Mackens Posted July 15, 2016 Share Posted July 15, 2016 Bonjour, mon site Web a été hacké hier soir par moroccan wolf. Tous mes noms de domaines situé sur le meme serveur sont affectés. www.turbines-rc.com plus aucun de mes sites n'est accessible. Je ne sais pas comment procéder. Sauriez vous m'orienter vers une solution ou une personne / entreprise compétente pour m'aider a résoudre ce probleme dans l'urgence ? Merci d'avance Link to comment Share on other sites More sharing options...
ChDUP Posted July 15, 2016 Share Posted July 15, 2016 Il vous reste à vider votre FTP et vos bases et à remettre vos sauvegardes Link to comment Share on other sites More sharing options...
Mackens Posted July 15, 2016 Author Share Posted July 15, 2016 (edited) N'ayant pas les outils pour le faire, je n'ai malheureusement pas réalisé de sauvegarde récente. N'y a t'il pas un moyen de corriger ce hack autrement ? j'avais acheté le module 2N Technologies Backup and restore mais je n'ai pas réussi à le faire fonctionner. Edited July 15, 2016 by Mackens (see edit history) Link to comment Share on other sites More sharing options...
ChDUP Posted July 15, 2016 Share Posted July 15, 2016 Les "outils", on les a jamais tant qu'on ne va pas les chercher. En l'occurence pour se faire des saves manuellement, ils se nomment Filezilla et phpmyadmin Bref ... Si votre hackeur est sympa, il n'a modifié que l'index.php, ça arrive parfois. Si vous êtes sur un mutualisé, certains hebergeurs intègrent d'office un système de sauvegardes vous permettant de remettre votre espace dans l'état du ou des jours précédents. A part ça, pas de solution. Link to comment Share on other sites More sharing options...
Eolia Posted July 15, 2016 Share Posted July 15, 2016 Envoyez-moi un accès ftp par MP qu'on voit ce qui est réparable Link to comment Share on other sites More sharing options...
Mackens Posted July 15, 2016 Author Share Posted July 15, 2016 Les "outils", on les a jamais tant qu'on ne va pas les chercher. En l'occurence pour se faire des saves manuellement, ils se nomment Filezilla et phpmyadmin Bref ... Si votre hackeur est sympa, il n'a modifié que l'index.php, ça arrive parfois. Si vous êtes sur un mutualisé, certains hebergeurs intègrent d'office un système de sauvegardes vous permettant de remettre votre espace dans l'état du ou des jours précédents. A part ça, pas de solution. Je suis sur un serveur dédié 1&1 et je crois qu'ils ne proposent pas de sauvegarde ? Je pensais que si. J'avais une sauvergarde réalisée par le module backup and restore mais j'ai fait ce matin une nouvelle sauvegarde via ce module, et il semble que la dernière sauvegarde ait écrasé les précédentes! J'ai donc une sauvegarde du site déjà hacké. Il doit bien y avoir une solution à trouver sur la base du site actuel déjà hacké. J'ai un acces complet au back office du site. La base de donnée est tout le reste est accessible via le back office. Cela ne veut il pas dire que le site est complet seul l'acces front office est endommagé ? Link to comment Share on other sites More sharing options...
Mackens Posted July 15, 2016 Author Share Posted July 15, 2016 Dans l'index .php il n'y a que hacked by Moroccanwolf est ce uniquement ce fichier qui a été modifié selon vous ? 1 Link to comment Share on other sites More sharing options...
ChDUP Posted July 15, 2016 Share Posted July 15, 2016 ah ben si vous avez accès à l'admin, il y a des chances que seul l'index ait été modifié écrasez ce fichier avec l'index.php de Presta Link to comment Share on other sites More sharing options...
Eolia Posted July 15, 2016 Share Posted July 15, 2016 J'ai remis votre site en ligne, je commence le nettoyage^^ Link to comment Share on other sites More sharing options...
