Spam depuis mon site avec la fonctionnalité Envoyer à un ami - Chine

[USB83]

Salut à tous,

 

Depuis 48h des milliers d'emails sont envoyés depuis mon site avec la fonctionnalité Envoyer à un ami.

 

J'ai désactivé le module après avoir constaté le problème ce matin mais ça ne s'est pas réglé pour autant.

 

En consultant ma boite email à l'instant, j'ai trouvé plus de 3000 messages de mails non delivrés dans mon dossier spam.

 

En gros les emails sont envoyés depuis mon site vers des adresses bidon et je reçois des réponses automatiques disant que les adresses en questions n'existent pas.

Ça ressemble à ça : 

--------------------------------------------------------
This is the mail system at host smtp1.******.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<[email protected]>: host mx3.qq.com[184.105.206.82] said: 550 Mail content denied.
    http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000726 (in reply to end of DATA command)

Final-Recipient: rfc822; [email protected]
Original-Recipient: rfc822;[email protected]
Action: failed
Status: 5.0.0
Remote-MTA: dns; mx3.qq.com
Diagnostic-Code: smtp; 550 Mail content denied.
    http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000726


---------- Message transféré ----------
From: Nom de ma boutique <[email protected]>
To: <[email protected]>
Cc: 
Date: Sat, 07 May 2016 22:54:55 +0100
Subject: [Nom de ma boutique] Un ami vous a envoyé un lien vers Nom du produit

BONJOUR 125643许多年前你曾是朴素的少年，XBET全球最大的老虎机运营商免费注册首存送888元，安全稳定支持[spam-filter]扫码最低充值10元起 WWW.XBET008.COM WKBGMJMIVF,

UN AMI VOUS ENVOIE UN LIEN VERS UN PRODUIT QUI POURRAIT VOUS INTÉRESSER.
Il s'agit de: Nom du produit
--------------------------------------------------------

Le manège s'interrompt lorsque je met la boutique en maintenance. Puis ça reprend immédiatement dès que la boutique est réactivée.

 

J'ai désactivé puis désinstallé complètement le module, mais les emails continuent à être envoyés malgré tout

 

C'est toujours le même produit qui est 'recommandé' dans les emails envoyés.

 

Si quelqu'un a une idée sur l'origine de ce truc, ça m'intéresse parce que là, pas moyen de réactiver la boutique sans que des messages soient envoyés chaque seconde

 

Prestashop 1.6.1.1 - Modules de base

 

Merci !!

Edited May 7, 2016 by USB83 (see edit history)

[Eolia]

Dans le principe: le spammeur a préparé un script (formulaire) automatique qui reprend les données de votre formulaire et l'envoie à votre_url/modules/sendtoafriend/sendtoafriend_ajax.php

 

Lorsque vous êtes en maintenance, le lien ne fonctionne pas.

 

Il suffit de récupérer l'IP qui appelle ce fichier et la bannir (ou la renvoyer vers le site du FBI )

 

La meilleure méthode serait bien sûr de modifier $this->secure_key = Tools::encrypt($this->name); qui est de la poudre aux yeux... et de limiter l'envoi à 5 destinataires par exemple.

Egalement de limiter l'envoi de mails au seuls clients enregistrés et valides, en modifiant la ligne 57 du fichier ci-dessus:

if (!$friendName || !$friendMail || !$id_product)

par

if (!$friendName || !$friendMail || !$id_product || !$module->context->cookie->customer_firstname)

[USB83]

Salut Eolia,

Merci pour votre réponse.

 

C'est exact, en consultant les logs d'accès apache, j'ai trouvé des milliers de lignes qui ressemblent à ça

mondomaine.tld 222.127.98.10 - - [08/May/2016:11:03:10 +0000] "POST /modules/sendtoafriend/sendtoafriend_ajax.php?rand=7652765765371 HTTP/1.1" 404 24366 "http://domaine.tld/modules/sendtoafriend/sendtoafriend_ajax.php?rand=7652765765371" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1)"

Comme je ne peux pas bannir d'ip (mutualisé) j'ai carrément renommé le dossier qui contient ce module puisque même après l'avoir désactivé puis désinstallé, le script continuait à l'appeler et les emails s'envoyaient toujours

C'est un peu une faille de prestashop ça d'ailleurs, non ?

 

Je vais effectuer les modifs que vous avez suggérées et je vous dirai ce qu'il en est.

 

Merci encore

[Eolia]

Ben si vous pouvez dans votre htaccess^^

 

deny from XXX.XXX.XXX.XXX

[USB83]

Ah je ne savais pas.

Merci pour l'astuce

 

Y'a deux domaines, celui des serveurs (que ce soit apache ou nginx) et les dns c'est de la magie noire pour moi

[vapo-depot]

Juste pour info, le même spammeur s'amuse à faire la même chose sur mon site, par paquets de 700 mails, depuis la même date (7/5/2016).

 

Je vais limiter ces envois aux visiteurs connectés.

