Problème sécurité site web

[Demirdiouff]

Bonjour,

 

PrestaShop 1.5.5

 

Nous avons récemment eu une attaque sur notre site web après avoir fais des analyses etc etc... je suis parvenu a repérer certains gros fichiers nuisibles au fonctionnement du site, donc éliminés aussitôt. J'ai relancé une demande d'examen Google sur le site en question, et il s'avère qu'il y a encore du contenu malveillant avec 3 exemples d'URL comme ci-dessous :

 

http://www.-------------.com/js/docs/5de0bb7f17a572f23792ea62a75cd8c8/

 

 

Lorsque je consulte tout de même le dossier de sauvegarde qu'on avait fait, je constate qu'il n'existe pas de chemin js/docs/PleinsD'écrituresBinaires, le dossier JS faisait à peine +6Mo alors que maintenant il dépasse facilement les 2Go. 

 

 

J'aurais voulu connaître selon une architecture habituelle de PrestaShop, est-il normal qu'il existe des chemins et des dossiers comme ci-dessus ? "docs" contient facilement plus de 12000 dossiers. (anormal?)

 

 

Etant donné qu'il n'y avait de chemin "docs" dans "js" avant, pensez-vous que je peux tout supprimer d'une traite? 

 

 

 

Merci d'avoir pris le temps de lire !

 

Cordialement,

 

 

(PS : Impossible de restaurer par rapport a une ancienne sauvegarde, puisque beaucoup de modifications avaient été apportés entre temps, et nous avons pas vu le coup arriver, nous perdrions la prestation qui avait été effectué pour nous entre temps.. ça va me servir de leçon je sais..)

 

 

 

 

 

 

 

[coeos.pro]

C'est normal d'avoir un dossier docs à la racine, mais pas dans js, ou alors quelqu'un à fait un glisser sans faire attention. Vérifie le contenu du dossier docs par rapport à la version d'origine de prestashop : https://www.prestashop.com/fr/versions-developpeurs.
 
 
 

Lorsque je consulte tout de même le dossier de sauvegarde qu'on avait fait, je constate qu'il n'existe pas de chemin js/docs/PleinsD'écrituresBinaires, le dossier JS faisait à peine +6Mo alors que maintenant il dépasse facilement les 2Go.

 
on est bien d'accord que ceci : 5de0bb7f17a572f23792ea62a75cd8c8 n'est pas du binaire

 

 

 

J'aurais voulu connaître selon une architecture habituelle de PrestaShop, est-il normal qu'il existe des chemins et des dossiers comme ci-dessus ? "docs" contient facilement plus de 12000 dossiers. (anormal?)

 

Une version complète de prestashop par défaut n'a déjà pas autant de dossiers...

[Demirdiouff]

Oui le dossier docs à la racine je l'aperçois bien. 

Il y est toujours d'ailleurs. 

 

Tout semble provenir de "js/docs/blablabla..." (oui c'est de l'hexa pardon)

 

 

J'ai comparé a un PrestaShop 1.5.5 d'origine, le dossier docs contient tout ce qu'il faut, et le fichier js aussi, sauf le sous-dossier "docs" supplémentaire.

 

 

Ok bon, le problème semble sortir de là. Il n'y a pas un seul dossier qui contient un nom "lisible" j'ai dis 12000, mais entre le temps de réponse et maintenant on est a 18000+

 

 

A priori vu qu'il n'existe pas de base, et que personne ne peut l'avoir glissé la, la suppression complète de ce sous-dossier "js/docs" devrait régler le soucis ?

 

 

Merci,

 

 

Cordialement, 

[Demirdiouff]

Ok bon j'ai du boulot alors... 

 

Merci pour vos aides ! 

[Demirdiouff]

Alors n'étant pas expert, qu'est-ce qu'il faut que je regarde en particulier dans Paramètres avancés => Informations ... ? Voir si il y a des traces du chemin en question ci-dessus ?

 

 

 

Ce qu'il faut se dire c'est que tu peux avoir une backdoor par exemple dans le dossier :

 

/img/p/1/1/7/5 mais aussi dans /img/p/1/1/8/5 ... ... ..

 

Je sais pas si tu l'as pioché par hasard le dossier "img/p/etc..." mais il a complètement été vidé justement avant-hier pour une réinitialisation des images au propre.

Et le problème date d'avant ça.

 

 

Merci,

[Demirdiouff]

Ok c'est noté.

 

Alors y en a quand même 522, j'espère pour les 3/4 que c'est bien moi qui ai apporté les modifications ! 

 

 

Bon merci beaucoup pour les interventions en tout cas. Je reviendrais une fois que tout le problème sera résolu ! (en espérant)

[Demirdiouff]

Bonjour,

 

Je me permet de faire un retour par rapport a hier : 

Il y a eu pas mal de tri qui a été effectué donc, mais j'avais une dernière petite question 

 

PrestaShop de base génère que des noms de fichier a peu près "lisible" ? Est-il possible qu'il génère des noms en hexa peu importe l'endroit pour stocker certains de ses fichiers ?

 

J'ai bien tenté de chercher a priori je n'en vois pas. Sauf pour les images, dans le chemin "img/tmp" et je me dis que ceux qui ont un nom en hexa doivent doivent pas venir de nous. 

 

 

Merci,

 

Cordialement,

[coeos.pro]

PrestaShop de base génère que des noms de fichier a peu près "lisible" ? Est-il possible qu'il génère des noms en hexa peu importe l'endroit pour stocker certains de ses fichiers ?

oui pour les fichiers caches ou pour les fichiers à télécharger.

[Demirdiouff]

Entendu ! 

 

 

Merci !

[Demirdiouff]

Bonjour,

 

 

Je me permet de relancer ce topic pour poser une dernière petite question : 

 

 

Google a donc bien réexaminé le site, et l'examen est réussi. Il n'y a (a priori) plus de problème de sécurité, ni de malware en question. 

 

Cependant un anti-virus comme "BitDefender" analyse toujours le site au chargement et affiche un message d'avertissement. Je pensais que une fois l'examen Google réussi, l'anti-virus n'afficherait plus cet avertissement. 

Est-ce qu'il faut contacter l'entreprise en question pour signaler que notre boutique a été nettoyé ? 

 

 

Merci à nouveau pour votre aide,

 

Cordialement,