Jump to content

Détecter Et Se Débarrasser D'une Intrusion "pwm"


Nouvelle Vape

Recommended Posts

Bonjour à tous,

 

J'ai récemment été victime d'une intrusion sur ma boutique Prestashop/Blog WordPress, qui a eu pour conséquences une redirection des robots vers un autre site concurrent et un "détournement" de mon référencement au bénéfice de cette autre boutique. Il y a probablement d'autres conséquences que j'ignore, mais les infos clients ont probablement été dérobés également. Bref, je suis parvenu à m'en débarrasser (à défaut de connaître l'origine de l'intrusion) et voici quelques indications pour "réparer" les dégâts. J'écris ce post car suite à cette intrusion, je suis allé vérifier sur quelques autres boutiques et je n'ai pas tardé à constater que j'étais loin d'être le seul.

 

Caractéristiques de l'intrusion

 

Le hacker est parvenu à installer un web ftp dans les répertoires PS et WP, ce qui lui donne accès à l'ensemble des fichiers sur le serveur avec tous les droits de lecture, d'écriture et d'exécution. Ce web ftp s'appelle PHP Web Manager ou PWM.

A partir de cette interface ftp, le hacker a, dans mon cas, modifié mon fichier .htaccess à la racine: j'y ai retrouvé l'url de la boutique concurrente vers laquelle les robots étaient redirigés. Lorsque j'ai corrigé le problème, le hacker a effacé une configuration de la "Zone DNS" dans mon espace OVH (je ne sais pas comment il a fait, l'accès est protégé par envoi de code par SMS). Mon site n'a donc plus du tout fonctionné, le temps que je corriges le problème avec l'aide du support OVH.
 

Comment savoir si vous êtes concernés

 

Même si vous ne constatez pas de dysfonctionnement majeur sur votre boutique, je vous conseille de vérifier à tout hasard si vous êtes concernés. L'intrusion est relativement discrète.

 

  1. Depuis votre ftp, allez voir dans le répertoire ./modules/blockcart/
    si vous avez un dossier ./PWM_files et un fichier pwm.php, c'est que vous êtes concernés. J'ai également trouvé une copie identique dans un répertoire d'un plugin de WP (./wp-content/plugins). Si vous avez besoin d'être convaincu tapez l'url suivante dans votre navigateur: http://www.votreboutique/modules/blockcart/pwm.php, et vous comprendrez.
  2. Si vous ne trouvez rien, faire une recherche plus exhaustive sur l'ensemble de vos fichiers.
    Moi j'ai utilisé Filezilla, menu Server>Remote File Search. Pour la recherche, il faut faire "Filename" "Contains" "pwm". Si vous en trouvez, c'est que vous êtes concernés.

Comment s'en débarrasser

  1. avec votre ftp, récupérer le fichier ./controllers/admin/AdminLoginController.php. Recherchez le caractère "@" pour trouver un éventuel email suspect. Moi, j'y ai trouvé un email vers lequel était transmis mon login et password du BO PS à chaque fois que je me connectais. Si vous trouvez un ligne de ce genre, faite un file compare avec l'original provenant d'une install d'origine pour corriger le problème.
  2. Récupérez votre fichier .htaccess principal, vérifiez s'il contient des ligne suspectes. Si vous avez un doute, faite un file compare avec un original. Moi j'ai trouvé une redirection vers le concurrent.
  3. Effacez tous les répertoires ./PWM_files que vous trouvez ainsi que les fichiers pwm.php à la racine du dossier.
  4. Changez tous vos mots de passes, PS BO, ftp, WP BO (si vous avez un WP), espace hébergeur, PS BDD, WP BDD et les accès aux emails.
  5. Updatez PS et WP pour "rafraîchir" un maximum de fichiers du core

Je vous conseille de faire toutes ces étapes dans un même temps pour éviter une éventuelle récidive. A partir de là, normalement c'est bon. Pour en être certain, car l'intrusion peut-être un peu différente de la mienne, il ne vous reste plus qu'à passer vos nuits à analyser les logs web et ftp via l'hébergeur. Pareil, recherchez le mot clé PWM, pour essayer de comprendre quand l'intrusion a eu lieu et vérifier si il n'y pas d'autres choses à corriger. Au passage, relevez les adresses ip des hackers pour les bloquer avec le .htaccess.

Après cet événement, j'ai mis pas mal de choses en place pour tenter d'augmenter la sécurité, j'ai notamment suivi le petit guide Rendre votre installation de PrestaShop plus sûre

Profitez en pour faire une analyse complète antivirus, anti malware sur votre poste fixe.

 

Voilà, c'est à peu près tout, je continue actuellement d'essayer de comprendre comment le hacker a réussi à s'introduire. Je ne suis pas un super spécialiste, alors je ne suis pas sur de comprendre un jour!

 

Global Moderators et autres Prestashop fanatiques, si vous avez des remarques à ajouter, vous êtes les bienvenus!

 

Bon courage si vous êtes concernés, j'espère que ce petit post vous aura été utile.

 

Olivier

 

 

Link to comment
Share on other sites

  • 1 year later...

Bonjour,

 

Nous venons d'avoir exactement le même souci sur un Prestashop multiboutiques (1.6.0.8). Quelqu'un a réussi à s'introduire dans notre FTP et a modifié le fichier AdminLoginController pour récupérer nos mots de passe BO.

 

Il a également installé le logiciel PWM à deux endroits.

 

Nous avons suivi les directives d'Olivier (sauf pour la mise à jour du Prestashop car nous avons effectué trop de modifs...). Je vais essayer d'améliorer la sécurité mais nous ne savons pas comment ce hacker a réussi son coup.

 

Juste pour info, ayant accès à notre back office, il a modifié le RIB du module virement bancaire par le sien.

Edited by Nicowcow (see edit history)
Link to comment
Share on other sites

Bonjour

 

Comment un hacker peut pénétrer dans le back office ou sur le FTP

 

1° mot de passe trop simple, il est assez courant que les mots de passe ne sont pas complexes

2° Un cheval de troie sur votre PC ou un virus, qui s'est installer sur votre poste par manque de mise à jour et d'antivirus inexistant ou pas fiable

3° Une faille dans un fichier vous avez quel version ?

4° Une faille sur le serveur où un autre site qui a été hacker ou non sécurisé, voir avec votre hébergeur s'ils n'ont pas trouver des intrusions

Link to comment
Share on other sites

Bonjour

 

Vérifié le nom de ces fichiers et au cas où ils sont des fichiers de prestashop, regardez dans un zip prestashop si ces fichiers sont dedans si oui remplacez les par ces nouveaux fichiers du zip prestashop.

Si ce ne sont pas des fichiers prestashop à la poubelle.

Link to comment
Share on other sites

  • 1 month later...

Perso, je n'ai jamais pu trouver l'origine de la faille avec certitude. Cependant, le plus probable d'après moi est une erreur (de débutant!) de ma part, que j'ai commise une fois: j'ai fourni les accès ftp à une société qui développe un module prestashop (je ne dirai pas lequel) et qui avait du intervenir pour faire une correction sur le module. Suite à cette intervention, j'avais oublié de changer mon mot de passe.

Donc lorsque parfois on vous demande les accès ftp ou BO, n'oubliez pas de changer les mots de passe après, on ne sait jamais dans quelles mains ils tombent...

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...