[bleach]

pareil pour moi depuis le 06/07/2016, j'ai désactivé, désinstallé le module puis renommé ce module car il continué le 07/007/2016, maintenant plus rien ne part mais les IPs continue d'affluer sur mon site j'ai banni les ip il se retrouve donc sur du forbiden, mais continu malgré tout a essayer de ce connecter (de 400 a 800 tentatives chaques jours

Edited July 9, 2016 by bleach (see edit history)

[guig06]

Bonjour,

J'ai le même problème depuis 2 jours.

J'utilise la version 1.6.0.9 de Prestashop, et l'envoi des emails est fait à partir de Mailjet.

 

J'ai désactivé le module mais le problème persistait.

J'ai donc supprimé le répertoire sendtoafiend sur le serveur, et apparemment les spams ne sont plus envoyés.

 

En tout cas, je vois toujours des dizaines de connexions par minute à l'url /modules/sendtoafriend/sendtoafriend_ajax.php?rand=1468992608272 en provenance d'adresses IP différentes, mais maintenant en 404.

 

N'y a-t-il pas une mise à jour de sécurité Prestashop pour corriger ce problème ?

[Eolia]

C'est en cours, on leur a proposé des solutions, mais ils sont longs à la détente^^

[zaar]

Sinon pourquoi ne pas restreindre l'accès au serveur, je suppose que vous ne vendez pas en chine ni en russie? c'est radical comme solution mais c'est assez simple à mettre en place si on est pas sur un mutualisé. ça évite ce genre de chose et d'autres encore

[Eolia]

c'est tellement simple de blacklister 3 milliards d'ip chinoises que votre serveur va aimer

[guig06]

J'aimerais bien restreindre l'accès à des IP mais il y en a beaucoup.

J'en ai identifié quelques unes, mais il y en beaucoup plus :

45.127.97.93

61.158.162.32

61.158.163.140

61.158.163.198

69.165.64.210

69.165.64.221

103.40.102.142

103.212.33.205

103.212.33.209

103.213.250.49

103.213.251.175

103.214.168.163

103.214.168.185

103.214.168.186

103.214.169.219

118.193.180.84

118.193.212.176

118.193.217.203

202.181.24.200

202.181.24.214

203.189.235.201

 

Effectivement, bloquer l'accès à un pays entier est un peu radical...

 

Sinon j'ai ajouté un fichier htaccess contenant "Deny from all" dans le répertoire sendtoafriend, mais maintenant j'ai des erreurs 403 dans les logs au lieu des erreurs 404 haha !

[zaar]

non restreindre l'accès au pays pas blacklisté une à une 3 milliards d'adresses ip

[Eolia]

Non mais ca revient au même si vous bannisssez des plages d'ip, Apache devra scanner toutes ces plages avant de libérer ou pas le socket, donc votre site va ramer bien gentiment

 

c'est très bien la 403, au bout d'un moment les botnets vont se lasser^^

[doekia]

Ah mais c'est la faille dans le module sendtoafriend çà

Et là tu es pris dans un botnet donc après avoir banni toutes les ip chinoise, le bot passera ailleurs, il y a même un effet levier que j'ai pas exactement compris qui va te ramener plein de traffic de site de toutes sorte oui oui même du Q depuis un peu partout ...

 

Finalement j'ai commencé à m'en sortir avec ça dans modules/sendtoafriend/.htaccess

RewriteEngine on
RewriteRule .* http://127.0.0.1/ [R=510,E=BAN:1,L]

Et un filtre spécial dans fail2ban après 3 appel pour un certain temps limité parce que les 3000 segments rien que de la chine à bannir ça te plombe vite tes perfs

Pour info j'ai mis presque 5jours pour faire comprendre au bot de lacher l'affaire. Bon courage.

[guig06]

Merci pour ces infos.

A quoi servent la redirection 510 et le E=BAN:1 exactement ?

[bleach]

beaucoup de manip pour pas grand chose, il y a des modules qui font sa très bien !

 

http://addons.prestashop.com/fr/recherche?id_category=0&search_query=ban

[Eolia]

beaucoup de manip pour pas grand chose, il y a des modules qui font sa très bien !

 

http://addons.prestashop.com/fr/recherche?id_category=0&search_query=ban

Vous devriez vous renseigner avant d'écrire n'importe quoi^^

Quand la tables des IP bannies va commencer à vraiment se remplir, genre 3 ou 400 000 vous allez vous demander pourquoi votre site met 30 secondes à cracher une page...

 

Parce que là ce sont des attaques avec des botnets et ip tournantes, donc bon courage

[bleach]

Sauf que moi, je ne banni que les IP qui on utilisé le module "envoyer à un ami" ou la plage d'ip, ce qui ne représente que quelques IP à bannir, de plus, ces IP sont redirigés et ne m'embête qu'une seconde maximum et au bout de quelques jours, ils ne viennent plus car, il se rendent compte que sa ne fonctionne plus

 

Depuis la mise en place de ce module ...le lendemain de mon premier message, je n'ai à ce jour plus qu'une seul adresse ip qui persiste à venir et qui va surement comprendre d'ici quelques jours

 

Alors oui, je pense que ma solution et la bonne car la preuve du résultat est bien la !!

Edited July 26, 2016 by bleach (see edit history)

[doekia]

Merci pour ces infos.

A quoi servent la redirection 510 et le E=BAN:1 exactement ?

