USB83 Posted May 7, 2016 Share Posted May 7, 2016 (edited) Salut à tous, Depuis 48h des milliers d'emails sont envoyés depuis mon site avec la fonctionnalité Envoyer à un ami. J'ai désactivé le module après avoir constaté le problème ce matin mais ça ne s'est pas réglé pour autant. En consultant ma boite email à l'instant, j'ai trouvé plus de 3000 messages de mails non delivrés dans mon dossier spam. En gros les emails sont envoyés depuis mon site vers des adresses bidon et je reçois des réponses automatiques disant que les adresses en questions n'existent pas. Ça ressemble à ça : -------------------------------------------------------- This is the mail system at host smtp1.******.net. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. For further assistance, please send mail to postmaster. If you do so, please include this problem report. You can delete your own text from the attached returned message. The mail system <[email protected]>: host mx3.qq.com[184.105.206.82] said: 550 Mail content denied. http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000726 (in reply to end of DATA command) Final-Recipient: rfc822; [email protected] Original-Recipient: rfc822;[email protected] Action: failed Status: 5.0.0 Remote-MTA: dns; mx3.qq.com Diagnostic-Code: smtp; 550 Mail content denied. http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000726 ---------- Message transféré ---------- From: Nom de ma boutique <[email protected]> To: <[email protected]> Cc: Date: Sat, 07 May 2016 22:54:55 +0100 Subject: [Nom de ma boutique] Un ami vous a envoyé un lien vers Nom du produit BONJOUR 125643许多年前你曾是朴素的少年,XBET全球最大的老虎机运营商免费注册首存送888元,安全稳定支持[spam-filter]扫码最低充值10元起 WWW.XBET008.COM WKBGMJMIVF, UN AMI VOUS ENVOIE UN LIEN VERS UN PRODUIT QUI POURRAIT VOUS INTÉRESSER. Il s'agit de: Nom du produit -------------------------------------------------------- Le manège s'interrompt lorsque je met la boutique en maintenance. Puis ça reprend immédiatement dès que la boutique est réactivée. J'ai désactivé puis désinstallé complètement le module, mais les emails continuent à être envoyés malgré tout C'est toujours le même produit qui est 'recommandé' dans les emails envoyés. Si quelqu'un a une idée sur l'origine de ce truc, ça m'intéresse parce que là, pas moyen de réactiver la boutique sans que des messages soient envoyés chaque seconde Prestashop 1.6.1.1 - Modules de base Merci !! Edited May 7, 2016 by USB83 (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted May 8, 2016 Share Posted May 8, 2016 Dans le principe: le spammeur a préparé un script (formulaire) automatique qui reprend les données de votre formulaire et l'envoie à votre_url/modules/sendtoafriend/sendtoafriend_ajax.php Lorsque vous êtes en maintenance, le lien ne fonctionne pas. Il suffit de récupérer l'IP qui appelle ce fichier et la bannir (ou la renvoyer vers le site du FBI ) La meilleure méthode serait bien sûr de modifier $this->secure_key = Tools::encrypt($this->name); qui est de la poudre aux yeux... et de limiter l'envoi à 5 destinataires par exemple. Egalement de limiter l'envoi de mails au seuls clients enregistrés et valides, en modifiant la ligne 57 du fichier ci-dessus: if (!$friendName || !$friendMail || !$id_product) par if (!$friendName || !$friendMail || !$id_product || !$module->context->cookie->customer_firstname) 1 Link to comment Share on other sites More sharing options...
USB83 Posted May 8, 2016 Author Share Posted May 8, 2016 Salut Eolia,Merci pour votre réponse. C'est exact, en consultant les logs d'accès apache, j'ai trouvé des milliers de lignes qui ressemblent à ça mondomaine.tld 222.127.98.10 - - [08/May/2016:11:03:10 +0000] "POST /modules/sendtoafriend/sendtoafriend_ajax.php?rand=7652765765371 HTTP/1.1" 404 24366 "http://domaine.tld/modules/sendtoafriend/sendtoafriend_ajax.php?rand=7652765765371" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1)" Comme je ne peux pas bannir d'ip (mutualisé) j'ai carrément renommé le dossier qui contient ce module puisque même après l'avoir désactivé puis désinstallé, le script continuait à l'appeler et les emails s'envoyaient toujours C'est un peu une faille de prestashop ça d'ailleurs, non ? Je vais effectuer les modifs que vous avez suggérées et je vous dirai ce qu'il en est. Merci encore Link to comment Share on other sites More sharing options...
Eolia Posted May 8, 2016 Share Posted May 8, 2016 Ben si vous pouvez dans votre htaccess^^ deny from XXX.XXX.XXX.XXX Link to comment Share on other sites More sharing options...
USB83 Posted May 8, 2016 Author Share Posted May 8, 2016 Ah je ne savais pas. Merci pour l'astuce Y'a deux domaines, celui des serveurs (que ce soit apache ou nginx) et les dns c'est de la magie noire pour moi Link to comment Share on other sites More sharing options...
vapo-depot Posted May 12, 2016 Share Posted May 12, 2016 Juste pour info, le même spammeur s'amuse à faire la même chose sur mon site, par paquets de 700 mails, depuis la même date (7/5/2016). Je vais limiter ces envois aux visiteurs connectés. Link to comment Share on other sites More sharing options...
bleach Posted July 9, 2016 Share Posted July 9, 2016 (edited) pareil pour moi depuis le 06/07/2016, j'ai désactivé, désinstallé le module puis renommé ce module car il continué le 07/007/2016, maintenant plus rien ne part mais les IPs continue d'affluer sur mon site j'ai banni les ip il se retrouve donc sur du forbiden, mais continu malgré tout a essayer de ce connecter (de 400 a 800 tentatives chaques jours Edited July 9, 2016 by bleach (see edit history) Link to comment Share on other sites More sharing options...
guig06 Posted July 26, 2016 Share Posted July 26, 2016 Bonjour, J'ai le même problème depuis 2 jours. J'utilise la version 1.6.0.9 de Prestashop, et l'envoi des emails est fait à partir de Mailjet. J'ai désactivé le module mais le problème persistait. J'ai donc supprimé le répertoire sendtoafiend sur le serveur, et apparemment les spams ne sont plus envoyés. En tout cas, je vois toujours des dizaines de connexions par minute à l'url /modules/sendtoafriend/sendtoafriend_ajax.php?rand=1468992608272 en provenance d'adresses IP différentes, mais maintenant en 404. N'y a-t-il pas une mise à jour de sécurité Prestashop pour corriger ce problème ? Link to comment Share on other sites More sharing options...
