[résolu] configurateur de thème vinum masters : attaque signalée par mon hébergeur

[BrunoJWest]

Bonsoir et bonne année à tous.

un des petits sites dont je m'occupe est www.bwevolution.com

il n'y a pas de fonction vente (donc pas de paiement) car je me suis servi de prestashop pour utiliser la partie catégorie / produits et sa souplesse pour présenter des prestations en fiche produit (sans panier) .. en attendant ultérieurement d'étendre les fonctionnalités. 

 

mes mots de passe sont sécurisés (FTP, 1and1, prestashop, base de données, le dossier admin aussi (nom special), mes deux ordis perso sont protégés et personne d'autre que moi n'a les codes et n'intervient.

 

je n'ai pas modifié ce site depuis plusieurs semaines (la société balbutie et prend son temps)

 

j'ai eu ce matin ce message de mon hébergeur (1 and 1 unlimited pro ... oui je sais) :

 

 

"Notre scanner antivirus a signalé qu'un fichier nuisible a été chargé sur votre espace web. Le nom du fichier est : ~prestashop/modules/vm_advancedconfigurator/views/img/kntl.php

 

Pour vous protéger contre de dangereuses attaques, le scanner antivirus contrôle chaque fichier qui est chargé sur votre espace web. Si un fichier présente des caractéristiques d'un logiciel nuisibles, il est automatiquement désactivé.

 

Important : votre espace web subit donc une attaque de pirates informatiques. Cette attaque est mené soit à travers un de vos mots de passe, soit par une faille de sécurité dans un logiciel que vous avez installé.

 

Tant que vous n'aurez fermé le point d'intrusion, les pirates poursuivront leur attaque et pourront arriver à compromettre vos sites. Le scan de votre espace web continuera après ce message - d'autres fichiers nuisibles pourront être désactivés ultérieurement.

 

Est-ce un bug ? unb excès de zèle de 1and1 ou le site s'est réellement fait pirater ? y a-t-il une faille dans le configurateur (j'ai un autre site avec ce module)

Bruno

 

Edited January 22, 2017 by BrunoJWest (see edit history)

[coeos.pro]

1- retélécharge le module et vérifie si dans le zip ce fichier existe vraiment dans le module

2- contact Vinum pour avoir des infos

[BrunoJWest]

Merci beaucoup et bien vu

 

j'ai regardé l'archive originale

 

pas de fichier kntl.php
de même un autre fichier datant du 20/01/17 cat.php a été rajouté

ainsi qu'un php.ini désactivant le safe mode

j'ai supprimé les 3

ce n'est pas venu par ftp^(du moins je ne pense pas), je soupçonne une faille du module.

 

J'ai vérifié le second site qui a ce module ... idem fichiers rajoutés aujourd'hui (les 3 mêmes)

 

je les contacte demain.

[doekia]

L'un des modules du thème ou ajouté est une passoire en terme de sécurité et les hackers ont utilisé cela.

Ceci va se reproduire tant que tu n'aura pas corrigé le problème de sécurité.

[BrunoJWest]

sur ces deux sites il n'y a que le "configurateur de thème avancé" qui est quand même un truc certifié prestashop et qui permet de ne pas acheter de thème douteux (humm) et de ne pas perdre de temps à rentrer trop dans le dur du thème defaut-bootstrap. 
 

je vais revérifier les modules rajoutés pat ce module mais ne suis pas sûr qu'il y en ait beaucoup et contacter vinum masters.

 

heureusement je ne l'ai pas sur mon site marchand principal qui n'a rien à voir (où j'ai déjà assez d'autres problèmes d'ailleurs).
C'est juste un pu saoulant de l'avoir payé deux fois de suite pour jouer le jeu 

[coeos.pro]

Je vais reformulé ce qu'à dit Doekia : des failles de sécurité existent, dans les modules prestashop, ces hackers ont exploités cette faille, tu aurais pu ne pas avoir le module de Vinum et avoir les mêmes problèmes.

 

Certifié prestashop ? c'est marqué ou ?