Mackens Posted July 15, 2016 Author Share Posted July 15, 2016 1000 mercis eolia J'avais reçu hier cette alerte de 1&1 mon hébergeur. "Notre scanner antivirus a signalé qu'un fichier nuisible a été chargé sur votre espace web. Le nom du fichier est : ~/rc-effect/modules/t.php" "Pour vous protéger contre de dangereuses attaques, le scanner antivirus contrôle chaque fichier qui est chargé sur votre espace web. Si un fichier présente des caractéristiques d'un logiciel nuisibles, il est automatiquement désactivé." " Vous avez installé de différents modules de CMS ? Les pirates téléchargent très souvent leurs fichiers nuisibles dans le dossier du logiciel par lequel ils ont réussit l'attaque. Le fichier nuisible ~/rc-effect/modules/t.php peut ainsi vous fournir une indication sur le logiciel à mettre à jour." Ce fichier, t.php semble avoir été automatiquement supprimé par l'hébergeur. Link to comment Share on other sites More sharing options...
Eolia Posted July 15, 2016 Share Posted July 15, 2016 (edited) Bon... Pour info, de nombreux modules fourni avec certains thèmes comportent une sacrée faille Ci-dessous la liste advancedslider columnadverts homepageadvertise homepageadvertise2 productpageadverts simpleslideshow videostab Un patch officiel a été fourni par TemplateMonster à ses clients Dans le cas d'aujourd'hui, c'est un autre module, vendu par Addons d'ailleurs^^ cartabandonmentproN'utilisez pas le patch 1.7.5 qui ajoute une faille mais le 1.7.6 uniquement Un dernier attributewizardproson auteur a dû envoyer un mail à ses clients apparemment... Le nettoyage est terminé pour ma part, j'ai renommé le fichier posant problème et je vous invite à contacter son developpeur et modifier tous vos mots de passe. Bonne journée Edited July 20, 2016 by Eolia (see edit history) 1 Link to comment Share on other sites More sharing options...
brgnicolas Posted July 15, 2016 Share Posted July 15, 2016 Bonjour, Je viens également d'être confronté à ce problème. C'est le module cartabandonmentpro qui a été ciblé. J'avoue qu'il n'était pas à jour (quelques mois dans les dents déjà), en attendant d'avoir une réponse "du développeur" de savoir si la dernier version (1.7.4) qui à moins de 15 jours réglerait ce problème, je le désinstalle. ... Une mise à jour (1.7.5) vient d'être publiée ce 15/07/2016. Link to comment Share on other sites More sharing options...
Eolia Posted July 15, 2016 Share Posted July 15, 2016 Pensez à nettoyer ce qui a été ajouté ainsi que ce qui a été remplacé (adminLoginController entre autres^^) Mots de passe sql à changer Accès ftp Accès BO et vérifiez les employés Link to comment Share on other sites More sharing options...
Mackens Posted July 16, 2016 Author Share Posted July 16, 2016 Bonjour, Je viens également d'être confronté à ce problème. C'est le module cartabandonmentpro qui a été ciblé. J'avoue qu'il n'était pas à jour (quelques mois dans les dents déjà), en attendant d'avoir une réponse "du développeur" de savoir si la dernier version (1.7.4) qui à moins de 15 jours réglerait ce problème, je le désinstalle. ... Une mise à jour (1.7.5) vient d'être publiée ce 15/07/2016. Bonjour, le développeur a t'il commenté le probleme et sa dernière version est elle fiable et corrige t'elle la faille ? Link to comment Share on other sites More sharing options...
