Phishing sur mon site & Blocage

[rdgdeg001]

Bonjour à toutes et tous, 

Je n'ai pas pour habitude de poster sans avoir cherché une solution....

Mais là , je dois avouer que je suis vaincu...

 

J'ai un site Prestashop qui tourne sur http://www.nancycardon.be

Depuis peu mon site fait l'objet d'une attaque constante et DNS m'avertit qu'il est contaminé.

 

En même temps, il est piraté et on me colle une blanche ou un message de pirate content de son acte...

 

J'ai essayé de changer le mot de passe FTP, le mot de passe de la BDD, mais rien n'y fait...

Il semblerait que le dossier FTP soit toujours contaminé mais je n'arrive pas à trouver le chemin du problème...

 

DNS m'annonce ceci comme étant infecté : 

 

http://nancycardon.be/cache/1wes/identity.php/

http://www.nancycardon.be/cache/1wes/identity.php/

 

Mais je ne retrouve pas le chemin sur le ftp et quand je télécharge le contenu de mon ftp sur mon disque, je n'arrive pas à le retrouver non plus et aucun antivirus me détecte quelque chose...

 

Est-ce que quelqu'un pourrait me contacter ou me dire s'il a la solution miracle en m'expliquat la démarche à suivre pour éradiquer le problème svp?

Les professionnels peuvent également me contacter par MP s'ils le souhaitent...

 

Merci d'avance.

[Eolia]

Vous vous êtes fait hacker à cause du module cartabandomnent pro ou l'un des modules fournis par template Monster

 

Regardez les différents posts à ce sujet https://www.prestashop.com/forums/topic/543123-hacke-par-moroccan-wolf-urgent-svp/?do=findComment&comment=2367585 entre autres

Certains fichiers ont été remplacés, d'autres ajoutés.

Restaurez une sauvegarde ftp antérieure au 13/7, videz votre ftp, restaurez et changez tous vos mots de passe php, mysql et back-office

 

Si vous désirez de l'aide, envoyez-moi un accès ftp par MP

[PaulineRipauste]

Bonsoir,

 

A mon tour, mon site est victime de phishing www.ripauste.fr

OVH me dit :

Ci-dessous, la liste d'URLs qui pointent vers la page de phishing que vous hébergez : * hxxpx : / /ripauste [.] fr/redir/ * hxxpx : / /ripauste [.] fr/redir/start.php

Mais je ne trouve rien dans mon ftp qui porte ce nom.

Pouvez-vous m'aider?

Merci d'avance

 

Pauline

[magicbel]

Rien dans le dossier racine de votre prestashop avec un fichier nommé start.php ou dans /redir/start.php ? 🤨

Faut avouer que c'est pas trop clair le message OVH, moi je lis que tous les fichiers de /redir/ sont redirigés sur /redir/start.php. (reste à savoir si redir est bien un folder ou juste une redirection....)

Si vous trouvez ce start.php, regardez la date du fichier et comparez si vous voyez d'autres fichiers modifiés à cette date comme par exemple: index.php / .htaccess/ ect... Une redirection a été placée mais reste à la trouver .

Vous avez du boulot car au delà de corriger le résultat du hack, faudra aussi combler la faille sous peine d'être à nouveau sanctionnée par la suite.

Edited August 6, 2021 by magicbel (see edit history)

[PaulineRipauste]

Merci pour votre retour, en effet, je ne sais pas si c'est une redirection ou un folder, mais je vois rien de ce type dans mon ftp. J'ai supprimé des dossiers, suspects, c'était peut etre dedans sans que je m'en rende compte.

Avez-vous des conseils, des outils pour trouver la faille ? C'est certain que ca va recommencer

Merci encore, bonne journée,

 

Pauline

[magicbel]

Bonjour,

Il y a 2 heures, PaulineRipauste a dit :

J'ai supprimé des dossiers, suspects, c'était peut etre dedans sans que je m'en rende compte.

C'est là justement le problème. Il aurait été bon d'analyser avant effacement afin de trouver la porte d'entrée. (via les logs serveur)

En l'état, vous pouvez suivre ce tuto mais sans garantie que cela ne recommence pas.

https://www.webbax.ch/2020/09/10/prestashop-anti-hacking/

 

[PaulineRipauste]

Bonjour, oui j'ai pas réfléchi

Merci pour le lien, très intéressant. Je vais suivre les conseils de webbax.

Bonne journée

Pauline