[BrunoJWest]

j'avais pas vu que c'était doekia qui m'avait répondu que je salue en le remerciant encore de m'avoir aidé l'autre fois 

 

1) sur les deux sites qui utilisent ce module, les 3 mêmes fichiers (pas dans l'archive originale) ont été rajoutés le 20 janvier dans le même dossier. Deux sites 1.6.1.5 que je n'ai pas modifiés depuis plus de 2 mois, qui fonctionnent au ralenti en ce moment car pas d'enjeu économique immédiat et en devenir.
Sur mon autre site (celui qui me nourrt),  je n'ai pas ce module/thème et il n'y a pas eu fichiers rajoutés.

J'en conclus donc que la faille est bien liée à CE module (configurateur de thème avancé de vinum masters)
je vois très bien un scan des sites prestashop et l'intrusion faite quand le module est repéré, la faille devant être connue du hacker.
 

2) je me suis mal exprimé sur le "certifié" mais c'est un peu tout comme ...Je l'ai acheté sur la plateforme presathop addons, et vu la présentation on y va sans sourciller :
https://addons.prestashop.com/fr/personnalisation-de-page/17952-configurateur-de-themes-avance-theme-maker.html
et je l'ai fait en deux exemplaires pour les deux sites. alors ok ils ne coûtent pas très cher, mais ce que j'économise je le perds en perte de temps ... Prestashop prends sa commission dessus et fait l'acte de vente, ça me semble un peu normal que prestashop soit impliqué dans la résolution du problème ne serait-ce que de s'en préoccuper ...
donc certifié ou non ce ne serait pas très cool de s'en dénéguer totalement.

 

je mettrai un commentaire sur prestashop addons

 

Bruno

[BrunoJWest]

et pour compléter sur le scond site attaqué : c'est le SEUL module rajouté ... ça simplifie les investigations 

[coeos.pro]

c'est le SEUL module rajouté

 

Donc tu n'as qu'un seul module, aucun autre module? Même pas un module prestashop natif?

[BrunoJWest]

au lieu de me mettre en défaut vous pouvez m'aider ?
 

 

j'ai 4 sites prestashop.
les deux seuls sites attaqués sont ceux qui ont ce module

je veux dire que je n'ai pas acheté ou installé d'AUTRES modules que ceux natifs (à part celui-ci).
 

ensuite c'est bien dans une directory de CE MODULE que les 3 fichers ont été installés le 20/01/17

sur deux sites qui  ne partagent pas le même hébergement ni probablement la même machine '(faits avec  3 mois d'écart). et cela n'a pas été fait par FTP.

 

a quoi cela sert il d'essayer de me prendre à chaque mot et mettre en cause mes propos ?

 

j'ai juste besoin d'aide, pas d'une démosntration que mes propos ne sont pas pertinents

Edited January 21, 2017 by BrunoJWest (see edit history)

[coeos.pro]

a quoi cela sert il d'essayer de me prendre à chaque mot et mettre en cause mes propos ?

 

A te faire comprendre l'origine du problème qui n'est certainement pas le module de vinum.

 

Au fait, tu l'as contacté?

[BrunoJWest]

bonjour, oui 

il ya eu une réponse et une re-réponse.

 

"A te faire comprendre l'origine du problème qui n'est certainement pas le module de vinum."

j'ai 4 sites prestashop. deux, très simples, ont pour seul module "ajouté" (en dehors des natifs) ce module

ensuite c'est DANS le répertoire de ce module que les 3 fiochiers ont été rajoutés le 20/01/16.

je rappelle que ces deux sites siont ans des hébergements différents et des serveurs différents (enfion j'espère parce qu'avec 1and1 c'est aussi le grand flou). ils ont été faits avcec 3 mois d'écartn avec deux comptes client d'hébergement différents.

 

ls deux autres sites sont en 1.6.1.6, dont un  qui possède pas mal de modules additionnels MAS PAS celui de, et il n'y a eu aucune attaque de ce genre signalée.

 

vous me permettrez de penser que le problème est lié à ce module.

peut-être justement qu'une faille a été trouvée par un hacker récemment. qu'une boucle et un scan ont tourné le 20/01/17 sur tous les sites prestashop identifiés comme ayant ce module ???