Mackens Posted July 16, 2016 Author Share Posted July 16, 2016 Pensez à nettoyer ce qui a été ajouté ainsi que ce qui a été remplacé (adminLoginController entre autres^^) Mots de passe sql à changer Accès ftp Accès BO et vérifiez les employés Bonjour Eolia, J'avais modifé tous le mots de passe hier matin avant votre intervention. Vous pensez que je dois les changer à nouveau ? Désolé pour mon manque d'expérience mais qu'entendez vous par "Pensez à nettoyer ce qui a été ajouté ainsi que ce qui a été remplacé (adminLoginController entre autres^^)" Que veut dire nettoyer et ou se trouvent ces fichiers s'il vous plait ? Encore merci Link to comment Share on other sites More sharing options...
Eolia Posted July 16, 2016 Share Posted July 16, 2016 Le developpeur s'appelle Prestashop SA et je pense que la mise à jour d'hier corrige cette faille suite à nos échanges: https://twitter.com/EoliaHack/status/753896493883547648 Link to comment Share on other sites More sharing options...
Eolia Posted July 16, 2016 Share Posted July 16, 2016 Bonjour Eolia, J'avais modifé tous le mots de passe hier matin avant votre intervention. Vous pensez que je dois les changer à nouveau ? Désolé pour mon manque d'expérience mais qu'entendez vous par "Pensez à nettoyer ce qui a été ajouté ainsi que ce qui a été remplacé (adminLoginController entre autres^^)" Que veut dire nettoyer et ou se trouvent ces fichiers s'il vous plait ? Encore merci Non, dans votre cas j'ai effectué le nettoyage et la restauration des fichiers originaux Link to comment Share on other sites More sharing options...
Mackens Posted July 16, 2016 Author Share Posted July 16, 2016 Ok merci Link to comment Share on other sites More sharing options...
Mackens Posted July 16, 2016 Author Share Posted July 16, 2016 Le developpeur s'appelle Prestashop SA et je pense que la mise à jour d'hier corrige cette faille suite à nos échanges: https://twitter.com/EoliaHack/status/753896493883547648 Merci. On va peut etre quand meme leur demander de confirmer... Link to comment Share on other sites More sharing options...
wamack Posted July 17, 2016 Share Posted July 17, 2016 Bonjour, J'ai subi exactement le même piratage, je suis entrain de faire ce nettoyage. Pouvez-vous me lister l'ensembles des fichiers qui ont été ajouté et modifié cela me faciliterai la tâche et aiderait beaucoup d'internautes dans la même situation. Envoyez-moi un accès ftp par MP qu'on voit ce qui est réparable Link to comment Share on other sites More sharing options...
Eolia Posted July 17, 2016 Share Posted July 17, 2016 On ne listera rien du tout sur ce forum, ce serait une excellente raison pour les hackers en herbe d'en rajouter ou de le tester sur d'autres boutiques^^ Link to comment Share on other sites More sharing options...
wamack Posted July 17, 2016 Share Posted July 17, 2016 On ne listera rien du tout sur ce forum, ce serait une excellente raison pour les hackers en herbe d'en rajouter ou de le tester sur d'autres boutiques^^ Effectivement, je n'y avais pas pensé. Je vous envoie un message en MP.. Link to comment Share on other sites More sharing options...
ydkjphilly Posted July 18, 2016 Share Posted July 18, 2016 Merci Eolia pour nous avoir fourni la source du Hack. Je pense qu'il faudra mieux se passer de ce module pour le moment. Je comprends pas trop à quoi servait ce fichier d'upload pour ce module d'ailleurs... Link to comment Share on other sites More sharing options...
Jal-art Posted July 18, 2016 Share Posted July 18, 2016 (edited) Bonjour la communauté, Idem pour moi, j'ai été victime de cette faille. Le fichier adminLoginController a été remplacé et des fichiers ont été upload sur mon serveur à la racine et dans le dossier /modules/ Pouvez-vous m'envoyer en MP les fichiers modifiés. Pensez-vous que mes mots de passes de connexion au backoffice ont été volés. Merci à vous Edited July 18, 2016 by Jal-art (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted July 18, 2016 Share Posted July 18, 2016 Bonjour la communauté, Idem pour moi, j'ai été victime de cette faille. Le fichier adminLoginController a été remplacé et des fichiers ont été upload sur mon serveur à la racine et dans le dossier /modules/ Pouvez-vous m'envoyer en MP les fichiers modifiés. Pensez-vous que mes mots de passes de connexion au backoffice ont été volés. Merci à vous Oui la liste, non exhaustive est dans ce post: https://www.prestashop.com/forums/topic/543123-hacke-par-moroccan-wolf-urgent-svp/?do=findComment&comment=2367585 Link to comment Share on other sites More sharing options...