Eolia Posted July 26, 2016 Share Posted July 26, 2016 C'est en cours, on leur a proposé des solutions, mais ils sont longs à la détente^^ Link to comment Share on other sites More sharing options...
zaar Posted July 26, 2016 Share Posted July 26, 2016 Sinon pourquoi ne pas restreindre l'accès au serveur, je suppose que vous ne vendez pas en chine ni en russie? c'est radical comme solution mais c'est assez simple à mettre en place si on est pas sur un mutualisé. ça évite ce genre de chose et d'autres encore Link to comment Share on other sites More sharing options...
Eolia Posted July 26, 2016 Share Posted July 26, 2016 c'est tellement simple de blacklister 3 milliards d'ip chinoises que votre serveur va aimer Link to comment Share on other sites More sharing options...
guig06 Posted July 26, 2016 Share Posted July 26, 2016 J'aimerais bien restreindre l'accès à des IP mais il y en a beaucoup. J'en ai identifié quelques unes, mais il y en beaucoup plus : 45.127.97.93 61.158.162.32 61.158.163.140 61.158.163.198 69.165.64.210 69.165.64.221 103.40.102.142 103.212.33.205 103.212.33.209 103.213.250.49 103.213.251.175 103.214.168.163 103.214.168.185 103.214.168.186 103.214.169.219 118.193.180.84 118.193.212.176 118.193.217.203 202.181.24.200 202.181.24.214 203.189.235.201 Effectivement, bloquer l'accès à un pays entier est un peu radical... Sinon j'ai ajouté un fichier htaccess contenant "Deny from all" dans le répertoire sendtoafriend, mais maintenant j'ai des erreurs 403 dans les logs au lieu des erreurs 404 haha ! Link to comment Share on other sites More sharing options...
zaar Posted July 26, 2016 Share Posted July 26, 2016 non restreindre l'accès au pays pas blacklisté une à une 3 milliards d'adresses ip Link to comment Share on other sites More sharing options...
Eolia Posted July 26, 2016 Share Posted July 26, 2016 Non mais ca revient au même si vous bannisssez des plages d'ip, Apache devra scanner toutes ces plages avant de libérer ou pas le socket, donc votre site va ramer bien gentiment c'est très bien la 403, au bout d'un moment les botnets vont se lasser^^ Link to comment Share on other sites More sharing options...
doekia Posted July 26, 2016 Share Posted July 26, 2016 Ah mais c'est la faille dans le module sendtoafriend çà Et là tu es pris dans un botnet donc après avoir banni toutes les ip chinoise, le bot passera ailleurs, il y a même un effet levier que j'ai pas exactement compris qui va te ramener plein de traffic de site de toutes sorte oui oui même du Q depuis un peu partout ... Finalement j'ai commencé à m'en sortir avec ça dans modules/sendtoafriend/.htaccess RewriteEngine on RewriteRule .* http://127.0.0.1/ [R=510,E=BAN:1,L] Et un filtre spécial dans fail2ban après 3 appel pour un certain temps limité parce que les 3000 segments rien que de la chine à bannir ça te plombe vite tes perfs Pour info j'ai mis presque 5jours pour faire comprendre au bot de lacher l'affaire. Bon courage. Link to comment Share on other sites More sharing options...
guig06 Posted July 26, 2016 Share Posted July 26, 2016 Merci pour ces infos. A quoi servent la redirection 510 et le E=BAN:1 exactement ? Link to comment Share on other sites More sharing options...
bleach Posted July 26, 2016 Share Posted July 26, 2016 beaucoup de manip pour pas grand chose, il y a des modules qui font sa très bien ! http://addons.prestashop.com/fr/recherche?id_category=0&search_query=ban Link to comment Share on other sites More sharing options...
Eolia Posted July 26, 2016 Share Posted July 26, 2016 beaucoup de manip pour pas grand chose, il y a des modules qui font sa très bien ! http://addons.prestashop.com/fr/recherche?id_category=0&search_query=ban Vous devriez vous renseigner avant d'écrire n'importe quoi^^ Quand la tables des IP bannies va commencer à vraiment se remplir, genre 3 ou 400 000 vous allez vous demander pourquoi votre site met 30 secondes à cracher une page... Parce que là ce sont des attaques avec des botnets et ip tournantes, donc bon courage Link to comment Share on other sites More sharing options...
bleach Posted July 26, 2016 Share Posted July 26, 2016 (edited) Sauf que moi, je ne banni que les IP qui on utilisé le module "envoyer à un ami" ou la plage d'ip, ce qui ne représente que quelques IP à bannir, de plus, ces IP sont redirigés et ne m'embête qu'une seconde maximum et au bout de quelques jours, ils ne viennent plus car, il se rendent compte que sa ne fonctionne plus Depuis la mise en place de ce module ...le lendemain de mon premier message, je n'ai à ce jour plus qu'une seul adresse ip qui persiste à venir et qui va surement comprendre d'ici quelques jours Alors oui, je pense que ma solution et la bonne car la preuve du résultat est bien la !! Edited July 26, 2016 by bleach (see edit history) Link to comment Share on other sites More sharing options...