 

bref je cherche toujours de l'aide et à donner des infos.

Edited January 21, 2017 by BrunoJWest (see edit history)

[BrunoJWest]

voici l'échange :

mon message initial :

 

"Bonjour

Je m’appelle bruno Colombani,

J’ai besoin de votre aide en temps qu’éditeur du module prestashop « configurateur de thème avancé (Theme maker) et une probable faille de sécurité.

Je m’occupe de quelques sites prestashop dont 2 qui n’utilisent prestashop que pour une présentation de produits ou prestation par fiche (pas de prix, de vente ni même de commande). http://www.bwevolution.com et http://www.pieces-r5turbo.com
c’est juste que j’ai quelques autres sites en prestashop et que je n’en ai utilisé pour ces deux là que la caractéristique de présentation des produits / catégories qui m’évite de réinventer la poudre.

Ces deux sites (et seulement ces deux là) sont en 1.6.1.5 ou 1.6.1.6 et utilisent le configurateur de thème avancé theme maker que vous avez développé. Dans le cas d’un des deux sites c’est même le seul module rajouté. Je précise que j’ai payé DEUX licences.

Ces deux sites sont sur des espaces différents (1and1 unlimited pro dans les deux cas), avec des accès différents. Mes ordinateurs ne sont pas hackés, les mots de passe connus de moi seul, jamais enregistrés, et je n’ai fait aucune modif depuis plus de deux mois sur ces sites. Le répertoire d’admin a un nom spécifique.

J’ai été prévenu le 20/01/17 par 1and1 d’une « attaque » et de la désactivation par 1and1 d’un fichier rajouté dans un répertoire du module VM_advancedconfigurator sur le site http://www.bwevolution.com
En vérifiant avec l’archive originale, j’ai constaté qu’effectivement 3 fichiers avaient été rajoutés le 20 janvier kntl.php, cat.php, t un php.ini visant à désactiver le safe mode.

J’ai été voir le site http://www.pieces-r5turbo.com et il ya eu le même rajout le même jour.
J’ai supprimé les 3 fichiers sur ls deux sites.

Ces fichiers n’ont pas été rajouté par FTP mais par une faille d’un module), n’ayant pas d’autre module et surtout ces deux sites étant les seuls à l’utiliser, j’en conclu que le module a une faille.

Voici le message de 1and 1

"Notre scanner antivirus a signalé qu'un fichier nuisible a été chargé sur votre espace web. Le nom du fichier est : ~prestashop/modules/vm_advancedconfigurator/views/img/kntl.php

Pour vous protéger contre de dangereuses attaques, le scanner antivirus contrôle chaque fichier qui est chargé sur votre espace web. Si un fichier présente des caractéristiques d'un logiciel nuisibles, il est automatiquement désactivé.

Important : votre espace web subit donc une attaque de pirates informatiques. Cette attaque est mené soit à travers un de vos mots de passe, soit par une faille de sécurité dans un logiciel que vous avez installé.

Tant que vous n'aurez fermé le point d'intrusion, les pirates poursuivront leur attaque et pourront arriver à compromettre vos sites. Le scan de votre espace web continuera après ce message - d'autres fichiers nuisibles pourront être désactivés ultérieurement.

Mon but est de vous alerter mais aussi de résoudre le problème. En effet je vais être obligé de les désactiver en la’absence de réponse mais surtout de ne pas reprendre d’autre licence alors que je comptais l’utiliser sur deux autres sites : un nouveau pour un client et mon site principal où j’ai de grosses galères avec le thème acheté.

Merci d’avance de votre retour rapide,

Je suis joignable au 06 07 27 44 11

Bruno COLOMBANI"

 

la réponse :

"Bonjour,

Malgré plus de1000 modules vendus vous êtes le premier à me parler d'une éventuelle faille de sécurité dans ce module.
De plus, le module respect les standards prestashop.
Je vais malgré tout investigué de mon coté mais sans informations complémentaires cela va m'être difficile.