pibrom Posted July 19, 2016 Share Posted July 19, 2016 Bonjour, Idem pour moi ! Je veux bien en MP la liste des fichiers qui ont été modifiés chez vous. Merci à vous ! Link to comment Share on other sites More sharing options...
Max_DE Posted July 19, 2016 Share Posted July 19, 2016 Bonjour à tous, juste une petite information pour les développeurs en galère. La mise à jour du module 1.7.5 téléchargeable encore 18/07/2016 à 16h30 est aussi pourvue d'une magnifique faille de sécurité..... (hack en boucle par GLASS attention si module paypal installé y a un hameçonnage qui est fait sur le fichier php qui oriente vers un autre dossier module) Une mise à jour a été faite passage en 1.7.6.... Bon malheureusement, j'avais mis la 1.7.5.... tout à remettre à jour modification login / mdp nettoyage etc...... Encore une journée de perdu à cause d'un module "payant" développé par "Prestashop". Je pense que ce genre de module pourvu de grosse faille (trouvable sur 0day today c'est encore pire....) doit être retiré de prestashop Addon, c'est un risque énorme pour tous les petits sites de e-commerce ou pour ceux qui en gèrent plusieurs dizaines.... Faite rapidement la mise à jour vers la dernière version. Cordialement PS : de notre coté nous avons fait le choix de retirer ce module des sites de nos clients Link to comment Share on other sites More sharing options...
Eolia Posted July 19, 2016 Share Posted July 19, 2016 Oui, mais chut^^ on n'a pas le droit de les critiquer ni de prévenir, on se fait traiter de trolls^^ 2 Link to comment Share on other sites More sharing options...
Hugo.b Posted July 19, 2016 Share Posted July 19, 2016 Bonjour, je voulais savoir ce que l’on doit mettre en place du coté de notre serveur pour empêcher ou réduire les problèmes de Hack. Car la solution rappliquer la sauvegarde je préfèrerai l’éviter dans le future. Merci poour ce renseignement Link to comment Share on other sites More sharing options...
Eolia Posted July 19, 2016 Share Posted July 19, 2016 Evitez les modules moisis^^ Link to comment Share on other sites More sharing options...
Hugo.b Posted July 19, 2016 Share Posted July 19, 2016 Ok ^^ Je vais regarder chez OVH si il ne propose pas une analyse de flux ou chose du genre. Link to comment Share on other sites More sharing options...
AntoineBa Posted July 19, 2016 Share Posted July 19, 2016 Bonjour, Comment fait-on un scan de son site PrestaShop ?Merci Link to comment Share on other sites More sharing options...
Max_DE Posted July 20, 2016 Share Posted July 20, 2016 Hello, +1 avec Eolia, mais je préfère hurler un bon coup pour avertir les autres utilisateurs surtout quand je vois un système de paiement qui se fait phagocyté, suite à une mise à jour de sécurité de module, enfaite le Moroccan Wolf était bien moins dangereux (dans l'instant) que Gass. Pour Jahyno97232, voici la méthode que j'utilise (ce n'est certainement pas la plus efficace mais ça fonctionne) : Sur une machine sécurisé, je récupère l'intégralité de mon www si y a eu des interventions malveillante (mise en place de virus, cheval de troy....) mon anti-virus sort la sonnette d'alarme.Après une rapide analyse en local, je lance une petite rootine php qui me sort la liste des fichiers / dossiers modifier ou ajouter dans une période donnée.et je vérifie tout ça. Une bonne base pour la recherche de faille le site 0day today qui énumère les nombreuses failles logicielles Je vous souhaite à tous une belle journée Link to comment Share on other sites More sharing options...