doekia Posted July 26, 2016 Share Posted July 26, 2016 Merci pour ces infos. A quoi servent la redirection 510 et le E=BAN:1 exactement ? Le 510 est un code d'erreur comme il est unique c'est facile a pister dans les logs et la redirection c'est en quelque sorte la syntaxe pour faire accepter le code et le E=BAN:1 créé une variable environnement BAN=1 pour déclencher un log spécifique car faire un fail2ban sur l'access.log ça va vite devenir compliqué en perf si tu as de l'audience beaucoup de manip pour pas grand chose, il y a des modules qui font sa très bien ! http://addons.prestashop.com/fr/recherche?id_category=0&search_query=ban c'est sûr qu'un blocage direct sur la stack tcp c'est plus compliqué que démarrer le bousin php+config.inc.php+module hook+une regex sur 514 pattern - tu as tout compris je vois - et si ton intervention est juste là pour racoler tu peux passer ton chemin Link to comment Share on other sites More sharing options...
bleach Posted July 26, 2016 Share Posted July 26, 2016 (edited) guig06, on 26 Jul 2016 - 10:01 PM, said: c'est sûr qu'un blocage direct sur la stack tcp c'est plus compliqué que démarrer le bousin php+config.inc.php+module hook+une regex sur 514 pattern - tu as tout compris je vois - et si ton intervention est juste là pour racoler tu peux passer ton chemin mais qu'est ce que c'est que cette façon de s'exprimer !! je viens pour racoler, mais on va ou la, j'essaye d'aider certains utilisateurs dans le besoin d'une solution rapide et pas trop complexe à mettre en place voila tous, je ne vends rien et ne suis pas concepteur de quoi que ce soit, si forum ne veux plus dire "entraide" pour vous, alors passez votre chemin, mais laisser tranquille les gens qui essaient d'aider ! Edited July 27, 2016 by bleach (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted July 26, 2016 Share Posted July 26, 2016 Vous ne dormez pas à cette heure là ? Link to comment Share on other sites More sharing options...
ritopina Posted July 27, 2016 Share Posted July 27, 2016 Merci Bleach Link to comment Share on other sites More sharing options...
USB83 Posted July 27, 2016 Author Share Posted July 27, 2016 Sinon pourquoi ne pas restreindre l'accès au serveur, je suppose que vous ne vendez pas en chine ni en russie? c'est radical comme solution mais c'est assez simple à mettre en place si on est pas sur un mutualisé. ça évite ce genre de chose et d'autres encore J'ai régulièrement des clients en Russie et je préfère ne pas bloquer l'accès à des clients potentiels d'où qu'ils soient. Link to comment Share on other sites More sharing options...
barbart Posted August 15, 2016 Share Posted August 15, 2016 Salut à tous, Même problème, je reçois des milliers de mails dans mes spams depuis le module "envoyer à un ami". J'ai fais une mise à jour du module, rien n'y fais. Je l'ai donc désactivé, toujours le même problème. N'y a t-il pas un moyen de résoudre cette faille sur ce module ? Que faire ? Merci pour vos réponses ! Link to comment Share on other sites More sharing options...
doekia Posted August 15, 2016 Share Posted August 15, 2016 Le problème a été reporté à la team il y a presque 3 semaines, mais malgré le message à [email protected] et que la sécurité soit prise très au sérieux selon leurs dires, et bien ... rien, nada, bernique... enfin si des shop qui tombent comme des mouches Link to comment Share on other sites More sharing options...
Guest Posted August 15, 2016 Share Posted August 15, 2016 Le problème a été reporté à la team il y a presque 3 semaines, mais malgré le message à [email protected] et que la sécurité soit prise très au sérieux selon leurs dires, et bien ... rien, nada, bernique... enfin si des shop qui tombent comme des mouches Je confirme... j'ai eu des attaques des Philippins, et Honk Kong surtout sur ce module, IP bloquées, puis range d'ips bloquées, finalement on dirait que leurs bots ont lâché prise pour le moment et le module à été effacé sur les boutiques ou ça n'était pas nécessaire... mais du coté Prestashop aucune nouvelles !! Link to comment Share on other sites More sharing options...
chafox Posted August 18, 2016 Share Posted August 18, 2016 Meme problème pour moi depuis ce matin. 1 seule adresse venant des Philippines. J'ai bloqué l'IP dans le htaccess (222.127.98.10). J'espère que ça va suffire... Link to comment Share on other sites More sharing options...
Guest Posted August 18, 2016 Share Posted August 18, 2016 héhé.. j'ai eu la même.. c'était la première une fois celle-ci bloquée, les autres vont suivrent voici les suivantes : 222.127.98.10 210.213.254.66 103.17.117.236 203.160.131.87 27.254.113.130 27.116.61.90 113.105.224.85 maintenant j'ai désinstallé et supprimé le module.. qu'est-ce qu'on est peinard ! et ça ne manque à personne, il reste le module "social sharing" pour partager ! Link to comment Share on other sites More sharing options...
