Jump to content

HACKE PAR MOROCCAN WOLF URGENT SVP


Recommended Posts

Bonjour, mon site Web a été hacké hier soir par moroccan wolf. Tous mes noms de domaines situé sur le meme serveur sont affectés. www.turbines-rc.com


 


plus aucun de mes sites n'est accessible.


 


Je ne sais pas comment procéder. Sauriez vous m'orienter vers une solution ou une personne / entreprise compétente pour m'aider a résoudre ce probleme dans l'urgence ?


 


Merci d'avance


Link to comment
Share on other sites

N'ayant pas les outils pour le faire, je n'ai malheureusement pas réalisé de sauvegarde récente. N'y a t'il pas un moyen de corriger ce hack autrement ? 

j'avais acheté le module 2N Technologies Backup and restore mais je n'ai pas réussi à le faire fonctionner.

Edited by Mackens (see edit history)
Link to comment
Share on other sites

Les "outils", on les a jamais tant qu'on ne va pas les chercher.

En l'occurence pour se faire des saves manuellement, ils se nomment Filezilla et phpmyadmin

 

Bref ...

Si votre hackeur est sympa, il n'a modifié que l'index.php, ça arrive parfois.

Si vous êtes sur un mutualisé, certains hebergeurs intègrent d'office un système de sauvegardes vous permettant de remettre votre espace dans l'état du ou des jours précédents.

 

A part ça, pas de solution.

Link to comment
Share on other sites

Les "outils", on les a jamais tant qu'on ne va pas les chercher.

En l'occurence pour se faire des saves manuellement, ils se nomment Filezilla et phpmyadmin

 

Bref ...

Si votre hackeur est sympa, il n'a modifié que l'index.php, ça arrive parfois.

Si vous êtes sur un mutualisé, certains hebergeurs intègrent d'office un système de sauvegardes vous permettant de remettre votre espace dans l'état du ou des jours précédents.

 

A part ça, pas de solution.

Je suis sur un serveur dédié 1&1 et je crois qu'ils ne proposent pas de sauvegarde ? Je pensais que si.

J'avais une sauvergarde réalisée par le module backup and restore mais j'ai fait ce matin une nouvelle sauvegarde via ce module, et il semble que la dernière sauvegarde ait écrasé les précédentes! J'ai donc une sauvegarde du site déjà hacké. Il doit bien y avoir une solution à trouver sur la base du site actuel déjà hacké. J'ai un acces complet au back office du site. La base de donnée est tout le reste est accessible via le back office. Cela ne veut il pas dire que le site est complet seul l'acces front office est endommagé ?

Link to comment
Share on other sites

1000 mercis eolia

 

J'avais reçu hier cette alerte de 1&1 mon hébergeur.

 

"Notre scanner antivirus a signalé qu'un fichier nuisible a été chargé sur votre espace web. Le nom du fichier est : ~/rc-effect/modules/t.php"

"Pour vous protéger contre de dangereuses attaques, le scanner antivirus contrôle chaque fichier qui est chargé sur votre espace web. Si un fichier présente des caractéristiques d'un logiciel nuisibles, il est automatiquement désactivé."

"    Vous avez installé de différents modules de CMS ? Les pirates

    téléchargent très souvent leurs fichiers nuisibles dans le dossier du

    logiciel par lequel ils ont réussit l'attaque. Le fichier nuisible

    ~/rc-effect/modules/t.php peut ainsi vous fournir une indication sur le

    logiciel à mettre à jour."

 

Ce fichier, t.php semble avoir été automatiquement supprimé par l'hébergeur.

Link to comment
Share on other sites

Bon...

 

Pour info, de nombreux modules fourni avec certains thèmes comportent une sacrée faille

 

Ci-dessous la liste

  • advancedslider  
  • columnadverts  
  • homepageadvertise  
  • homepageadvertise2  
  • productpageadverts  
  • simpleslideshow  
  • videostab

 

Un patch officiel a été fourni par TemplateMonster à ses clients

 

Dans le cas d'aujourd'hui, c'est un autre module, vendu par Addons d'ailleurs^^

  • cartabandonmentpro

N'utilisez pas le patch 1.7.5 qui ajoute une faille mais le 1.7.6 uniquement

 

Un dernier

  • attributewizardpro

son auteur a dû envoyer un mail à ses clients apparemment...