 

 

Cordialement,
Presta Magician"

 

et voici ma re-réponse :

 

"Bonjour

il est difficikle de répondre par les messages venant de prestashop addon. aussi je vous remercie d'avoir l'amabilité de prendre contact avec moi soit au 06 07 27 44 11 soit sur [email protected]

je ne suis pas là pour polémiquer mais pour résoudre mon problème

que je sois le 1er, c'est une chose. 1er ou 5eme ou 100ème cela ne change rien, c'est arrivé un 20 janvier 2017 (donc hier) sur deux site à la fois qui n'ont aucune connexion et aucun rapport. il faut bien une première fois.
ce sont les deux seuls sites (parmi 4) qui utilisent votre module. de plus c'est dans une directory de CE MODULE qu'ont été implantés les 3 fichiers. ces duex sites n'ayant pas d'autres modules que ceux natiofs dans prestashop.

vous me dites qu'en l'absence d'informations complémentaires cela allait être difficile, et bien demandez les moi ... quells infos. je suis disposé à vous donner tout ce que vous voulez pour peu que vous insvestiguiez réellement. Pour ce qui concerne les 3 fichiers j'ai pris leur nom (que je vous ai donnés)à mais les ai effacés par sécurité.

merci donc de ùe contacter directement au 06 07 27 44 11 ou sur [email protected], je ne vais pas vous manger. je ne cherche pas des "responsabilités" mais à résoudre mon problème.
*
merci d'avance.

Bruno COLOMBANI"

[Oron]

Bonjour

 

Le seul fichier php qu'on devrait trouver dans le dossier /img/ c'est un index.php qui renvois vers la page d'accueil lorsqu'on essaye d'afficher le dossier img

ou un .htaccess

[doekia]

A moins d'avoir un accès à ton FTP, et de passer le temps nécessaire à scanner tant les modules en place pour faille et le reste de l'install pour porte dérobées (que les hacker mettent dès leur 1ere pénétration), il n'y a pas de solution que nous puissions te donner. désolé.

 

Si tu veux PM moi (ou quelqu'un de compétent auquel tu fais confiance) pour déverminer ton install, mais hélas comme c'est long, pénible et pas très motivant comme job, cela te coûtera quelque chose.

[BrunoJWest]

Pas de souci jean-Marc j'ai confiance en toi. On a déjà pratiqué. Si j'ai besoin après les investigations du concepteur du module, je ferai appel à toi.

ON est en train d'analyser les logs avec lui, qui a finalement pris au sérieux ma demande. je suis satisfait de ce fait.

 

Dans les logs j'ai trouvé 4 lignes à 14h30 (1 heure avant l'alerte de 1and 1) parmi une 50aine en provenance d'Indonésie

 