Le 510 est un code d'erreur comme il est unique c'est facile a pister dans les logs et la redirection c'est en quelque sorte la syntaxe pour faire accepter le code

et le E=BAN:1 créé une variable environnement BAN=1 pour déclencher un log spécifique car faire un fail2ban sur l'access.log ça va vite devenir compliqué en perf si tu as de l'audience

 

beaucoup de manip pour pas grand chose, il y a des modules qui font sa très bien !

 

http://addons.prestashop.com/fr/recherche?id_category=0&search_query=ban

c'est sûr qu'un blocage direct sur la stack tcp c'est plus compliqué que démarrer le bousin php+config.inc.php+module hook+une regex sur 514 pattern - tu as tout compris je vois - et si ton intervention est juste là pour racoler tu peux passer ton chemin

[bleach]

guig06, on 26 Jul 2016 - 10:01 PM, said:

c'est sûr qu'un blocage direct sur la stack tcp c'est plus compliqué que démarrer le bousin php+config.inc.php+module hook+une regex sur 514 pattern - tu as tout compris je vois - et si ton intervention est juste là pour racoler tu peux passer ton chemin

 

 

mais qu'est ce que c'est que cette façon de s'exprimer !! je viens pour racoler, mais on va ou la,

 

j'essaye d'aider certains utilisateurs dans le besoin d'une solution rapide et pas trop complexe à mettre en place voila tous, je ne vends rien et ne suis pas concepteur de quoi que ce soit,  si forum ne veux plus dire "entraide" pour vous, alors passez votre chemin, mais laisser tranquille les gens qui essaient d'aider !

Edited July 27, 2016 by bleach (see edit history)

[Eolia]

Vous ne dormez pas à cette heure là ?

[ritopina]

Merci Bleach 

[USB83]

Sinon pourquoi ne pas restreindre l'accès au serveur, je suppose que vous ne vendez pas en chine ni en russie? c'est radical comme solution mais c'est assez simple à mettre en place si on est pas sur un mutualisé. ça évite ce genre de chose et d'autres encore

 

J'ai régulièrement des clients en Russie et je préfère ne pas bloquer l'accès à des clients potentiels d'où qu'ils soient.

[barbart]

Salut à tous,

 

Même problème, je reçois des milliers de mails dans mes spams depuis le module "envoyer à un ami". J'ai fais une mise à jour du module, rien n'y fais. Je l'ai donc désactivé, toujours le même problème.

 

N'y a t-il pas un moyen de résoudre cette faille sur ce module ?

 

Que faire ?

 

Merci pour vos réponses !

 

[doekia]

Le problème a été reporté à la team il y a presque 3 semaines, mais malgré le message à [email protected] et que la sécurité soit prise très au sérieux selon leurs dires, et bien ... rien, nada, bernique... enfin si des shop qui tombent comme des mouches

[Guest]

Le problème a été reporté à la team il y a presque 3 semaines, mais malgré le message à [email protected] et que la sécurité soit prise très au sérieux selon leurs dires, et bien ... rien, nada, bernique... enfin si des shop qui tombent comme des mouches

 

Je confirme... j'ai eu des attaques des Philippins, et Honk Kong surtout sur ce module, IP bloquées, puis range d'ips bloquées, finalement on dirait que leurs bots ont lâché prise pour le moment et le module à été effacé sur les boutiques ou ça n'était pas nécessaire... mais du coté Prestashop aucune nouvelles !!

[chafox]

Meme problème pour moi depuis ce matin. 

1 seule adresse venant des Philippines. 

J'ai bloqué l'IP dans le htaccess (222.127.98.10). 

J'espère que ça va suffire...

[Guest]

héhé.. j'ai eu la même.. c'était la première une fois celle-ci bloquée, les autres vont suivrent

 

voici les suivantes  : 

222.127.98.10
210.213.254.66
103.17.117.236
203.160.131.87
27.254.113.130
27.116.61.90
113.105.224.85

maintenant j'ai désinstallé et supprimé le module.. qu'est-ce qu'on est peinard ! et ça ne manque à personne, il reste le module "social sharing" pour partager !

[Guest]

Ce qui en résulte est que le serveur est saturé de mails à la noix.. et essaye d'envoyer continuellement des milliers de mails à des adresses qui existent et d'autres qui n'existent pas.. donc il réessaye en permanence de renvoyer ceux qui n'aboutissent pas, bref ça plombe le serv pas mal.. et c'est pas rien ça !

 

Y'à peut-être même moyen de se faire blacklister le serveur en tant que spammer si jamais on a un peu de chance !!

Edited August 18, 2016 by Guest (see edit history)

[doekia]

L'ip du serveur passe dans les RBL,

microsoft vous ban (vous allez vous marrer à refaire accepter cette ip par microsoft)

yahoo vous ban

orange vous ban

t-online vous ban

 

Plus de mail =

- plus de sav internet et un explosion du SAV téléphonique

- plus de relance commerciale

- plus de newsletter

 

Le pire vous aller opter pour un service externe payant comme mailjet/sendinblue et dans 3 jours ils vous bloquent aussi

Et pendant ce temps là votre serveur fait ça: http://awesomescreenshot.com/0fe63ei7ba

[chafox]

Purée, c'est devenu exponentiel de mon côté.