Guest Posted August 18, 2016 Share Posted August 18, 2016 (edited) Ce qui en résulte est que le serveur est saturé de mails à la noix.. et essaye d'envoyer continuellement des milliers de mails à des adresses qui existent et d'autres qui n'existent pas.. donc il réessaye en permanence de renvoyer ceux qui n'aboutissent pas, bref ça plombe le serv pas mal.. et c'est pas rien ça ! Y'à peut-être même moyen de se faire blacklister le serveur en tant que spammer si jamais on a un peu de chance !! Edited August 18, 2016 by Guest (see edit history) Link to comment Share on other sites More sharing options...
doekia Posted August 18, 2016 Share Posted August 18, 2016 L'ip du serveur passe dans les RBL, microsoft vous ban (vous allez vous marrer à refaire accepter cette ip par microsoft) yahoo vous ban orange vous ban t-online vous ban Plus de mail = - plus de sav internet et un explosion du SAV téléphonique - plus de relance commerciale - plus de newsletter Le pire vous aller opter pour un service externe payant comme mailjet/sendinblue et dans 3 jours ils vous bloquent aussi Et pendant ce temps là votre serveur fait ça: http://awesomescreenshot.com/0fe63ei7ba Link to comment Share on other sites More sharing options...
chafox Posted August 20, 2016 Share Posted August 20, 2016 Purée, c'est devenu exponentiel de mon côté. Après 1 seule IP des Philippines, je me suis retrouvée avec dizaines d'attaques venant de Chine, Hong-Kong, Thailand... Difficile de bloquer toutes ces IP. Du coup j'ai désactivé le module mais ça ne suffit pas. Il faut soit le supprimer soit le renommer pour que ça stoppe. Je vais attendre une mise à jour de prestashop pour le réactiver (ou choisir un autre module). Ce que je ne comprends pas c'est que j'ai GEOIP installé sur mon serveur et qui était normalement programmé pour me bloquer les visites de Chine, avec cette ligne dans le htaccess : SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry Pourquoi est-ce que ça n'a pas suffit ? Autre question, à quoi sert ce genre d'attaque pour les spammeurs puisque les emails n'arrivent pas ?? Link to comment Share on other sites More sharing options...
Eolia Posted August 20, 2016 Share Posted August 20, 2016 Purée, c'est devenu exponentiel de mon côté. Après 1 seule IP des Philippines, je me suis retrouvée avec dizaines d'attaques venant de Chine, Hong-Kong, Thailand... Difficile de bloquer toutes ces IP. Du coup j'ai désactivé le module mais ça ne suffit pas. Il faut soit le supprimer soit le renommer pour que ça stoppe. Je vais attendre une mise à jour de prestashop pour le réactiver (ou choisir un autre module). Ce que je ne comprends pas c'est que j'ai GEOIP installé sur mon serveur et qui était normalement programmé pour me bloquer les visites de Chine, avec cette ligne dans le htaccess : SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry Pourquoi est-ce que ça n'a pas suffit ? Autre question, à quoi sert ce genre d'attaque pour les spammeurs puisque les emails n'arrivent pas ?? Desfois, je me demande pourquoi on écrit des posts... On a écrit que pour stopper les envois de mails il faut supprimer le module. Le désactiver n'empêche pas l'accès au fichier Votre GEOIP ne bloquera jamais une attaque de botnet^^ Le but est soit d'envoyer vraiment du spam, soit de ralentir voire faire tomber votre serveur 1 Link to comment Share on other sites More sharing options...
BoutikShop69 Posted August 20, 2016 Share Posted August 20, 2016 Le but est soit d'envoyer vraiment du spam, soit de ralentir voire faire tomber votre serveur + 1 Link to comment Share on other sites More sharing options...
doekia Posted August 20, 2016 Share Posted August 20, 2016 Il faut purger la queue des messages Après les pays exotiques se sera le tour d'un botnet contenant des machines bien de chez nous (mme michu avec un trojan) Le botnet peut te faire des rafale à 300 connexions secondes, et il peu lui falloir dans les 7 jours pour se calmer Le problème avec des approches de solutions pour empécher l'usage d'un botnet a été reporté à Remy Gaillard / security prestashop le 20 juillet: Everything is in the title. A bot reads a productpage and collect the securitykeyThe bot distribute the security key to a botnetThe botnet send zillions a sendtoamail_ajax.php call per second Solution (not perfect) (all steps required) The secure key is remote ip tainted Check refererAllow only identified customersAllow only post in a random timeframe per 3 mn - slidding failure reset the timerAllow only 5 post per day The solution is not optimal but makes it difficult to be usable by a botnet and renders it difficult to be programmatically used - hence abuser will switch to an easier pray La réponse le 20 juillet: Nous allons réfléchir en interne à une solution pouvant répondre à cette problématique de façon globale. Concernant ce module en particulier, une nouvelle version est disponible depuis quelques semaines réduisant l'envoie de spam en vérifiant les données injectées dans les différents champs. En temps internet ça représente quoi? un siècle? PS: Je sais on va dire je troll Link to comment Share on other sites More sharing options...
chafox Posted August 20, 2016 Share Posted August 20, 2016 (edited) Desfois, je me demande pourquoi on écrit des posts... On a écrit que pour stopper les envois de mails il faut supprimer le module. Le désactiver n'empêche pas l'accès au fichier Désolée mais vous n'écrivez pas des posts, vous faites du t'chat... Personnellement je reprenais les actions que j'avais faites dans l'ordre pour aider les autres ecommerçants qui auraient des attaques, c'est le but d'un forum, non ? Edited August 20, 2016 by chafox (see edit history) Link to comment Share on other sites More sharing options...
chafox Posted August 20, 2016 Share Posted August 20, 2016 Il faut purger la queue des messages Comment tu fais ça s'il te plait ? Link to comment Share on other sites More sharing options...
barbart Posted August 20, 2016 Share Posted August 20, 2016 Module supprimé et pourtant toujours enormement de mail dans les spam.... Link to comment Share on other sites More sharing options...
Eolia Posted August 20, 2016 Share Posted August 20, 2016 Module supprimé et pourtant toujours enormement de mail dans les spam.... Normal, la mailqueue du serveur est pleine. A voir avec votre hébergeur ou videz-là vous-même si vous y avez accès (OVH -> mails automatisés) Désolée mais vous n'écrivez pas des posts, vous faites du t'chat... Personnellement je reprenais les actions que j'avais faites dans l'ordre pour aider les autres ecommerçants qui auraient des attaques, c'est le but d'un forum, non ? "On écrit que pour stopper les envois d'emails il faut supprimer le module" ok, mais le renommer marche aussi pour moi alors je me permets de le signaler, ok ? pourquoi ça vous dérange ? Le renommer ne sert qu'à retarder l'attaque. J'ai fait des posts ne vous déplaise, je ne suis pas en train de chatter^^ Et comme j'ai dépanné pas mal de monde lors des récentes attaques ça a donné l'idée à des petits malins (enfin pas si malins que ça) de tenter de hacker mon serveur. Et bien je vous garantis que les attaques tentent tous les noms possibles (.old, _old, _1, etc...), donc si je vous dis "Supprimer" ce n'est pas pour parler dans le vide... 2 Link to comment Share on other sites More sharing options...