AntoineBa Posted July 20, 2016 Share Posted July 20, 2016 Hello, +1 avec Eolia, mais je préfère hurler un bon coup pour avertir les autres utilisateurs surtout quand je vois un système de paiement qui se fait phagocyté, suite à une mise à jour de sécurité de module, enfaite le Moroccan Wolf était bien moins dangereux (dans l'instant) que Gass. Pour Jahyno97232, voici la méthode que j'utilise (ce n'est certainement pas la plus efficace mais ça fonctionne) : Sur une machine sécurisé, je récupère l'intégralité de mon www si y a eu des interventions malveillante (mise en place de virus, cheval de troy....) mon anti-virus sort la sonnette d'alarme. Après une rapide analyse en local, je lance une petite rootine php qui me sort la liste des fichiers / dossiers modifier ou ajouter dans une période donnée. et je vérifie tout ça. Une bonne base pour la recherche de faille le site 0day today qui énumère les nombreuses failles logicielles Je vous souhaite à tous une belle journée Bonjour, Merci pour votre réponse. Quelqu'un aurait-il une autre façon ? ( C'est bien d'avoir plusieurs façon de faire ) Link to comment Share on other sites More sharing options...
Gu1llaume Posted July 21, 2016 Share Posted July 21, 2016 Bonjour, Merci pour ce précisions, on trouve très facilement l'exploit datant de quelques jours en cherchant sur Google donc je ne comprends pas l’intérêt de ne distiller que partiellement les informations sur ce forum.... Je viens de vérifier sur différentes boutiques dont je m'occupe et elles ne sont pas impactées, par contre les logs montrent bien du scan a grande échelle, ça peut être l’hécatombe pour ceux qui ont les modules concernés ! other_vhosts_access.log.1:maboutique.com:80 62.210.***.*** - - [20/Jul/2016:13:02:14 +0200] "GET /modules/columnadverts/uploadimage.php HTTP/1.1" 404 399 "http://www.maboutique.com/modules/columnadverts/uploadimage.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36" other_vhosts_access.log.1:maboutique2.com:80 62.210.***.*** - - [20/Jul/2016:14:18:45 +0200] "GET /modules/columnadverts/uploadimage.php HTTP/1.1" 404 399 "http://www.maboutique2.com/modules/columnadverts/uploadimage.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36" other_vhosts_access.log.1:maboutique3.com:80 62.210.***.*** - - [20/Jul/2016:14:23:29 +0200] "GET /modules/columnadverts/uploadimage.php HTTP/1.1" 404 19542 "http://www.maboutique3.com/modules/columnadverts/uploadimage.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36" Guillaume Link to comment Share on other sites More sharing options...
Gu1llaume Posted July 21, 2016 Share Posted July 21, 2016 Bonjour, Comment fait-on un scan de son site PrestaShop ? Merci Si tu as un accès ssh je te conseille cette commande : find . -not -path './stats*' -not -path './cache*' -mmin -60 Elle te permet de lister les fichier qui ont été créés ou modifiés durant la dernière heure... Après tu peux affiner en jouant sur le nombre de minutes pour avoir la dernière journée, les 3 derniers jours, etc... Link to comment Share on other sites More sharing options...