 

Le nettoyage est terminé pour ma part, j'ai renommé le fichier posant problème et je vous invite à contacter son developpeur et modifier tous vos mots de passe.

 

Bonne journée

Edited by Eolia (see edit history)
  • Like 1
Link to comment
Share on other sites

Bonjour,

 

Je viens également d'être confronté à ce problème. C'est le module cartabandonmentpro qui a été ciblé.

 

J'avoue qu'il n'était pas à jour (quelques mois dans les dents déjà), en attendant d'avoir une réponse "du développeur" de savoir si la dernier version (1.7.4) qui à moins de 15 jours réglerait ce problème, je le désinstalle.

 

...

 

Une mise à jour (1.7.5) vient d'être publiée ce 15/07/2016.

Link to comment
Share on other sites

Bonjour,

 

Je viens également d'être confronté à ce problème. C'est le module cartabandonmentpro qui a été ciblé.

 

J'avoue qu'il n'était pas à jour (quelques mois dans les dents déjà), en attendant d'avoir une réponse "du développeur" de savoir si la dernier version (1.7.4) qui à moins de 15 jours réglerait ce problème, je le désinstalle.

 

...

 

Une mise à jour (1.7.5) vient d'être publiée ce 15/07/2016.

Bonjour, le développeur a t'il commenté le probleme et sa dernière version est elle fiable et corrige t'elle la faille ?

Link to comment
Share on other sites

Pensez à nettoyer ce qui a été ajouté ainsi que ce qui a été remplacé (adminLoginController entre autres^^)

Mots de passe sql à changer

Accès ftp

Accès BO et vérifiez les employés

 

Bonjour Eolia,

 

J'avais modifé tous le mots de passe hier matin avant votre intervention. Vous pensez que je dois les changer à nouveau ?

​Désolé pour mon manque d'expérience mais qu'entendez vous par "Pensez à nettoyer ce qui a été ajouté ainsi que ce qui a été remplacé (adminLoginController entre autres^^)"

Que veut dire nettoyer et ou se trouvent ces fichiers s'il vous plait ?

Encore merci

Link to comment
Share on other sites

Bonjour Eolia,

 

J'avais modifé tous le mots de passe hier matin avant votre intervention. Vous pensez que je dois les changer à nouveau ?

​Désolé pour mon manque d'expérience mais qu'entendez vous par "Pensez à nettoyer ce qui a été ajouté ainsi que ce qui a été remplacé (adminLoginController entre autres^^)"

Que veut dire nettoyer et ou se trouvent ces fichiers s'il vous plait ?

Encore merci

Non, dans votre cas j'ai effectué le nettoyage et la restauration des fichiers originaux

Link to comment
Share on other sites

Bonjour,

 

J'ai subi exactement le même piratage, je suis entrain de faire ce nettoyage. Pouvez-vous me lister l'ensembles des fichiers qui ont été ajouté et modifié cela me faciliterai la tâche et aiderait beaucoup d'internautes dans la même situation.

Envoyez-moi un accès ftp par MP qu'on voit ce qui est réparable ;)

Link to comment
Share on other sites

On ne listera rien du tout sur ce forum, ce serait une excellente raison pour les hackers en herbe d'en rajouter ou de le tester sur d'autres boutiques^^

Effectivement, je n'y avais pas pensé. Je vous envoie un message en MP..

Link to comment
Share on other sites

Bonjour la communauté,


 


Idem pour moi, j'ai été victime de cette faille.


Le fichier adminLoginController a été remplacé et des fichiers ont été upload sur mon serveur à la racine et dans le dossier /modules/


 


Pouvez-vous m'envoyer en MP les fichiers modifiés.


 


Pensez-vous que mes mots de passes de connexion au backoffice ont été volés.