Après 1 seule IP des Philippines, je me suis retrouvée avec dizaines d'attaques venant de Chine, Hong-Kong, Thailand...

Difficile de bloquer toutes ces IP.

Du coup j'ai désactivé le module mais ça ne suffit pas. Il faut soit le supprimer soit le renommer pour que ça stoppe. 

 

Je vais attendre une mise à jour de prestashop pour le réactiver (ou choisir un autre module).

 

Ce que je ne comprends pas c'est que j'ai GEOIP installé sur mon serveur et qui était normalement programmé pour me bloquer les visites de Chine, avec cette ligne dans le htaccess :

SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry

Pourquoi est-ce que ça n'a pas suffit ?

 

Autre question, à quoi sert ce genre d'attaque pour les spammeurs puisque les emails n'arrivent pas ??

[Eolia]

Purée, c'est devenu exponentiel de mon côté.

Après 1 seule IP des Philippines, je me suis retrouvée avec dizaines d'attaques venant de Chine, Hong-Kong, Thailand...

Difficile de bloquer toutes ces IP.

Du coup j'ai désactivé le module mais ça ne suffit pas. Il faut soit le supprimer soit le renommer pour que ça stoppe. 

 

Je vais attendre une mise à jour de prestashop pour le réactiver (ou choisir un autre module).

 

Ce que je ne comprends pas c'est que j'ai GEOIP installé sur mon serveur et qui était normalement programmé pour me bloquer les visites de Chine, avec cette ligne dans le htaccess :

SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry

Pourquoi est-ce que ça n'a pas suffit ?

 

Autre question, à quoi sert ce genre d'attaque pour les spammeurs puisque les emails n'arrivent pas ??

Desfois, je me demande pourquoi on écrit des posts...

 

On a écrit que pour stopper les envois de mails il faut supprimer le module.

Le désactiver n'empêche pas l'accès au fichier

 

Votre GEOIP ne bloquera jamais une attaque de botnet^^

 

Le but est soit d'envoyer vraiment du spam, soit de ralentir voire faire tomber votre serveur

[BoutikShop69]

Le but est soit d'envoyer vraiment du spam, soit de ralentir voire faire tomber votre serveur

 

+ 1

[doekia]

Il faut purger la queue des messages

Après les pays exotiques se sera le tour d'un botnet contenant des machines bien de chez nous (mme michu avec un trojan)

Le botnet peut te faire des rafale à 300 connexions secondes, et il peu lui falloir dans les 7 jours pour se calmer

 

Le problème avec des approches de solutions pour empécher l'usage d'un botnet a été reporté à Remy Gaillard / security prestashop  le 20 juillet:

 

Everything is in the title.
 

A bot reads a productpage and collect the securitykey

The bot distribute the security key to a botnet

The botnet send zillions a sendtoamail_ajax.php call per second

 

Solution (not perfect) (all steps required)

The secure key is remote ip tainted

Check referer

Allow only identified customers

Allow only post in a random timeframe per 3 mn - slidding failure reset the timer

Allow only 5 post per day
 

The solution is not optimal but makes it difficult to be usable by a botnet and renders it difficult to be programmatically used - hence abuser will switch to an easier pray

 

La réponse le 20 juillet:

 

Nous allons réfléchir en interne à une solution pouvant répondre à cette problématique de façon globale. Concernant ce module en particulier, une nouvelle version est disponible depuis quelques semaines réduisant l'envoie de spam en vérifiant les données injectées dans les différents champs.

 

En temps internet ça représente quoi? un siècle?

 

PS: Je sais on va dire je troll

[chafox]

Desfois, je me demande pourquoi on écrit des posts...

 

On a écrit que pour stopper les envois de mails il faut supprimer le module.

Le désactiver n'empêche pas l'accès au fichier

 

 

Désolée mais vous n'écrivez pas des posts, vous faites du t'chat...

Personnellement je reprenais les actions que j'avais faites dans l'ordre pour aider les autres ecommerçants qui auraient des attaques, c'est le but d'un forum, non ?

Edited August 20, 2016 by chafox (see edit history)

[chafox]

Il faut purger la queue des messages

 

Comment tu fais ça s'il te plait ?

[barbart]

Module supprimé et pourtant toujours enormement de mail dans les spam....

[Eolia]

Module supprimé et pourtant toujours enormement de mail dans les spam....

Normal, la mailqueue du serveur est pleine.

A voir avec votre hébergeur ou videz-là vous-même si vous y avez accès (OVH -> mails automatisés)

 

Désolée mais vous n'écrivez pas des posts, vous faites du t'chat...

Personnellement je reprenais les actions que j'avais faites dans l'ordre pour aider les autres ecommerçants qui auraient des attaques, c'est le but d'un forum, non ?

"On écrit que pour stopper les envois d'emails il faut supprimer le module" ok, mais le renommer marche aussi pour moi alors je me permets de le signaler, ok ? pourquoi ça vous dérange ?

Le renommer ne sert qu'à retarder l'attaque.