Eolia Posted July 21, 2016 Share Posted July 21, 2016 Bonjour, Merci pour ce précisions, on trouve très facilement l'exploit datant de quelques jours en cherchant sur Google donc je ne comprends pas l’intérêt de ne distiller que partiellement les informations sur ce forum.... Je viens de vérifier sur différentes boutiques dont je m'occupe et elles ne sont pas impactées, par contre les logs montrent bien du scan a grande échelle, ça peut être l’hécatombe pour ceux qui ont les modules concernés ! Guillaume c'est sûr que de donner plus de précisions à ceux qui en ignoraient l'existence, c'est une excellente idée^^ Il existe aussi des sites qui expliquent comment faire des bombes pour perpétrer des attentats, ce n'est pas pour autant que je fournirais le mode d'emploi^^ Votre raisonnement ne va pas très loin et vous devez être novice en la matière L'erreur vient surtout du fait que Prestashop n'a pas communiqué du tout sur cette attaque sur ce forum Link to comment Share on other sites More sharing options...
Gu1llaume Posted July 21, 2016 Share Posted July 21, 2016 Votre raisonnement ne va pas très loin et vous devez être novice en la matière oui très certainement Cela dit, je viens de me souvenir pourquoi je ne mettais que très rarement les pieds sur le forum Prestashop ! bonne journée Link to comment Share on other sites More sharing options...
brgnicolas Posted July 27, 2016 Share Posted July 27, 2016 Bonjour, @Eolia,je vous demande votre avis car vous semblez plus au fait sur la sécurité que Prestashop (un comble) : Plus d'une semaine plus tard, peut-on dire que la dernière version du module (1.7.6) est sécurisée, ou vaut-il mieux ne pas la réinstaller ? Perso, pour le moment, je ne le rajoute pas. Link to comment Share on other sites More sharing options...
Eolia Posted July 27, 2016 Share Posted July 27, 2016 Bonjour, @Eolia, je vous demande votre avis car vous semblez plus au fait sur la sécurité que Prestashop (un comble) : Plus d'une semaine plus tard, peut-on dire que la dernière version du module (1.7.6) est sécurisée, ou vaut-il mieux ne pas la réinstaller ? Perso, pour le moment, je ne le rajoute pas. En fait elle est à peu près sécurisé, mais le code de ce module est vraiment une honte. De plus, rendre payant ce patch de sécurité pour les anciens clients (plus d'un an) est une honte. On nous répond que la faille est récente, ce qui est archi-faux. c'est simplement que l'info sur celle-ci a été diffusée en masse sur les résaux de hackers... A l'origine, il était gratuit sur le forum, plusieurs contributeurs ont apporté leur pierre. Prestashop se l'est approprié (comme beaucoup d'autres^^) sans vraiment regarder le code de très près, juste en rajoutant de nouvelles fonctions. Dans l'état, ce module ne passe même pas leur validator, pourtant imposé aux contributeurs, ce qui est un comble. Nous leur avons demandé de ré-écrire correctement ce module, attendons la suite. 3 Link to comment Share on other sites More sharing options...
jihem Posted August 29, 2016 Share Posted August 29, 2016 oui, nous prévenir par email ça n'aurait rien couté et ça aurait été sympa !!! Link to comment Share on other sites More sharing options...
brgnicolas Posted August 30, 2016 Share Posted August 30, 2016 La version 1.7.8 est sortie il y a quelque jours... malheureusement, la confiance n'est plus là. Je me demande s'il ne vaut pas mieux se pencher sur une solution tierce, type geer.io Link to comment Share on other sites More sharing options...
vince40 Posted March 11, 2017 Share Posted March 11, 2017 (edited) Bonjour je me suis fait hacker cette nuit (Version de PrestaShop 1.6.0.14) De mon côté aucun des modules énumérés par EOLIA installés sur le site par contre les modules listés dans le log à l'heure d'attaque sont plus variés que ceux énumérés. Je peux vous donner la liste des tentatives d'injection par la méthode GET ou POST pour une attaque ayant eu lieu le 11/03/2017 à 02h du matin. Les fichiers injectés sont pour ma part : up.php et hous.php + modification du fichier "AdminLoginController.php" qui était vidé entièrement ! et donc plus d'accès au back office. Je pense avoir trouver l'origine de la faille liée à 2 module employés dans un thème premium très connu ! Suite à la remarque dans ce post d'Eolia je n'ose pas mettre les noms des différents modules qui ont été attaqués ? Si oui dite le moi je viendrai vous les poster Edited March 11, 2017 by vince40 (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted March 11, 2017 Share Posted March 11, 2017 Hum...depuis le 8 juillet la liste s'est sacrément agrandie... Rechercez tous les modules qui auraient un fichier du genre upload.php ou ajax-upload.php Vérifiez le code, surtout lors du move_upload_file Link to comment Share on other sites More sharing options...