 


Merci à vous


Edited by Jal-art (see edit history)
Link to comment
Share on other sites

 

Bonjour la communauté,

 

Idem pour moi, j'ai été victime de cette faille.

Le fichier adminLoginController a été remplacé et des fichiers ont été upload sur mon serveur à la racine et dans le dossier /modules/

 

Pouvez-vous m'envoyer en MP les fichiers modifiés.

 

Pensez-vous que mes mots de passes de connexion au backoffice ont été volés.

 

Merci à vous

 

Oui la liste, non exhaustive est dans ce post: https://www.prestashop.com/forums/topic/543123-hacke-par-moroccan-wolf-urgent-svp/?do=findComment&comment=2367585

Link to comment
Share on other sites

Bonjour à tous,

juste une petite information pour les développeurs en galère.

La mise à jour du module 1.7.5 téléchargeable encore 18/07/2016 à 16h30 est aussi pourvue d'une magnifique faille de sécurité..... (hack en boucle par GLASS attention si module paypal installé y a un hameçonnage qui est fait sur le fichier php qui oriente vers un autre dossier module)

 

Une mise à jour a été faite passage en 1.7.6....

Bon malheureusement, j'avais mis la 1.7.5.... tout à remettre à jour modification login / mdp nettoyage etc...... Encore une journée de perdu à cause d'un module "payant" développé par "Prestashop".

 

Je pense que ce genre de module pourvu de grosse faille (trouvable sur 0day today c'est encore pire....) doit être retiré de prestashop Addon, c'est un risque énorme pour tous les petits sites de e-commerce ou pour ceux qui en gèrent plusieurs dizaines....

 

Faite rapidement la mise à jour vers la dernière version.

Cordialement

 

PS : de notre coté nous avons fait le choix de retirer ce module des sites de nos clients

Link to comment
Share on other sites

Bonjour, je voulais savoir ce que l’on doit mettre en place du coté de notre serveur pour empêcher ou réduire les problèmes de Hack. Car la solution rappliquer la sauvegarde je préfèrerai l’éviter dans le future.

 

 

Merci poour ce renseignement

Link to comment
Share on other sites

Hello,

+1 avec Eolia, mais je préfère hurler un bon coup pour avertir les autres utilisateurs surtout quand je vois un système de paiement qui se fait phagocyté, suite à une mise à jour de sécurité de module, enfaite le Moroccan Wolf était bien moins dangereux (dans l'instant) que Gass.

 

Pour Jahyno97232, voici la méthode que j'utilise (ce n'est certainement pas la plus efficace mais ça fonctionne) :

Sur une machine sécurisé, je récupère l'intégralité de mon www si y a eu des interventions malveillante (mise en place de virus, cheval de troy....) mon anti-virus sort la sonnette  d'alarme.
Après une rapide analyse en local, je lance une petite rootine php qui me sort la liste des fichiers / dossiers modifier ou ajouter dans une période donnée.
et je vérifie tout ça.

Une bonne base pour la recherche de faille le site 0day today qui énumère les nombreuses failles logicielles

 

Je vous souhaite à tous une belle journée

Link to comment
Share on other sites

Hello,

+1 avec Eolia, mais je préfère hurler un bon coup pour avertir les autres utilisateurs surtout quand je vois un système de paiement qui se fait phagocyté, suite à une mise à jour de sécurité de module, enfaite le Moroccan Wolf était bien moins dangereux (dans l'instant) que Gass.

 

Pour Jahyno97232, voici la méthode que j'utilise (ce n'est certainement pas la plus efficace mais ça fonctionne) :

Sur une machine sécurisé, je récupère l'intégralité de mon www si y a eu des interventions malveillante (mise en place de virus, cheval de troy....) mon anti-virus sort la sonnette  d'alarme.

Après une rapide analyse en local, je lance une petite rootine php qui me sort la liste des fichiers / dossiers modifier ou ajouter dans une période donnée.

et je vérifie tout ça.

Une bonne base pour la recherche de faille le site 0day today qui énumère les nombreuses failles logicielles

 

Je vous souhaite à tous une belle journée

 

Bonjour,

Merci pour votre réponse.