 

J'ai fait des posts ne vous déplaise, je ne suis pas en train de chatter^^

Et comme j'ai dépanné pas mal de monde lors des récentes attaques ça a donné l'idée à des petits malins (enfin pas si malins que ça) de tenter de hacker mon serveur.

Et bien je vous garantis que les attaques tentent tous les noms possibles (.old, _old, _1, etc...), donc si je vous dis "Supprimer" ce n'est pas pour parler dans le vide...

[Mediacom87]

Je confirme, seul l'effacement pur et simple de ce module est fonctionnel.

[chafox]

Et bien je vous garantis que les attaques tentent tous les noms possibles (.old, _old, _1, etc...), donc si je vous dis "Supprimer" ce n'est pas pour parler dans le vide...

Alors merci du conseil, je supprime ! :-)

[barbart]

Perso je l'ai supprimé (supprimer à partir du back office presta dans la catégorie module) et toujours autant de retour de mail :/ Peut-être faut-il un délai avant de ne plus recevoir ces mails ?

[doekia]

Pour vider la queue sur un dédié:

postqueue -d ALL

et tant que le bornet m'attaque personellement je bloque carrément les envois et je regarde toutes les 2 heures si ils doivent partir.

On peut aussi trouver quelques pattern afin de filtrer:

 

mailq | <monfiltre> | xargs -l postqueue -d {}

je lance le mailer sur le restant que je trouve légitime et je rebloque le mailer

[Eolia]

Perso je l'ai supprimé (supprimer à partir du back office presta dans la catégorie module) et toujours autant de retour de mail :/ Peut-être faut-il un délai avant de ne plus recevoir ces mails ?

 

Alors une petite explication du processus car cela n'a pas l'air d'être clair pour vous:

 

- Ce module a une faille qui permet d'envoyer autant de mails que l'on veut depuis un des fichiers de ce module.

- Les mails sont envoyés depuis votre serveur avec votre adresse email boutique comme expéditeur, et évidemment, votre IP serveur

- Comme tout serveur, avant d'être envoyés, les mails sont en file d'attente (mail queue) et envoyés par lots. S'il n'y en a que quelques uns, ils partent immédiatement. Dans le cas d'une attaque, ce sont plusieurs milliers de mails... donc, en attente.

- Si vous avez trop tardé à supprimer le module, les mails sont déjà dans la mail queue, la seule solution est donc de la vider/supprimer

 

Problèmes majeurs de ce type d'attaque:

- Votre serveur sature et rame

- Votre IP et adresse email sont black-listées et il faut montrer patte blanche auprès des différentes autorités pour se faire dé-black-lister (Microsoft, Google et Cie...)

- Vos clients légitimes ne reçoivent plus leurs mails (Confirmations de commande, messages, demande de mot de passe...)

[Patrick_64]

Bonjour à tous,

 

et si on mettait un Captcha avant l'envoi du formulaire dans l'Ajax ou le TPL, ça pourrait bloquer le robot ?

[Eolia]

Bonjour à tous,

 

et si on mettait un Captcha avant l'envoi du formulaire dans l'Ajax ou le TPL, ça pourrait bloquer le robot ?

Non le robot n'utilise pas le formulaire mais attaque en direct le fichier php qui effectue les envois (sans rien vérifier^^)

[Patrick_64]

ok, compris, je viens d'ouvrir un ticket dans la Forge

[maadmnt]

Vous pouvez utiliser:

http://www.ip2location.com/blockvisitorsbycountry.aspx

Selectionner les pays puis generer le code à inserer au .htaccess

et Voila

[maadmnt]

J'avait le même problème, plus de 800.000 email dans la boite!!!

Il fait une vrai solution à ça!!!

[Mediacom87]

Vous pouvez utiliser:

http://www.ip2location.com/blockvisitorsbycountry.aspx

Selectionner les pays puis generer le code à inserer au .htaccess

et Voila

Et pensez à rafraichir cette liste régulièrement.

[doekia]

Jusqu'à ce que le botnet utilise des ip française

[Eolia]

Non, mais laisse Doekia, ce sont des génies de la protection informatique et si leurs nouveaux clients mettent 30 sec à avoir une page vu le scan qu'apache va devoir faire, ben tant mieux^^

[Miharaa]

Bonjour,

 

Juste pour mentionner que notre site a subi le même type d'attaque aussi... Nous sommes du Québec et c'est mon hébergeur qui nous a contacté pour nous faire savoir que nous spammons et a suspendu notre site en attendant... Il y aurait plus de 30 000 mail en attente...