36.77.71.180 - - [20/Jan/2017:14:39:40 +0100] "GET /modules/vm_advancedconfigurator/views/img/657270e3ad10322075b41f63ae37869936b2cf58_piecesspecialestop1jpg HTTP/1.1" 200 19586 pieces-r5turbo.com "https://www.google.co.id/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:40 +0100] "GET /modules/vm_advancedconfigurator/views/img/d1703c2ebfacccaa89e54ac8fdf9576025bb5cf2_reparjantestop2jpg HTTP/1.1" 200 24442 pieces-r5turbo.com "https://www.google.co.id/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:40 +0100] "GET / HTTP/1.1" 200 41804 pieces-r5turbo.com "https://www.google.co.id/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:41 +0100] "GET /themes/default-bootstrap/css/autoload/highdpi.css HTTP/1.1" 200 340 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:41 +0100] "GET /themes/default-bootstrap/css/global.css HTTP/1.1" 200 218557 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:41 +0100] "GET /themes/default-bootstrap/css/autoload/responsive-tables.css HTTP/1.1" 200 1433 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:42 +0100] "GET /themes/default-bootstrap/css/autoload/uniform.default.css HTTP/1.1" 200 12277 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:42 +0100] "GET /js/jquery/plugins/fancybox/jquery.fancybox.css HTTP/1.1" 200 4895 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:42 +0100] "GET /themes/default-bootstrap/css/modules/blockbanner/blockbanner.css HTTP/1.1" 200 243 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:42 +0100] "GET /themes/default-bootstrap/css/modules/blockcategories/blockcategories.css HTTP/1.1" 200 2802 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:42 +0100] "GET /themes/default-bootstrap/css/modules/blockcontact/blockcontact.css HTTP/1.1" 200 1513 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:42 +0100] "GET /themes/default-bootstrap/css/modules/blocklanguages/blocklanguages.css HTTP/1.1" 200 1785 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:42 +0100] "GET /themes/default-bootstrap/css/modules/blockmyaccountfooter/blockmyaccount.css HTTP/1.1" 200 49 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:42 +0100] "GET /themes/default-bootstrap/css/modules/blocknewsletter/blocknewsletter.css HTTP/1.1" 200 2975 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:43 +0100] "GET /themes/default-bootstrap/css/modules/blocksearch/blocksearch.css HTTP/1.1" 200 1645 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:43 +0100] "GET /js/jquery/plugins/autocomplete/jquery.autocomplete.css HTTP/1.1" 200 822 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:43 +0100] "GET /themes/default-bootstrap/css/modules/blocktags/blocktags.css HTTP/1.1" 200 415 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:43 +0100] "GET /themes/default-bootstrap/css/modules/blocktopmenu/css/blocktopmenu.css HTTP/1.1" 200 87 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:43 +0100] "GET /themes/default-bootstrap/css/modules/blocktopmenu/css/superfish-modified.css HTTP/1.1" 200 5796 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:43 +0100] "GET /themes/default-bootstrap/css/modules/blockuserinfo/blockuserinfo.css HTTP/1.1" 200 493 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:43 +0100] "GET /themes/default-bootstrap/css/modules/blockviewed/blockviewed.css HTTP/1.1" 200 182 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:43 +0100] "GET /js/jquery/plugins/bxslider/jquery.bxslider.css HTTP/1.1" 200 3363 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:43 +0100] "GET /themes/default-bootstrap/css/modules/homeslider/homeslider.css HTTP/1.1" 200 3744 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:44 +0100] "GET /themes/default-bootstrap/css/modules/homefeatured/homefeatured.css HTTP/1.1" 200 47 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:44 +0100] "GET /themes/default-bootstrap/css/product_list.css HTTP/1.1" 200 15942 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:44 +0100] "GET /modules/vm_advancedconfigurator/views/css/hooks.min.css HTTP/1.1" 200 887 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:44 +0100] "GET /modules/vm_advancedconfigurator/views/css/mybreadcrumb.min.css HTTP/1.1" 200 2043 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:44 +0100] "GET /js/jquery/jquery-1.11.0.min.js HTTP/1.1" 200 96381 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:44 +0100] "GET /modules/vm_advancedconfigurator/views/css/mytheme1.css HTTP/1.1" 200 44069 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:44 +0100] "GET /modules/vm_advancedconfigurator/views/css/imgallery.min.css HTTP/1.1" 200 299 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:44 +0100] "GET /js/jquery/jquery-migrate-1.2.1.min.js HTTP/1.1" 200 7199 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:44 +0100] "GET /js/jquery/plugins/jquery.easing.js HTTP/1.1" 200 4955 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:45 +0100] "GET /js/tools.js HTTP/1.1" 200 19297 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:45 +0100] "GET /themes/default-bootstrap/js/global.js HTTP/1.1" 200 14468 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:45 +0100] "GET /themes/default-bootstrap/js/autoload/10-bootstrap.min.js HTTP/1.1" 200 27631 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:45 +0100] "GET /themes/default-bootstrap/js/autoload/15-jquery.total-storage.min.js HTTP/1.1" 200 2564 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:45 +0100] "GET /themes/default-bootstrap/js/tools/treeManagement.js HTTP/1.1" 200 2961 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:45 +0100] "GET /themes/default-bootstrap/js/autoload/15-jquery.uniform-modified.js HTTP/1.1" 200 36401 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:45 +0100] "GET /themes/default-bootstrap/js/products-comparison.js HTTP/1.1" 200 4351 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:46 +0100] "GET /themes/default-bootstrap/js/modules/blocknewsletter/blocknewsletter.js HTTP/1.1" 200 1730 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:46 +0100] "GET /js/jquery/plugins/fancybox/jquery.fancybox.js HTTP/1.1" 200 23135 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:46 +0100] "GET /themes/default-bootstrap/js/modules/blocksearch/blocksearch.js HTTP/1.1" 200 3529 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:46 +0100] "GET /js/jquery/plugins/autocomplete/jquery.autocomplete.js HTTP/1.1" 200 19950 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:46 +0100] "GET /themes/default-bootstrap/js/modules/blocktopmenu/js/hoverIntent.js HTTP/1.1" 200 4938 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:46 +0100] "GET /themes/default-bootstrap/js/modules/blocktopmenu/js/superfish-modified.js HTTP/1.1" 200 6983 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:46 +0100] "GET /themes/default-bootstrap/js/modules/blocktopmenu/js/blocktopmenu.js HTTP/1.1" 200 3799 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:46 +0100] "GET /themes/default-bootstrap/js/modules/homeslider/js/homeslider.js HTTP/1.1" 200 1920 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:47 +0100] "GET /js/jquery/plugins/bxslider/jquery.bxslider.js HTTP/1.1" 200 19360 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:47 +0100] "GET /themes/default-bootstrap/js/index.js HTTP/1.1" 200 1111 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:47 +0100] "GET /modules/vm_advancedconfigurator/views/js/myoverride.min.js HTTP/1.1" 200 1048 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:47 +0100] "GET /modules/homeslider/images/8e547f1268c3fc6ff2be35c52ee20afb70d3a233_image_3_carroussel.jpg HTTP/1.1" 200 51994 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:47 +0100] "GET /modules/homeslider/images/9d9bab6c102486916aae8b3fe1dac1fd25836a07_image_1_carroussel.jpg HTTP/1.1" 200 118253 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:47 +0100] "GET /modules/blockbanner/img/adea32e5c6bf1ac7c3bee33cf7f3346e.jpg HTTP/1.1" 200 52576 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:48 +0100] "GET /img/pieces-entretien-auto-r5turbo-logo-1443030280.jpg HTTP/1.1" 200 9169 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:48 +0100] "GET /modules/homeslider/images/51903599acfc8326b2d193dd2d65af379b41746c_image_2_carroussel.jpg HTTP/1.1" 200 73986 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:48 +0100] "GET /themes/default-bootstrap/fonts/fontawesome-webfont.woff2?v=4.3.0 HTTP/1.1" 200 56780 pieces-r5turbo.com "http://pieces-r5turbo.com/themes/default-bootstrap/css/global.css" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:48 +0100] "GET /24-home_default/t-shirt-delave-manches-courtes.jpg HTTP/1.1" 200 17055 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:48 +0100] "GET /224-home_default/le-spider-autobodyshop-dans-sa-derniere-livree.jpg HTTP/1.1" 200 18538 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:48 +0100] "GET /44-home_default/restaurationr5turbo1.jpg HTTP/1.1" 200 17198 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:49 +0100] "GET /69-home_default/restaurationr5turbo1client.jpg HTTP/1.1" 200 19121 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:49 +0100] "GET /177-home_default/boite-de-degazage-moteur-sur-mesure.jpg HTTP/1.1" 200 16929 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:49 +0100] "GET /js/jquery/plugins/bxslider/images/bx_loader.gif HTTP/1.1" 200 8581 pieces-r5turbo.com "http://pieces-r5turbo.com/js/jquery/plugins/bxslider/jquery.bxslider.css" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:49 +0100] "GET /32-home_default/t-shirt-delave-manches-courtes.jpg HTTP/1.1" 200 19283 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:49 +0100] "GET /175-home_default/regulateur-reglable-r5-turbo-tous-modeles.jpg HTTP/1.1" 200 17568 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:39:51 +0100] "GET /img/favicon.ico?1465651291 HTTP/1.1" 200 34494 pieces-r5turbo.com "http://pieces-r5turbo.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:40:39 +0100] "GET /modules/vm_advancedconfigurator/views/js/dropzone/upload.php HTTP/1.1" 200 5 pieces-r5turbo.com "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:40:39 +0100] "GET /favicon.ico HTTP/1.1" 404 1041 pieces-r5turbo.com "http://pieces-r5turbo.com/modules/vm_advancedconfigurator/views/js/dropzone/upload.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:43:04 +0100] "POST /modules/vm_advancedconfigurator/views/js/dropzone/upload.php HTTP/1.1" 200 5 pieces-r5turbo.com "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:43:10 +0100] "GET /modules/vm_advancedconfigurator/views/img/cat.php HTTP/1.1" 200 13 pieces-r5turbo.com "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:43:15 +0100] "GET /modules/vm_advancedconfigurator/views/img/kntl.php HTTP/1.1" 200 906 pieces-r5turbo.com "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