 

Quelqu'un aurait-il une autre façon ? ( C'est bien d'avoir plusieurs façon de faire )  :)

Link to comment
Share on other sites

Bonjour,

 

Merci pour ce précisions, on trouve très facilement l'exploit datant de quelques jours en cherchant sur Google donc je ne comprends pas l’intérêt de ne distiller que partiellement les informations sur ce forum....

 

 

Je viens de vérifier sur différentes boutiques dont je m'occupe et elles ne sont pas impactées, par contre les logs montrent bien du scan a grande échelle, ça peut être l’hécatombe pour ceux qui ont les modules concernés !

other_vhosts_access.log.1:maboutique.com:80 62.210.***.*** - - [20/Jul/2016:13:02:14 +0200] "GET /modules/columnadverts/uploadimage.php HTTP/1.1" 404 399 "http://www.maboutique.com/modules/columnadverts/uploadimage.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36"
other_vhosts_access.log.1:maboutique2.com:80 62.210.***.*** - - [20/Jul/2016:14:18:45 +0200] "GET /modules/columnadverts/uploadimage.php HTTP/1.1" 404 399 "http://www.maboutique2.com/modules/columnadverts/uploadimage.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36"
other_vhosts_access.log.1:maboutique3.com:80 62.210.***.*** - - [20/Jul/2016:14:23:29 +0200] "GET /modules/columnadverts/uploadimage.php HTTP/1.1" 404 19542 "http://www.maboutique3.com/modules/columnadverts/uploadimage.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36"

Guillaume

Link to comment
Share on other sites

Bonjour,

Comment fait-on un scan de son site PrestaShop ?

 

Merci

 

Si tu as un accès ssh je te conseille cette commande :

find . -not -path './stats*' -not -path './cache*' -mmin -60

Elle te permet de lister les fichier qui ont été créés ou modifiés durant la dernière heure... Après tu peux affiner en jouant sur le nombre de minutes pour avoir la dernière journée, les 3 derniers jours, etc...

Link to comment
Share on other sites

Bonjour,

 

Merci pour ce précisions, on trouve très facilement l'exploit datant de quelques jours en cherchant sur Google donc je ne comprends pas l’intérêt de ne distiller que partiellement les informations sur ce forum....

 

Je viens de vérifier sur différentes boutiques dont je m'occupe et elles ne sont pas impactées, par contre les logs montrent bien du scan a grande échelle, ça peut être l’hécatombe pour ceux qui ont les modules concernés !

 

Guillaume

 

c'est sûr que de donner plus de précisions à ceux qui en ignoraient l'existence, c'est une excellente idée^^

Il existe aussi des sites qui expliquent comment faire des bombes pour perpétrer des attentats, ce n'est pas pour autant que je fournirais le mode d'emploi^^

 

Votre raisonnement ne va pas très loin et vous devez être novice en la matière

 

L'erreur vient surtout du fait que Prestashop n'a pas communiqué du tout sur cette attaque sur ce forum

Link to comment
Share on other sites

Votre raisonnement ne va pas très loin et vous devez être novice en la matière

 

oui très certainement :) 

 

Cela dit, je viens de me souvenir pourquoi je ne mettais que très rarement les pieds sur le forum Prestashop !

 

bonne journée

Link to comment
Share on other sites

Bonjour,

 

@Eolia,
je vous demande votre avis car vous semblez plus au fait sur la sécurité que Prestashop (un comble) :

Plus d'une semaine plus tard, peut-on dire que la dernière version du module (1.7.6) est sécurisée, ou vaut-il mieux ne pas la réinstaller ?

 

Perso, pour le moment, je ne le rajoute pas.

Link to comment
Share on other sites

Bonjour,

 

@Eolia,

je vous demande votre avis car vous semblez plus au fait sur la sécurité que Prestashop (un comble) :

Plus d'une semaine plus tard, peut-on dire que la dernière version du module (1.7.6) est sécurisée, ou vaut-il mieux ne pas la réinstaller ?

 

Perso, pour le moment, je ne le rajoute pas.

