer, j'ai lu attentivement le doc prestashop Rendre votre installation de PrestaShop plus sûre

 

J'aimerais notamment protéger mon répertoire admin par htaccess, du genre:

Order Allow, Deny

Deny from all

Allow from .myprestashop.com

Allow from 127.0.0.1

 

J'avais un question à ce sujet: faut-il autoriser l'accès à certaines ip de prestashop pour permettre la mise à jour 1-click?

 

Il me restera ensuite à bloquer l'accès à mes fichiers de thème et j'aurais à peu près fait le tour des recommandations de ce document.

 

Je me demande aussi si le hacker n'a pas laissé une "back door" ou quelque chose qui lui permette de refaire une intrusion facilement.

Comment vérifier l'intégrité de mon prestashop? Peut-on par exemple faire une recherche massive d'un mot clé à l'intérieur de la totalité des fichiers textes de prestashop,

dans l'idée de retrouver par exemple, l'url de redirection qui avait été écrite dans mon htaccess?

 

Y a t-il d'autres mesures qui puissent réduire significativement les risques d'intrusion?

Encore merci pour vos réponses.

 

Olivier

[Nouvelle Vape]

Bonjour,

 

Voici le fin mot de l'histoire: j'ai finalement trouvé la partie immergée de l'iceberg.

J'ai trouvé un point d'accès à un web ftp (PHP Web Manager) installé sur ma boutique prestashop dans /modules/blockcart ainsi que dans un plugin de mon blog wordpress.

Ça n'a pas été facile à trouver car l'intrusion datait en réalité du 24/07/2015 et je ne m'en était pas aperçu à l'époque.

L'intrus avait donc accès à tous mes fichiers avec tous les droits. J'ignore comment il a pu installer ça ici.

Bref, je suis parvenu à tout nettoyer, changé tous mes mots de passe, bloqué les ips des attaquants, passé en ps 1614 (j'étais en 1613) pour "rafraichir" tous les fichiers, fait de même côté wordpress. Tout a l'air ok désormais, mais je surveille encore mes logs de près!

 

Avis à tous les prestashop fanatiques: s'agit-il d'un faille non encore résolue?

Pour info, je viens de découvrir une autre boutique prestashop qui a subi exactement la même intrusion que moi: à savoir installation de pwm dans le blockcart et dans un plugin wordpress. J'ai tapé l'url et je suis tombé sur la page login du web ftp. J'ai trouvé cette autre boutique "infectée" car j'ai trouvé des traces d'url de cette boutique dans ma Google Search Console. Je vais volontairement ne pas mentionner le nom de cette boutique pour le moment, je viens de les prévenir, j'attends leur réponse. J'ai également communiqué le lien vers ce post.

 

Je sais pas, mais si j'étais vous Prestashop, je ferai une annonce pour prévenir tout le monde, car à mon avis, il y a une paire de boutique infectées. Pour s'en rendre compte, il suffit de rechercher dans les logs le mot clé "pwm", au cas où l'install ait été faite dans un autre module.

 

Dernier petit détail troublant: l'intrusion dans mon cas a eu lieu le 24/07/2015, et une semaine après j'ai découvert que Prestashop proposait un patch de sécurité...

 

Si vous avez encore des conseils pour sécuriser je suis preneur, merci à tous.

 

Olivier

[Nouvelle Vape]

Et hop: j'ai trouvé une troisième boutique infectée... (prise presque au hasard sur le web)

[Eolia]

Juste pour préciser 2 points:

Le patch de sécurité n'a rien à voir, il concerne la génération des mots de passe admin dans le cas de l'utilisation "J'ai oublié mon mot de passe"

Prestashop n'y est pour rien dans votre cas et ne pourrait pas y faire grand chose, le souci venant d'un WP pas mis a jour et mal sécurisé. 

 

On l'a dit et répété plusieurs fois sur ce forum, plus de 90% des attaques viennent d'un WP hébergé sur le même serveur. Veuillez utiliser les plugins de sécurité appropriés et le maintenir à jour. WP étant le CMS le plus utilisé dans le monde, c'est forcément le mieux connu des hackeurs qui s'en donnent à coeur joie.