 

C'est ce que mon hébergeur m'a envoyé pour me montrer un exemple du spam :

 

ime: Sat Sep 3 08:52:18 2016 -0400
Type: LOCALRELAY, Local Account - saveurss
Count: 101 emails relayed
Blocked: No

Sample of the first 10 emails:

2016-09-03 08:51:57 1bgAQP-001Hvw-8j <= [email protected] U=saveurss P=local S=35401 id=20160903125157.609896424.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]
2016-09-03 08:51:57 1bgAQP-001Hwi-GH <= [email protected] U=saveurss P=local S=35258 id=20160903125157.204717942.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]
2016-09-03 08:51:57 1bgAQP-001HxK-MS <= [email protected] U=saveurss P=local S=35538 id=20160903125157.1479385884.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]
2016-09-03 08:51:57 1bgAQP-001HxU-MZ <= [email protected] U=saveurss P=local S=35269 id=20160903125157.431361261.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]
2016-09-03 08:51:57 1bgAQP-001Hxh-Ph <= [email protected] U=saveurss P=local S=35211 id=20160903125157.645754086.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]
2016-09-03 08:51:58 1bgAQQ-001Hyn-3I <= [email protected] U=saveurss P=local S=35106 id=20160903125158.310593583.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]
2016-09-03 08:51:58 1bgAQQ-001HzZ-Ny <= [email protected] U=saveurss P=local S=35323 id=20160903125158.970422035.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]
2016-09-03 08:51:58 1bgAQQ-001Hzp-Rc <= [email protected] U=saveurss P=local S=35239 id=20160903125158.548922096.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]
2016-09-03 08:51:59 1bgAQR-001I0b-86 <= [email protected] U=saveurss P=local S=35211 id=20160903125159.1811078257.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]
2016-09-03 08:51:59 1bgAQR-001I0w-KI <= [email protected] U=saveurss P=local S=35753 id=20160903125159.1341869671.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Time: Sat Sep 3 08:52:18 2016 -0400
Type: LOCALRELAY, Local Account - saveurss
Count: 101 emails relayed
Blocked: No

 

Je les appelle dans quelques minutes, ils vont me laisser 15 minutes pour désactiver le tout o_O

 

Et comme je suis une totale débutante dans prestashop, limite je me sens comme dans mission impossible là lol o_O

 

 

*edit*

 

Je viens de leur parler, ils me disent qu'ils ont supprimer le queue de leur serveur mais je suppose que je dois aussi supprimer mon queue ou c'est la même chose ??

 

Je vais quand même suivre les indications du post en cas... !

 

Sérieux les chinois ont rien d'autres à faire que de spammer mes plats prêts à manger !!!! -_-'

Edited September 6, 2016 by Miharaa (see edit history)

[Eolia]

Bonjour,

 

Juste pour mentionner que notre site a subi le même type d'attaque aussi... Nous sommes du Québec et c'est mon hébergeur qui nous a contacté pour nous faire savoir que nous spammons et a suspendu notre site en attendant... Il y aurait plus de 30 000 mail en attente...

 

C'est ce que mon hébergeur m'a envoyé pour me montrer un exemple du spam :

 

ime: Sat Sep 3 08:52:18 2016 -0400

Type: LOCALRELAY, Local Account - saveurss

Count: 101 emails relayed

Blocked: No

 

Sample of the first 10 emails:

 

2016-09-03 08:51:57 1bgAQP-001Hvw-8j <= [email protected] U=saveurss P=local S=35401 id=20160903125157.609896424.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]

2016-09-03 08:51:57 1bgAQP-001Hwi-GH <= [email protected] U=saveurss P=local S=35258 id=20160903125157.204717942.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]

2016-09-03 08:51:57 1bgAQP-001HxK-MS <= [email protected] U=saveurss P=local S=35538 id=20160903125157.1479385884.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]

2016-09-03 08:51:57 1bgAQP-001HxU-MZ <= [email protected] U=saveurss P=local S=35269 id=20160903125157.431361261.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]

2016-09-03 08:51:57 1bgAQP-001Hxh-Ph <= [email protected] U=saveurss P=local S=35211 id=20160903125157.645754086.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]

2016-09-03 08:51:58 1bgAQQ-001Hyn-3I <= [email protected] U=saveurss P=local S=35106 id=20160903125158.310593583.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]

2016-09-03 08:51:58 1bgAQQ-001HzZ-Ny <= [email protected] U=saveurss P=local S=35323 id=20160903125158.970422035.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]

2016-09-03 08:51:58 1bgAQQ-001Hzp-Rc <= [email protected] U=saveurss P=local S=35239 id=20160903125158.548922096.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]

2016-09-03 08:51:59 1bgAQR-001I0b-86 <= [email protected] U=saveurss P=local S=35211 id=20160903125159.1811078257.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]

2016-09-03 08:51:59 1bgAQR-001I0w-KI <= [email protected] U=saveurss P=local S=35753 id=20160903125159.1341869671.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Time: Sat Sep 3 08:52:18 2016 -0400

Type: LOCALRELAY, Local Account - saveurss

Count: 101 emails relayed

Blocked: No

 

Je les appelle dans quelques minutes, ils vont me laisser 15 minutes pour désactiver le tout o_O

 

Et comme je suis une totale débutante dans prestashop, limite je me sens comme dans mission impossible là lol o_O

Commencez par demander à votre hébergeur de vider la mailqueue puis supprimez le module sendtoafriend du répertoire /modules du ftp

Si vous voulez plus d'aide, envoyez-moi un accès ftp par MP

[Miharaa]

Merci pour votre réponse !

 

C'est bon ils ont vidé leur mailqueue, je vais leur demander de supprimer du FTP également le répertoire !

 

Merci !!