En fait elle est à peu près sécurisé, mais le code de ce module est vraiment une honte.

 

De plus, rendre payant ce patch de sécurité pour les anciens clients (plus d'un an) est une honte. On nous répond que la faille est récente, ce qui est archi-faux. c'est simplement que l'info sur celle-ci a été diffusée en masse sur les résaux de hackers...

 

A l'origine, il était gratuit sur le forum, plusieurs contributeurs ont apporté leur pierre.

Prestashop se l'est approprié (comme beaucoup d'autres^^) sans vraiment regarder le code de très près, juste en rajoutant de nouvelles fonctions.

Dans l'état, ce module ne passe même pas leur validator, pourtant imposé aux contributeurs, ce qui est un comble.

 

Nous leur avons demandé de ré-écrire correctement ce module, attendons la suite.

  • Like 3
Link to comment
Share on other sites

  • 1 month later...
  • 6 months later...

Bonjour je me suis fait hacker cette nuit (Version de PrestaShop 1.6.0.14)

De mon côté aucun des modules énumérés par EOLIA installés sur le site par contre les modules listés dans le log à l'heure d'attaque sont plus variés que ceux énumérés.

Je peux vous donner la liste des tentatives d'injection par la méthode GET ou POST pour une attaque ayant eu lieu le 11/03/2017 à 02h du matin.

Les fichiers injectés sont pour ma part : up.php et hous.php

+ modification du fichier "AdminLoginController.php" qui était vidé entièrement ! et donc plus d'accès au back office.

 

Je pense avoir trouver l'origine de la faille liée à 2 module employés dans un thème premium très connu !

Suite à la remarque dans ce post d'Eolia je n'ose pas mettre les noms des différents modules qui ont été attaqués ?

Si oui dite le moi je viendrai vous les poster ;)

Edited by vince40 (see edit history)
Link to comment
Share on other sites

et sans aucune auto-censure je rajoute pk_flexmenu à la liste des modules "moisis" qui permettent l'upload de fichiers php responsables du piratage effaçant le contenu du fichier AdminLoginController.php.

Mais pour aller un peu plus loin on pourrait aussi mentionner dans les éléments vraiment anormaux d'un point de vue sécurisation d'une appli web:

- les très nombreux modules qui nécessitent les droits d'écriture pour apache dans la dossier du module

- la génération des fichiers .htaccess et robots.txt par prestashop qui impose l'écriture à la racine de la boutique

=> résultat le piratage génère des fichiers up.php ou house.php dans ces 2 types de dossier...

- et enfin (et surtout!) que les codeurs des modules "troués" ne font aucun suivi des problèmes de sécurité générés par leurs modules, ne prennent pas la peine de faire des correctifs de sécurité ou (encore pire!) les proposent uniquement sous condition de paiement...

Edited by clem_pro (see edit history)
  • Like 1
Link to comment
Share on other sites

- la génération des fichiers .htaccess et robots.txt par prestashop qui impose l'écriture à la racine de la boutique

=> résultat le piratage génère des fichiers up.php ou house.php dans ces 2 types de dossier...

Vous devriez vous renseigner avant d'écrire n'importe quoi^^

- un fichier robots.txt n'impose rien à personne, ce sont des règles que les bots suivent...ou pas

- les .htaccess posés par Prestashop sont là (à part le principal à la racine) pour protéger les répertoires.

 

Vos fichiers up et hous sont d'abord passés par les répertoires d'upload des modules moisis (souvent "offerts" avec les thèmes ou gratuits sur le net)

Link to comment
Share on other sites

Vos fichiers up et hous sont d'abord passés par les répertoires d'upload des modules moisis (souvent "offerts" avec les thèmes ou gratuits sur le net)

 

Pour moi la faille vient d'une non mise à jour du thème contenant les 2 modules nommés. Pas de conséquence grave heuresement désinfection effectuée sans problème et mise à jour prévue pour fermer cette porte d'entrée.

Le principe est simple le hack arrive par un code php qui pénètre une faille d'un module et génère des modifications et insertions multiples qu'ils souhaitent derrière en ayant accès à tout le contenu du site. Le but étant la récupération de données sensibles et/ou de rediriger des paiement via paypal ou autre ...