 

Si vous blindez votre domicile, mais que vous laissez la porte arrière ouverte, faut pas vous étonner non plus.

 

Concernant votre fichier de ftp web, sachez qu'il en existe de nombreux et qu'ils peuvent changer de nom. Vous pouvez donc l'avoir plusieurs fois dans votre hébergement, à n'importe quel endroit

[Nouvelle Vape]

Juste pour préciser 2 points:

Le patch de sécurité n'a rien à voir, il concerne la génération des mots de passe admin dans le cas de l'utilisation "J'ai oublié mon mot de passe"

Prestashop n'y est pour rien dans votre cas et ne pourrait pas y faire grand chose, le souci venant d'un WP pas mis a jour et mal sécurisé. 

Je n'ai peut-être pas tout expliqué au sujet de l'intrusion: mais la première étape qui a eu lieu le 24/07/2015 a consisté en une modification de mon fichier adminLoginPassword.php dans lequel j'ai retrouvé un email inconnu à qui a été envoyé mon login et mon password du BO de PS. C'est seulement ensuite,

je pense, qu'a été installé le web ftp.

Par ailleurs, je ne vois pas comment vous pouvez conclure que le problème vient de WP. Vous avez des preuves? Moi je n'en ai pas. Et ça m'intéresse si

vous en avez.

 

On l'a dit et répété plusieurs fois sur ce forum, plus de 90% des attaques viennent d'un WP hébergé sur le même serveur. Veuillez utiliser les plugins de sécurité appropriés et le maintenir à jour. WP étant le CMS le plus utilisé dans le monde, c'est forcément le mieux connu des hackeurs qui s'en donnent à coeur joie.

90%, c'est pas 100%. Et que savez-vous de ma config WP? Je l'ai toujours maintenue à jour à chaque fois qu'une mise à jour était proposée.

Bref, je ne cherche pas à jeter la pierre à l'un (PS) ou à l'autre (WP). J'aime beaucoup PS d'ailleurs! Seulement, je ne crois pas qu'à l'heure actuelle il soit possible de conclure.

Je continue à essayer de comprendre...

 

Par ailleurs, je réitère mon warning d'hier. J'ai depuis hier trouvé, en moins d'un quart d'heure et sans chercher beaucoup, cinq boutiques (toutes de cigarette électronique) PS avec les mêmes symptômes. A savoir que si je tape url/modules/blockcart/pwm.php, je tombe sur la page d'accueil du web ftp. Et le pire, c'est que j'ai le mot de passe (je l'ai retrouvé en clair dans un ficher de config du module pwm)! Encore heureux que je sois honnête...

 

J'aimerais poster un petit tutoriel sur le forum pour expliquer comment détecter si une boutique est atteinte et comment s'en débarrasser. Dans quelle section me conseillez-vous de le poster?

Merci

 

Olivier

[ritopina]

 Wowww ...... Merci Nouvelle Vape et bon courage !

[Eolia]

Après il est tout à fait possible de se faire hacker par un module malveillant, téléchargé on ne sait où. N'oubliez pas qu'un module a accès à tous les fichiers de votre shop et à votre base de données.

 

Il serait bon de regarder de ce coté, surtout si tous les sites ayant cette vérole sont des boutiques de e-cigarette. Un module particulièrement apprécié par ce type de site ?

Une autre possibilité, est l'intervention d'un tiers mal-intentionné sur votre BO ou ftp (dev ou autre)

[Oron]

Par ailleurs, je réitère mon warning d'hier. J'ai depuis hier trouvé, en moins d'un quart d'heure et sans chercher beaucoup, cinq boutiques (toutes de cigarette électronique) PS avec les mêmes symptômes. A savoir que si je tape url/modules/blockcart/pwm.php, je tombe sur la page d'accueil du web ftp. Et le pire, c'est que j'ai le mot de passe (je l'ai retrouvé en clair dans un ficher de config du module pwm)! Encore heureux que je sois honnête...

 

J'aimerais poster un petit tutoriel sur le forum pour expliquer comment détecter si une boutique est atteinte et comment s'en débarrasser. Dans quelle section me conseillez-vous de le poster?

Merci

 

Olivier

Bonjour

 

Si vous pouvez indiquer comment détecter, expliquer d'où viens ce module et faire un petit tuto pour l'éradiquer, donner des conseils créer un topic rien que sur ce sujet dans le forum Discussion générale.