vince40 Posted March 11, 2017 Share Posted March 11, 2017 (edited) Bonjour Eolia, Merci pour les précisions! Ou puis-je trouver une liste plus à jour ? Je n'ai rien trouvé d'anormal... de mon côté. Je vais surveiller. Bon week-end Edited March 11, 2017 by vince40 (see edit history) Link to comment Share on other sites More sharing options...
clem_pro Posted March 12, 2017 Share Posted March 12, 2017 (edited) et sans aucune auto-censure je rajoute pk_flexmenu à la liste des modules "moisis" qui permettent l'upload de fichiers php responsables du piratage effaçant le contenu du fichier AdminLoginController.php. Mais pour aller un peu plus loin on pourrait aussi mentionner dans les éléments vraiment anormaux d'un point de vue sécurisation d'une appli web: - les très nombreux modules qui nécessitent les droits d'écriture pour apache dans la dossier du module - la génération des fichiers .htaccess et robots.txt par prestashop qui impose l'écriture à la racine de la boutique => résultat le piratage génère des fichiers up.php ou house.php dans ces 2 types de dossier... - et enfin (et surtout!) que les codeurs des modules "troués" ne font aucun suivi des problèmes de sécurité générés par leurs modules, ne prennent pas la peine de faire des correctifs de sécurité ou (encore pire!) les proposent uniquement sous condition de paiement... Edited March 12, 2017 by clem_pro (see edit history) 1 Link to comment Share on other sites More sharing options...
vince40 Posted March 12, 2017 Share Posted March 12, 2017 @clem_pro oui très moisi c'est par pk_flexmenu que je me suis fais pirater On ajoute à cela pk_vertflexmenu et on a la famille complète ! Link to comment Share on other sites More sharing options...
Eolia Posted March 12, 2017 Share Posted March 12, 2017 - la génération des fichiers .htaccess et robots.txt par prestashop qui impose l'écriture à la racine de la boutique => résultat le piratage génère des fichiers up.php ou house.php dans ces 2 types de dossier... Vous devriez vous renseigner avant d'écrire n'importe quoi^^ - un fichier robots.txt n'impose rien à personne, ce sont des règles que les bots suivent...ou pas - les .htaccess posés par Prestashop sont là (à part le principal à la racine) pour protéger les répertoires. Vos fichiers up et hous sont d'abord passés par les répertoires d'upload des modules moisis (souvent "offerts" avec les thèmes ou gratuits sur le net) Link to comment Share on other sites More sharing options...
vince40 Posted March 12, 2017 Share Posted March 12, 2017 (edited) Vos fichiers up et hous sont d'abord passés par les répertoires d'upload des modules moisis (souvent "offerts" avec les thèmes ou gratuits sur le net) Pour moi la faille vient d'une non mise à jour du thème contenant les 2 modules nommés. Pas de conséquence grave heuresement désinfection effectuée sans problème et mise à jour prévue pour fermer cette porte d'entrée. Le principe est simple le hack arrive par un code php qui pénètre une faille d'un module et génère des modifications et insertions multiples qu'ils souhaitent derrière en ayant accès à tout le contenu du site. Le but étant la récupération de données sensibles et/ou de rediriger des paiement via paypal ou autre ... Eolia n'hésite pas à me dire si je me trompe ! Pour les htaccess d'accord à 100% avec toi ils sont la pour protéger et sont eux-même protégés en écriture, il est d'ailleurs fortement conseillé d'exploiter celui à la racine du site pour renforcer la sécurité. Beaucoup du tuto sur ce points dans le web Edited March 12, 2017 by vince40 (see edit history) Link to comment Share on other sites More sharing options...