Mediacom87 Posted August 20, 2016 Share Posted August 20, 2016 Je confirme, seul l'effacement pur et simple de ce module est fonctionnel. Link to comment Share on other sites More sharing options...
chafox Posted August 20, 2016 Share Posted August 20, 2016 Et bien je vous garantis que les attaques tentent tous les noms possibles (.old, _old, _1, etc...), donc si je vous dis "Supprimer" ce n'est pas pour parler dans le vide... Alors merci du conseil, je supprime ! :-) Link to comment Share on other sites More sharing options...
barbart Posted August 20, 2016 Share Posted August 20, 2016 Perso je l'ai supprimé (supprimer à partir du back office presta dans la catégorie module) et toujours autant de retour de mail :/ Peut-être faut-il un délai avant de ne plus recevoir ces mails ? Link to comment Share on other sites More sharing options...
doekia Posted August 20, 2016 Share Posted August 20, 2016 Pour vider la queue sur un dédié: postqueue -d ALL et tant que le bornet m'attaque personellement je bloque carrément les envois et je regarde toutes les 2 heures si ils doivent partir. On peut aussi trouver quelques pattern afin de filtrer: mailq | <monfiltre> | xargs -l postqueue -d {} je lance le mailer sur le restant que je trouve légitime et je rebloque le mailer Link to comment Share on other sites More sharing options...
Eolia Posted August 21, 2016 Share Posted August 21, 2016 Perso je l'ai supprimé (supprimer à partir du back office presta dans la catégorie module) et toujours autant de retour de mail :/ Peut-être faut-il un délai avant de ne plus recevoir ces mails ? Alors une petite explication du processus car cela n'a pas l'air d'être clair pour vous: - Ce module a une faille qui permet d'envoyer autant de mails que l'on veut depuis un des fichiers de ce module. - Les mails sont envoyés depuis votre serveur avec votre adresse email boutique comme expéditeur, et évidemment, votre IP serveur - Comme tout serveur, avant d'être envoyés, les mails sont en file d'attente (mail queue) et envoyés par lots. S'il n'y en a que quelques uns, ils partent immédiatement. Dans le cas d'une attaque, ce sont plusieurs milliers de mails... donc, en attente. - Si vous avez trop tardé à supprimer le module, les mails sont déjà dans la mail queue, la seule solution est donc de la vider/supprimer Problèmes majeurs de ce type d'attaque: - Votre serveur sature et rame - Votre IP et adresse email sont black-listées et il faut montrer patte blanche auprès des différentes autorités pour se faire dé-black-lister (Microsoft, Google et Cie...) - Vos clients légitimes ne reçoivent plus leurs mails (Confirmations de commande, messages, demande de mot de passe...) Link to comment Share on other sites More sharing options...
Patrick_64 Posted August 28, 2016 Share Posted August 28, 2016 Bonjour à tous, et si on mettait un Captcha avant l'envoi du formulaire dans l'Ajax ou le TPL, ça pourrait bloquer le robot ? Link to comment Share on other sites More sharing options...
Eolia Posted August 28, 2016 Share Posted August 28, 2016 Bonjour à tous, et si on mettait un Captcha avant l'envoi du formulaire dans l'Ajax ou le TPL, ça pourrait bloquer le robot ? Non le robot n'utilise pas le formulaire mais attaque en direct le fichier php qui effectue les envois (sans rien vérifier^^) Link to comment Share on other sites More sharing options...
Patrick_64 Posted August 28, 2016 Share Posted August 28, 2016 ok, compris, je viens d'ouvrir un ticket dans la Forge Link to comment Share on other sites More sharing options...
maadmnt Posted September 2, 2016 Share Posted September 2, 2016 Vous pouvez utiliser: http://www.ip2location.com/blockvisitorsbycountry.aspx Selectionner les pays puis generer le code à inserer au .htaccess et Voila Link to comment Share on other sites More sharing options...
maadmnt Posted September 2, 2016 Share Posted September 2, 2016 J'avait le même problème, plus de 800.000 email dans la boite!!! Il fait une vrai solution à ça!!! Link to comment Share on other sites More sharing options...
Mediacom87 Posted September 2, 2016 Share Posted September 2, 2016 Vous pouvez utiliser: http://www.ip2location.com/blockvisitorsbycountry.aspx Selectionner les pays puis generer le code à inserer au .htaccess et Voila Et pensez à rafraichir cette liste régulièrement. Link to comment Share on other sites More sharing options...
doekia Posted September 2, 2016 Share Posted September 2, 2016 Jusqu'à ce que le botnet utilise des ip française Link to comment Share on other sites More sharing options...
Eolia Posted September 2, 2016 Share Posted September 2, 2016 Non, mais laisse Doekia, ce sont des génies de la protection informatique et si leurs nouveaux clients mettent 30 sec à avoir une page vu le scan qu'apache va devoir faire, ben tant mieux^^ 1 Link to comment Share on other sites More sharing options...