[doekia]

Le truc amusant si il en est c'est que la team a été prévenu avec des pistes pour fixer le problème de ce module depuis presque 3mois

[KevinNash]

Le module actuel n'a pas été corrigé ?

 

Je vois des modifs datant de fin Juin à propos du spam https://github.com/PrestaShop/sendtoafriend/commits/master

[doekia]

Le module actuel n'a pas été corrigé ?

 

Je vois des modifs datant de fin Juin à propos du spam https://github.com/PrestaShop/sendtoafriend/commits/master

 

Not enough

[KevinNash]

he he ils lui ont ajouté quoi au module au final ? Ca n'empêche pas l'appel direct de l'url ?

 

Pour ma part j'ai mis le check de cookie client connecté made in Eolia.

 

Sinon j'ai vu ça dans la partie anglaise, un autre module développé par un forumeur https://www.prestashop.com/forums/topic/539185-somebody-sending-out-spam-using-the-send-to-a-friend-module/?p=2381402

 

Apparemment cela éviterait ce spam mais je n'ai pas testé.

[Patrick_64]

J'ai trouvé ça :

https://github.com/firstred/mpsendtoafriend/releases/tag/1.1.4

 

Mis à jour le 8/08

 

ça parle à quelqu'un ?

[KevinNash]

arf ! j'en parle un post au-dessus du tien

[Patrick_64]

oups . . . vite et bien ne font pas bon ménage :(

[Miharaa]

Bonjour,

 

Petite question concernant ces "attaques" de spam...

 

En gros à cause de ça c'est censé nous faire baisser dans les référencements non ?

 

Car la dans le moment je ne trouve plus mon site web par google.... En plus notre hébergeur devait réactiver notre site dans les 15 minutes suivant la suppression du module, et il ne l'ont pas fait... Seulement mon IP avait accès au site... (en gros depuis 4 jours personne n'a accès au site)

 

Bref, dans le moment si je cherche "saveurssante.com" sur google, je sors évidemment vu que c'est mon pc, mais la description reste à "site en suspension" (ça je verrai avec mon hébergeur, ça fait environ 1 heure que le site est en ligne pour tout le monde) ...

 

Par contre mon copain a testé de la maison et il ne trouve plus du tout notre site via google...

 

Est-ce que ça veut dire que j'ai été "bannie" de google à cause du spam ???

 

Est-ce que ça peut se rétablir avec le temps ou c'est définitif ?

 

Pouvez-vous m'éclairez ? Merci !

Edited September 9, 2016 by Miharaa (see edit history)

[Miharaa]

Sans repère sur votre référencement c'est dur à dire ... 

 

Sur votre nom de domaine aucun intérêt ... mais bon une personne qui commande qui reçoit pas son mail de confirmation oui c'est pas terrible, et je pense que ça impacte également les notes google 

 

Hummmm je ne suis pas sûre de comprendre votre réponse ?

 

En gros le spam a été réglé, j'ai supprimé le module, le mailqueue a été supprimé du serveur... Donc les e-mails de confirmations fonctionnent.

 

Ma question est que le fait que mon site a spammé, j'ai peur d'avoir perdu mon référencement ou d'avoir été supprimé des moteurs de recherches....

 

Nous avons cherché "saveurssante.com" dans le moteur de recherche google et rien ne sort sur les premières pages.... Il me semble que ce ne soit pas normal .... Alors que plusieurs de nos clients nous ont trouvés en recherchant des repas cuisinés via google....

 

Ce que je demande c'est que si je n'apparaît pas en recherchant mon propre domaine dans google, c'est que forcément j'ai été supprimé ?

 

Ou ça va prendre quelques jours et le site sera trouvable par google ?

[Eolia]

Bonjour,

 

Petite question concernant ces "attaques" de spam...

 

En gros à cause de ça c'est censé nous faire baisser dans les référencements non ?

 

Car la dans le moment je ne trouve plus mon site web par google.... En plus notre hébergeur devait réactiver notre site dans les 15 minutes suivant la suppression du module, et il ne l'ont pas fait... Seulement mon IP avait accès au site... (en gros depuis 4 jours personne n'a accès au site)

 

Bref, dans le moment si je cherche "saveurssante.com" sur google, je sors évidemment vu que c'est mon pc, mais la description reste à "site en suspension" (ça je verrai avec mon hébergeur, ça fait environ 1 heure que le site est en ligne pour tout le monde) ...

 

Par contre mon copain a testé de la maison et il ne trouve plus du tout notre site via google...

 

Est-ce que ça veut dire que j'ai été "bannie" de google à cause du spam ???

 

Est-ce que ça peut se rétablir avec le temps ou c'est définitif ?

 

Pouvez-vous m'éclairez ? Merci !

Votre maison est sur Pluton ? 

 

l'adresse https://www.saveurssante.com/index.php? répond bien, juste que les urls simplifiées ne sont pas activées (nul pour le référencement...)

[doekia]

4 jours que tu claques la porte a google et 1h après avoir réouvert tu voudrais qu'il soit déjà revenu et réindexé ton contenu pour ne plus afficher "site en suspension". On croit réver.