clem_pro Posted March 12, 2017 Share Posted March 12, 2017 (edited) après examen des logs apache à l'heure du piratage, le bot responsable a scanné la présence des modules suivants: columnadvertssoopamobilesoopabannersvtermslideshowsimpleslideshowproductpageadvertshomepageadvertisehomepageadvertise2jro_homepageadvertiseattributewizardproadvancedslidercartabandonmentprovideostabadvancedsliderwg24themeadministrationwdoptionpanelfieldvmegamenupk_flexmenupk_vertflexmenunvn_export_ordersmegamenuwdoptionpanelorderfiles à priori ces modules sont donc tous connus/susceptibles d'avoir une faille permettant le téléchargement de fichiers php dans l'arborescence du prestashop. ...et pour répondre à Eolia, Vous devriez vous renseigner avant d'écrire n'importe quoi merci de ne pas me faire dire ce que je n'ai pas écrit: mon propos était que l'utilisation des outils de Prestashop générant des fichiers à la racine de l'application (robots.txt ou .htaccess) entraîne l'ouverture en écriture pour apache (droits typiquement 775 ou 777) de ce répertoire, ce qui permet la création de fichiers php par les modules piratés (une configuration en 555 aurait évité le problème). Edited March 12, 2017 by clem_pro (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted March 12, 2017 Share Posted March 12, 2017 Ceux-là, ce sont ceux fournis principalement par les thèmes Template Monster, mais il y en a d'autres... Il faut savoir que la faille exploitée depuis le 8 juillet 2016 a fait le tour des réseaux de hackers avec vidéos à l'appui pour expliquer comment faire. Du coup, n'importe qui peut s'amuser avec. Le principe est simple: - On lance un script sur le web qui scanne les urls et détecte si Prestashop ou pas (certains ne testent même pas ce point et tentent à l'aveugle) - Si c'est un Presta, on lance les batteries de POST sur les urls connues - Si l'un matche, on injecte le script malveillant sous la forme d'une pseudo image et ensuite il suffit d'appeler le script et on fait ce qu'on veut. A noter: ces failles ne sont intervenues que sur des serveurs mutus mal configurés qui autorisent les doubles extensions^^ (hous.php.png par exemple) Link to comment Share on other sites More sharing options...
vince40 Posted March 13, 2017 Share Posted March 13, 2017 après examen des logs apache à l'heure du piratage, le bot responsable a scanné la présence des modules suivants: columnadverts soopamobile soopabanners vtermslideshow simpleslideshow productpageadverts homepageadvertise homepageadvertise2 jro_homepageadvertise attributewizardpro advancedslider cartabandonmentpro videostab advancedslider wg24themeadministration wdoptionpanel fieldvmegamenu pk_flexmenu pk_vertflexmenu nvn_export_orders megamenu wdoptionpanel orderfiles Bonjour Clem-pro La liste que tu a envoyée concerne un de tes sites ? Ma liste est quasiment la même: Modules testés par le script en méthode GET ou POST: columnadverts soopamobile soopabanners vtermslideshow simpleslideshow productpageadverts homepageadvertise homepageadvertise2 jro_homepageadvertise attributewizardpro 1attributewizardpro attributewizardpro.OLD advancedslider cartabandonmentpro cartabandonmentproOld videostab wg24themeadministration wdoptionpanel fieldvmegamenu pk_flexmenu pk_vertflexmenu nvn_export_orders megamenu orderfiles à la racine du site hous.php et dans le dossier module modules/up.php Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now