Miharaa Posted September 6, 2016 Share Posted September 6, 2016 (edited) Bonjour, Juste pour mentionner que notre site a subi le même type d'attaque aussi... Nous sommes du Québec et c'est mon hébergeur qui nous a contacté pour nous faire savoir que nous spammons et a suspendu notre site en attendant... Il y aurait plus de 30 000 mail en attente... C'est ce que mon hébergeur m'a envoyé pour me montrer un exemple du spam : ime: Sat Sep 3 08:52:18 2016 -0400Type: LOCALRELAY, Local Account - saveurssCount: 101 emails relayedBlocked: NoSample of the first 10 emails:2016-09-03 08:51:57 1bgAQP-001Hvw-8j <= [email protected] U=saveurss P=local S=35401 id=20160903125157.609896424.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]2016-09-03 08:51:57 1bgAQP-001Hwi-GH <= [email protected] U=saveurss P=local S=35258 id=20160903125157.204717942.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]2016-09-03 08:51:57 1bgAQP-001HxK-MS <= [email protected] U=saveurss P=local S=35538 id=20160903125157.1479385884.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]2016-09-03 08:51:57 1bgAQP-001HxU-MZ <= [email protected] U=saveurss P=local S=35269 id=20160903125157.431361261.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]2016-09-03 08:51:57 1bgAQP-001Hxh-Ph <= [email protected] U=saveurss P=local S=35211 id=20160903125157.645754086.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]2016-09-03 08:51:58 1bgAQQ-001Hyn-3I <= [email protected] U=saveurss P=local S=35106 id=20160903125158.310593583.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]2016-09-03 08:51:58 1bgAQQ-001HzZ-Ny <= [email protected] U=saveurss P=local S=35323 id=20160903125158.970422035.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]2016-09-03 08:51:58 1bgAQQ-001Hzp-Rc <= [email protected] U=saveurss P=local S=35239 id=20160903125158.548922096.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]2016-09-03 08:51:59 1bgAQR-001I0b-86 <= [email protected] U=saveurss P=local S=35211 id=20160903125159.1811078257.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected]2016-09-03 08:51:59 1bgAQR-001I0w-KI <= [email protected] U=saveurss P=local S=35753 id=20160903125159.1341869671.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Time: Sat Sep 3 08:52:18 2016 -0400Type: LOCALRELAY, Local Account - saveurssCount: 101 emails relayedBlocked: No Je les appelle dans quelques minutes, ils vont me laisser 15 minutes pour désactiver le tout o_O Et comme je suis une totale débutante dans prestashop, limite je me sens comme dans mission impossible là lol o_O *edit* Je viens de leur parler, ils me disent qu'ils ont supprimer le queue de leur serveur mais je suppose que je dois aussi supprimer mon queue ou c'est la même chose ?? Je vais quand même suivre les indications du post en cas... ! Sérieux les chinois ont rien d'autres à faire que de spammer mes plats prêts à manger !!!! -_-' Edited September 6, 2016 by Miharaa (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted September 6, 2016 Share Posted September 6, 2016 Bonjour, Juste pour mentionner que notre site a subi le même type d'attaque aussi... Nous sommes du Québec et c'est mon hébergeur qui nous a contacté pour nous faire savoir que nous spammons et a suspendu notre site en attendant... Il y aurait plus de 30 000 mail en attente... C'est ce que mon hébergeur m'a envoyé pour me montrer un exemple du spam : ime: Sat Sep 3 08:52:18 2016 -0400 Type: LOCALRELAY, Local Account - saveurss Count: 101 emails relayed Blocked: No Sample of the first 10 emails: 2016-09-03 08:51:57 1bgAQP-001Hvw-8j <= [email protected] U=saveurss P=local S=35401 id=20160903125157.609896424.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected] 2016-09-03 08:51:57 1bgAQP-001Hwi-GH <= [email protected] U=saveurss P=local S=35258 id=20160903125157.204717942.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected] 2016-09-03 08:51:57 1bgAQP-001HxK-MS <= [email protected] U=saveurss P=local S=35538 id=20160903125157.1479385884.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected] 2016-09-03 08:51:57 1bgAQP-001HxU-MZ <= [email protected] U=saveurss P=local S=35269 id=20160903125157.431361261.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected] 2016-09-03 08:51:57 1bgAQP-001Hxh-Ph <= [email protected] U=saveurss P=local S=35211 id=20160903125157.645754086.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected] 2016-09-03 08:51:58 1bgAQQ-001Hyn-3I <= [email protected] U=saveurss P=local S=35106 id=20160903125158.310593583.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected] 2016-09-03 08:51:58 1bgAQQ-001HzZ-Ny <= [email protected] U=saveurss P=local S=35323 id=20160903125158.970422035.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected] 2016-09-03 08:51:58 1bgAQQ-001Hzp-Rc <= [email protected] U=saveurss P=local S=35239 id=20160903125158.548922096.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected] 2016-09-03 08:51:59 1bgAQR-001I0b-86 <= [email protected] U=saveurss P=local S=35211 id=20160903125159.1811078257.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Un ami sent you a link to Riz frit au basilic et poulet Saveurs Sant\351" for [email protected] 2016-09-03 08:51:59 1bgAQR-001I0w-KI <= [email protected] U=saveurss P=local S=35753 id=20160903125159.1341869671.swift@www.saveurssante.com T="[saveurs Sant\351 \340 la maison...] Time: Sat Sep 3 08:52:18 2016 -0400 Type: LOCALRELAY, Local Account - saveurss Count: 101 emails relayed Blocked: No Je les appelle dans quelques minutes, ils vont me laisser 15 minutes pour désactiver le tout o_O Et comme je suis une totale débutante dans prestashop, limite je me sens comme dans mission impossible là lol o_O Commencez par demander à votre hébergeur de vider la mailqueue puis supprimez le module sendtoafriend du répertoire /modules du ftp Si vous voulez plus d'aide, envoyez-moi un accès ftp par MP Link to comment Share on other sites More sharing options...