 

Merci de votre réactivité.

[Oron]

A priori il n'a toujours pas trouvé d'ou vient le problème.

 

Pour moi ce n'est pas une bonne idée de dire comment trouver les boutiques infestées.

 

3pom 

Il s'agit pas de trouver les boutiques infectées mais pour chaque propriétaire comment détecter que son site est infecté. Il faut bien l'apprendre quelque part.

Il y a des tas de choses que je ne saurais pas si personne ne l'avais un jour expliqué sur internet

[Nouvelle Vape]

Bonjour,

 

Je viens de regarder trois plugins au hasard sur votre site les trois on eu des failles de sécurités majeures.

 

wysija-newsletters 

jetpack

Yoast SEO

Merci pour l'info. Je vais aller un peu traîner sur les forums wp alors... Je suis surpris que ces modules ne soient pas fiables, il s'agit de modules extrêmement téléchargés...

 

 

Après il est tout à fait possible de se faire hacker par un module malveillant, téléchargé on ne sait où. N'oubliez pas qu'un module a accès à tous les fichiers de votre shop et à votre base de données.

 

Il serait bon de regarder de ce coté, surtout si tous les sites ayant cette vérole sont des boutiques de e-cigarette. Un module particulièrement apprécié par ce type de site ?

Une autre possibilité, est l'intervention d'un tiers mal-intentionné sur votre BO ou ftp (dev ou autre)

Je n'utilise aucun module spécifique qui pourrait être lié à la cigarette électronique.

Il n'y a pas d'autres personnes qui aient accès à mon BO ni ftp, ni aucun espace lié à la boutique.

 

A priori il n'a toujours pas trouvé d'ou vient le problème.

 

Pour moi ce n'est pas une bonne idée de dire comment trouver les boutiques infestées.

 

3pom 

Oui, il y a un risque en effet, étant donné que le mot de passe du web ftp est visible en clair par ftp. Ça donne potentiellement accès à un grand nombre de boutique avec tous les pouvoirs. Bref, je ne sais pas quoi faire. Et effectivement, je n'ai qu'une partie de l'explication: je sais comment l'enlever (enfin, je crois, jusqu'ici tout va bien!), mais je ne sais pas comment c'est arrivé. La réponse se trouve probablement dans les logs, mais c'est un peu du chinois et y en des kilomètres...

 

Bon je vais essayer de faire un petit post, ce sera assez basique en fait, mais je ne serais pas surpris que pas mal de gens tombent de leur chaise. Je pense que la plupart des propriétaires des boutiques infectées que j'ai trouvées ne sont même pas au courant. Le hack est assez discret. De ce que j'ai pu constater, ils "détournent" le référencement vers d'autres boutiques.

 

Et pour terminer, je suis franchement pas rassuré et aussi très surpris que WP soit aussi peu sécurisé. Je vais un peu plus traîner sur les forums en quête d'infos...

 

Encore merci pour vos réponses.

 

Olivier

[Johann]

Bonjour,

 

Depuis le temps qu ' Eolia est sur le forum il en a vu passer des boutiques hackées et comme il dit dans 90% c'est WP dans les 10% c'est un ordinateur mal sécurisé.

 

Je viens de regarder trois plugins au hasard sur votre site les trois on eu des failles de sécurités majeures.

 

wysija-newsletters

jetpack

Yoast SEO

 

Ce n'est pas parce que votre si est à jour qu'il n'a pas été hacké entre la sortie de la faille et la mise à jour.

 

Depuis le temps que j'utilise Prestashop je n'ai pas encore vu de boutique hacké via le CORE de prestashop.

 

3pom

Et portant ça a existe ! Il y a 3 ou 4 ans, une attaque xss via le flux d'infos du backoffice petait pas mal de choses sur les boutiques, à cause d'une faille sur le serveur Prestashop.com exploitée dans le bo

 

Edit : ça date de l'été 2011, j'ai retrouvé un article :

 

http://www.waebo.com/prestashop-1-4-x-correctif-de-securite-suite-a-attaque-pirate.html

Edited January 25, 2016 by Johann (see edit history)