 

De plus ton site n'ayant pas d'url simplifiées pour google il n'y a qu'une page et elle était off, mais je te rassure c'est pas parce que tu regardes quelqu'un de travers dans la rue que google change ton référencement. Tu avais entre 0 et rien et en plus tu étais en panne ...

[Miharaa]

4 jours que tu claques la porte a google et 1h après avoir réouvert tu voudrais qu'il soit déjà revenu et réindexé ton contenu pour ne plus afficher "site en suspension". On croit réver.

 

De plus ton site n'ayant pas d'url simplifiées pour google il n'y a qu'une page et elle était off, mais je te rassure c'est pas parce que tu regardes quelqu'un de travers dans la rue que google change ton référencement. Tu avais entre 0 et rien et en plus tu étais en panne ...

 

On croit rêver de lire un commentaire aussi hautain que le vôtre

 

Je suis débutante dans Prestashop, j'ai monté le site en solo pour une première fois, n'ayant jamais fait ça avant.... Je posais une simple question à savoir si c'est à cause des attaques de spams, ou comme vous le dites, simplement parce que mon site était en panne.

 

Désolée d'être simplement ignorante et en panique

 

Merci quand même d'avoir pris le temps de me répondre malgré tout.

[Miharaa]

Votre maison est sur Pluton ? 

 

l'adresse https://www.saveurssante.com/index.php? répond bien, juste que les urls simplifiées ne sont pas activées (nul pour le référencement...)

 

Ah merci pour le conseils pour les urls simplifiées... J'avais vu l'option mais je n'avais pas vu que c'était bien pour le référencement... Je vais aller changer ça à l'instant.

[Patrick_64]

SVP, créez un autre post pour ce type de problème

 

merci

[Oron]

SVP, créez un autre post pour ce type de problème

 

merci

Bonjour

 

Laissez ce genre de remarque à l'auteur du sujet qui peut et à le droit de demander qu'on n'ajoute pas un problème dans son sujet

et aux modérateurs s'ils jugent qu'un message n'a pas lieu d'être ou ne correspond pas au sujet d'une manière directe ou indirecte.

 

Si vous voyez quelque chose qui vous gêne ou bloque et que vous n'êtes pas l'auteur du sujet vous avez le lien Signaler en-dessous de chaque post.

 

Là voyant votre remarque j'ai dû tout lire et me faire lire 4 pages c'est pas bon signe

 

Merci de votre compréhension.

[Web-creation]

Bonsoir ou Bonjour,

 

Je viens d'avoir le même soucis sur un site hébergé sur un serveur clé en main chez 1and1.

 

J'ai bien viré le module via le ftp, vidé le cache au cas ou, des que je refais pointer le nom de domaine sur ce dossier, ça recommence.

Le gros soucis c'est que ça mets tous les sites actifs sur mon serveur en erreur 500.

 Il m'est impossible de purger les mails en attente sur le serveur, chez 1and1 les 3/4 des techs sont en vacances pour les fêtes... ceux que j'ai au téléphone me disent qu'ils ne peuvent pas le faire qu'il faut que j'essaie de rappeler demain.

 

J'ai du coup un doute sur cette histoire de mailqueue, pourquoi dès que je fais pointer le nom de domaine à la racine du presta pourtant nettoyé, mon serveur plante (erreur 500 sur tous les sites présents) et que je vois ce genre de chose via la commande "ps aux" en ssh (ça pointe vers le index.php du site) :

429938   29699  9.6  1.3  63632 27340 ?        R    21:58   0:00 /usr/lib/cgi-bin/php5.5 /kunden/homepages//htdocs/***/site/index.php

Je me demande si je ne subis pas plusieurs attaques différentes en même temps du coup.

Edited December 20, 2016 by Web-creation (see edit history)

[Web-creation]

Je viens de regarder les logs de mon serveur, j'ai essayé de bannir quelques plages ip, mais sans résultat, même banni via le htaccess à la racine du site, ça ne change rien.

Methode que j'ai utilisé :

RewriteCond %{REMOTE_ADDR} ^182\.[0-9]+\.[0-9]+\.[0-9]+ [OR]
RewriteCond %{REMOTE_ADDR} ^27\.[0-9]+\.[0-9]+\.[0-9]+ [OR]
RewriteCond %{REMOTE_ADDR} ^144\.[0-9]+\.[0-9]+\.[0-9]+ [OR]
RewriteCond %{REMOTE_ADDR} ^113\.[0-9]+\.[0-9]+\.[0-9]+ [OR]
RewriteCond %{REMOTE_ADDR} ^123\.[0-9]+\.[0-9]+\.[0-9]+ [OR]
RewriteCond %{REMOTE_ADDR} ^106\.[0-9]+\.[0-9]+\.[0-9]+
RewriteRule .* - [F]

Via l'admin de prestashop, j'ai essayé aussi de mettre en place la géolocalisation et de bloquer les pays asiatique (puisque les ips sont chinoise), sans résultat.

 

Ce qui est hallucinant c'est que dans les logs, je vois qu'ils appellent toujours le module sendtoafriend alors qu'il n'est plus du tout présent.

 

Edit : problème réglé en bannissant carrement des plages ip sur la totalité de mon serveur. Merci

Edited December 21, 2016 by Web-creation (see edit history)