Miharaa Posted September 6, 2016 Share Posted September 6, 2016 Merci pour votre réponse ! C'est bon ils ont vidé leur mailqueue, je vais leur demander de supprimer du FTP également le répertoire ! Merci !! Link to comment Share on other sites More sharing options...
doekia Posted September 6, 2016 Share Posted September 6, 2016 Le truc amusant si il en est c'est que la team a été prévenu avec des pistes pour fixer le problème de ce module depuis presque 3mois Link to comment Share on other sites More sharing options...
KevinNash Posted September 6, 2016 Share Posted September 6, 2016 Le module actuel n'a pas été corrigé ? Je vois des modifs datant de fin Juin à propos du spam https://github.com/PrestaShop/sendtoafriend/commits/master Link to comment Share on other sites More sharing options...
doekia Posted September 6, 2016 Share Posted September 6, 2016 Le module actuel n'a pas été corrigé ? Je vois des modifs datant de fin Juin à propos du spam https://github.com/PrestaShop/sendtoafriend/commits/master Not enough Link to comment Share on other sites More sharing options...
KevinNash Posted September 6, 2016 Share Posted September 6, 2016 he he ils lui ont ajouté quoi au module au final ? Ca n'empêche pas l'appel direct de l'url ? Pour ma part j'ai mis le check de cookie client connecté made in Eolia. Sinon j'ai vu ça dans la partie anglaise, un autre module développé par un forumeur https://www.prestashop.com/forums/topic/539185-somebody-sending-out-spam-using-the-send-to-a-friend-module/?p=2381402 Apparemment cela éviterait ce spam mais je n'ai pas testé. Link to comment Share on other sites More sharing options...
Patrick_64 Posted September 7, 2016 Share Posted September 7, 2016 J'ai trouvé ça : https://github.com/firstred/mpsendtoafriend/releases/tag/1.1.4 Mis à jour le 8/08 ça parle à quelqu'un ? Link to comment Share on other sites More sharing options...
KevinNash Posted September 7, 2016 Share Posted September 7, 2016 arf ! j'en parle un post au-dessus du tien Link to comment Share on other sites More sharing options...
Patrick_64 Posted September 8, 2016 Share Posted September 8, 2016 oups . . . vite et bien ne font pas bon ménage :( Link to comment Share on other sites More sharing options...
Miharaa Posted September 9, 2016 Share Posted September 9, 2016 (edited) Bonjour, Petite question concernant ces "attaques" de spam... En gros à cause de ça c'est censé nous faire baisser dans les référencements non ? Car la dans le moment je ne trouve plus mon site web par google.... En plus notre hébergeur devait réactiver notre site dans les 15 minutes suivant la suppression du module, et il ne l'ont pas fait... Seulement mon IP avait accès au site... (en gros depuis 4 jours personne n'a accès au site) Bref, dans le moment si je cherche "saveurssante.com" sur google, je sors évidemment vu que c'est mon pc, mais la description reste à "site en suspension" (ça je verrai avec mon hébergeur, ça fait environ 1 heure que le site est en ligne pour tout le monde) ... Par contre mon copain a testé de la maison et il ne trouve plus du tout notre site via google... Est-ce que ça veut dire que j'ai été "bannie" de google à cause du spam ??? Est-ce que ça peut se rétablir avec le temps ou c'est définitif ? Pouvez-vous m'éclairez ? Merci ! Edited September 9, 2016 by Miharaa (see edit history) Link to comment Share on other sites More sharing options...
Miharaa Posted September 9, 2016 Share Posted September 9, 2016 Sans repère sur votre référencement c'est dur à dire ... Sur votre nom de domaine aucun intérêt ... mais bon une personne qui commande qui reçoit pas son mail de confirmation oui c'est pas terrible, et je pense que ça impacte également les notes google Hummmm je ne suis pas sûre de comprendre votre réponse ? En gros le spam a été réglé, j'ai supprimé le module, le mailqueue a été supprimé du serveur... Donc les e-mails de confirmations fonctionnent. Ma question est que le fait que mon site a spammé, j'ai peur d'avoir perdu mon référencement ou d'avoir été supprimé des moteurs de recherches.... Nous avons cherché "saveurssante.com" dans le moteur de recherche google et rien ne sort sur les premières pages.... Il me semble que ce ne soit pas normal .... Alors que plusieurs de nos clients nous ont trouvés en recherchant des repas cuisinés via google.... Ce que je demande c'est que si je n'apparaît pas en recherchant mon propre domaine dans google, c'est que forcément j'ai été supprimé ? Ou ça va prendre quelques jours et le site sera trouvable par google ? Link to comment Share on other sites More sharing options...
Eolia Posted September 9, 2016 Share Posted September 9, 2016 Bonjour, Petite question concernant ces "attaques" de spam... En gros à cause de ça c'est censé nous faire baisser dans les référencements non ? Car la dans le moment je ne trouve plus mon site web par google.... En plus notre hébergeur devait réactiver notre site dans les 15 minutes suivant la suppression du module, et il ne l'ont pas fait... Seulement mon IP avait accès au site... (en gros depuis 4 jours personne n'a accès au site) Bref, dans le moment si je cherche "saveurssante.com" sur google, je sors évidemment vu que c'est mon pc, mais la description reste à "site en suspension" (ça je verrai avec mon hébergeur, ça fait environ 1 heure que le site est en ligne pour tout le monde) ... Par contre mon copain a testé de la maison et il ne trouve plus du tout notre site via google... Est-ce que ça veut dire que j'ai été "bannie" de google à cause du spam ??? Est-ce que ça peut se rétablir avec le temps ou c'est définitif ? Pouvez-vous m'éclairez ? Merci ! Votre maison est sur Pluton ? l'adresse https://www.saveurssante.com/index.php? répond bien, juste que les urls simplifiées ne sont pas activées (nul pour le référencement...) Link to comment Share on other sites More sharing options...
doekia Posted September 9, 2016 Share Posted September 9, 2016 4 jours que tu claques la porte a google et 1h après avoir réouvert tu voudrais qu'il soit déjà revenu et réindexé ton contenu pour ne plus afficher "site en suspension". On croit réver. De plus ton site n'ayant pas d'url simplifiées pour google il n'y a qu'une page et elle était off, mais je te rassure c'est pas parce que tu regardes quelqu'un de travers dans la rue que google change ton référencement. Tu avais entre 0 et rien et en plus tu étais en panne ... Link to comment Share on other sites More sharing options...