Eolia n'hésite pas à me dire si je me trompe !

Pour les htaccess d'accord à 100% avec toi ils sont la pour protéger et sont eux-même protégés en écriture, il est d'ailleurs fortement conseillé d'exploiter celui à la racine du site pour renforcer la sécurité. Beaucoup du tuto sur ce points dans le web ;)

Edited by vince40 (see edit history)
Link to comment
Share on other sites

après examen des logs apache à l'heure du piratage, le bot responsable a scanné la présence des modules suivants:

columnadverts
soopamobile
soopabanners
vtermslideshow
simpleslideshow
productpageadverts
homepageadvertise
homepageadvertise2
jro_homepageadvertise
attributewizardpro
advancedslider
cartabandonmentpro
videostab
advancedslider
wg24themeadministration
wdoptionpanel
fieldvmegamenu
pk_flexmenu
pk_vertflexmenu
nvn_export_orders
megamenu
wdoptionpanel
orderfiles

à priori ces modules sont donc tous connus/susceptibles d'avoir une faille permettant le téléchargement de fichiers php dans l'arborescence du prestashop.

 

...et pour répondre à Eolia,

Vous devriez vous renseigner avant d'écrire n'importe quoi

merci de ne pas me faire dire ce que je n'ai pas écrit: mon propos était que l'utilisation des outils de Prestashop générant des fichiers à la racine de l'application (robots.txt ou .htaccess) entraîne l'ouverture en écriture pour apache (droits typiquement 775 ou 777) de ce répertoire, ce qui permet la création de fichiers php par les modules piratés (une configuration en 555 aurait évité le problème).

Edited by clem_pro (see edit history)
Link to comment
Share on other sites

Ceux-là, ce sont ceux fournis principalement par les thèmes Template Monster, mais il y en a d'autres...

 

Il faut savoir que la faille exploitée depuis le 8 juillet 2016 a fait le tour des réseaux de hackers avec vidéos à l'appui pour expliquer comment faire.

Du coup, n'importe qui peut s'amuser avec.

 

Le principe est simple:

- On lance un script sur le web qui scanne les urls et détecte si Prestashop ou pas (certains ne testent même pas ce point et tentent à l'aveugle)

- Si c'est un Presta, on lance les batteries de POST sur les urls connues

- Si l'un matche, on injecte le script malveillant sous la forme d'une pseudo image et ensuite il suffit d'appeler le script et on fait ce qu'on veut.

 

A noter: ces failles ne sont intervenues que sur des serveurs mutus mal configurés qui autorisent les doubles extensions^^ (hous.php.png par exemple)

Link to comment
Share on other sites

après examen des logs apache à l'heure du piratage, le bot responsable a scanné la présence des modules suivants:

columnadverts

soopamobile

soopabanners

vtermslideshow

simpleslideshow

productpageadverts

homepageadvertise

homepageadvertise2

jro_homepageadvertise

attributewizardpro

advancedslider

cartabandonmentpro

videostab

advancedslider

wg24themeadministration

wdoptionpanel

fieldvmegamenu

pk_flexmenu

pk_vertflexmenu

nvn_export_orders

megamenu

wdoptionpanel

orderfiles

 

Bonjour Clem-pro 

La liste que tu a envoyée concerne un de tes sites ?

Ma liste est quasiment la même:

Modules testés par le script en méthode GET ou POST:
columnadverts
soopamobile
soopabanners
vtermslideshow
simpleslideshow
productpageadverts
homepageadvertise
homepageadvertise2
jro_homepageadvertise
attributewizardpro
1attributewizardpro
attributewizardpro.OLD
advancedslider
cartabandonmentpro
cartabandonmentproOld
videostab
wg24themeadministration
wdoptionpanel
fieldvmegamenu
pk_flexmenu
pk_vertflexmenu
nvn_export_orders
megamenu
orderfiles
 
à la racine du site
hous.php
et dans le dossier module
modules/up.php
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...