Miharaa Posted September 9, 2016 Share Posted September 9, 2016 4 jours que tu claques la porte a google et 1h après avoir réouvert tu voudrais qu'il soit déjà revenu et réindexé ton contenu pour ne plus afficher "site en suspension". On croit réver. De plus ton site n'ayant pas d'url simplifiées pour google il n'y a qu'une page et elle était off, mais je te rassure c'est pas parce que tu regardes quelqu'un de travers dans la rue que google change ton référencement. Tu avais entre 0 et rien et en plus tu étais en panne ... On croit rêver de lire un commentaire aussi hautain que le vôtre Je suis débutante dans Prestashop, j'ai monté le site en solo pour une première fois, n'ayant jamais fait ça avant.... Je posais une simple question à savoir si c'est à cause des attaques de spams, ou comme vous le dites, simplement parce que mon site était en panne. Désolée d'être simplement ignorante et en panique Merci quand même d'avoir pris le temps de me répondre malgré tout. Link to comment Share on other sites More sharing options...
Miharaa Posted September 9, 2016 Share Posted September 9, 2016 Votre maison est sur Pluton ? l'adresse https://www.saveurssante.com/index.php? répond bien, juste que les urls simplifiées ne sont pas activées (nul pour le référencement...) Ah merci pour le conseils pour les urls simplifiées... J'avais vu l'option mais je n'avais pas vu que c'était bien pour le référencement... Je vais aller changer ça à l'instant. Link to comment Share on other sites More sharing options...
Patrick_64 Posted September 15, 2016 Share Posted September 15, 2016 SVP, créez un autre post pour ce type de problème merci Link to comment Share on other sites More sharing options...
Oron Posted September 15, 2016 Share Posted September 15, 2016 SVP, créez un autre post pour ce type de problème merci Bonjour Laissez ce genre de remarque à l'auteur du sujet qui peut et à le droit de demander qu'on n'ajoute pas un problème dans son sujet et aux modérateurs s'ils jugent qu'un message n'a pas lieu d'être ou ne correspond pas au sujet d'une manière directe ou indirecte. Si vous voyez quelque chose qui vous gêne ou bloque et que vous n'êtes pas l'auteur du sujet vous avez le lien Signaler en-dessous de chaque post. Là voyant votre remarque j'ai dû tout lire et me faire lire 4 pages c'est pas bon signe Merci de votre compréhension. 1 Link to comment Share on other sites More sharing options...
Web-creation Posted December 20, 2016 Share Posted December 20, 2016 (edited) Bonsoir ou Bonjour, Je viens d'avoir le même soucis sur un site hébergé sur un serveur clé en main chez 1and1. J'ai bien viré le module via le ftp, vidé le cache au cas ou, des que je refais pointer le nom de domaine sur ce dossier, ça recommence. Le gros soucis c'est que ça mets tous les sites actifs sur mon serveur en erreur 500. Il m'est impossible de purger les mails en attente sur le serveur, chez 1and1 les 3/4 des techs sont en vacances pour les fêtes... ceux que j'ai au téléphone me disent qu'ils ne peuvent pas le faire qu'il faut que j'essaie de rappeler demain. J'ai du coup un doute sur cette histoire de mailqueue, pourquoi dès que je fais pointer le nom de domaine à la racine du presta pourtant nettoyé, mon serveur plante (erreur 500 sur tous les sites présents) et que je vois ce genre de chose via la commande "ps aux" en ssh (ça pointe vers le index.php du site) : 429938 29699 9.6 1.3 63632 27340 ? R 21:58 0:00 /usr/lib/cgi-bin/php5.5 /kunden/homepages//htdocs/***/site/index.php Je me demande si je ne subis pas plusieurs attaques différentes en même temps du coup. Edited December 20, 2016 by Web-creation (see edit history) Link to comment Share on other sites More sharing options...
Web-creation Posted December 21, 2016 Share Posted December 21, 2016 (edited) Je viens de regarder les logs de mon serveur, j'ai essayé de bannir quelques plages ip, mais sans résultat, même banni via le htaccess à la racine du site, ça ne change rien. Methode que j'ai utilisé : RewriteCond %{REMOTE_ADDR} ^182\.[0-9]+\.[0-9]+\.[0-9]+ [OR] RewriteCond %{REMOTE_ADDR} ^27\.[0-9]+\.[0-9]+\.[0-9]+ [OR] RewriteCond %{REMOTE_ADDR} ^144\.[0-9]+\.[0-9]+\.[0-9]+ [OR] RewriteCond %{REMOTE_ADDR} ^113\.[0-9]+\.[0-9]+\.[0-9]+ [OR] RewriteCond %{REMOTE_ADDR} ^123\.[0-9]+\.[0-9]+\.[0-9]+ [OR] RewriteCond %{REMOTE_ADDR} ^106\.[0-9]+\.[0-9]+\.[0-9]+ RewriteRule .* - [F] Via l'admin de prestashop, j'ai essayé aussi de mettre en place la géolocalisation et de bloquer les pays asiatique (puisque les ips sont chinoise), sans résultat. Ce qui est hallucinant c'est que dans les logs, je vois qu'ils appellent toujours le module sendtoafriend alors qu'il n'est plus du tout présent. Edit : problème réglé en bannissant carrement des plages ip sur la totalité de mon serveur. Merci Edited December 21, 2016 by Web-creation (see edit history) Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now