36.77.71.180 - - [20/Jan/2017:14:43:16 +0100] "POST /modules/vm_advancedconfigurator/views/img/kntl.php HTTP/1.1" 200 66213 pieces-r5turbo.com "http://pieces-r5turbo.com/modules/vm_advancedconfigurator/views/img/kntl.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" "-"

 

or kntl.php et cat.php sont bien ls deux fichiers "en trop"

 

les 50 autres lignes de cetteadresse IP sont des "GET" qui ont démarré par deux fichiers du dossier /modules/vm_advancedconfigurator/views/img/

 

j'ai renvoyé tous ces éléments au concepteur

 

Bruno

[Mediacom87]

Salut,

 

le module est bien en cause et c'est assez simple de sécuriser cette faille.

[BrunoJWest]

finalement, je me sens moins seul ... 

 

c'était bien une faille. l'avantage de le savoir est que ça se corrige.

 

le concepteur me renvoie une version du module avec protection des upload d'images par adresse IP, puisque c'est cette fonction qui a été détournée pour placer des fichiers autres que des images.

 

Merci

 

Bruno

[Mediacom87]

Par adresse ip ????

 

bon chacun sa méthode mais il y a plus simple.

[BrunoJWest]

je laisse faire le concepteur.

ces deux sites n'ont rien de stratégique pour moi. si il faut les arrêter pour ls refaire à zero c'est même faisable.

mais du coup j'en ai un autre (ett même deux en comptant celui d'un de mes clients), sur lequel je ne prendrai aucun risque, et si je dois reprendre une licence de ce module, que ce soit avec une version corrigée officielle et saine ...

 

IL a été alerté et joue le jeu, je l'en remercie. je préfère donc avoir une solution "officielle" pour l'instant. on verra ensuite plus tard.
et puis comme il a pignon sur rue, je considère que je fais avancer le le sujet à mon petit niveau en signalant le problème et lui demandant une solution.

 

Merci en tous cas

 

bruno

[BrunoJWest]

et au passage j'ai bloqué la plage d'adresses IP concernant cette localisation sur tous mes sites ...

[doekia]

C'est pas comme ça que ça marche ...

Un hacker utilise un premier script/bot qui connait les failles et dépose des saloperies en plus.

Ensuite, le site hacké, un autre script/bot/hacker utilise ce qui a été déposé par le 1er.

Tu bloques le second, mais il faut identifier pour le fixer la faille de l'étape 1 sinon, ça recommence. Sachant que si un botnet utilise l'étape 2, c'est pas 2 ip a bloquer mais des dizaines de millier en provenance de PC familiaux infecté par le trojan du botnet

[BrunoJWest]

certes, à voir ce qui a été rajouté.

 

je vais chasser tous les fichiers modifiés ce jour là ou ces jours là et investiguer

Encore une fois, deux sites très simples sans aucun aspect stratégique, et ce ssites n'ont aucun intérêt pour les hackers (il n'y a même pas de client, pas de commerce en ligne bien que j'aie utilisé PS). je ne vais pas lancer des prestations complexes et coûteuses, si j'ai un autre problème je fermerai le site concerné point barre et je le referai. je ne pense pas qu'il ya ait eu d'autres intrusions. mais "penser" ne suffit pas, je vais regarder plus finement.

 

le concepteur que je remercie vient de me renvoyer une nouvelle version modifiée ... et en tous cas la faille ne sera plus utilisable.

 

merci

 

Bruno

[Mediacom87]

Comme quoi le support est irréprochable, un dimanche.

[BrunoJWest]

je confirme.

je suis très satisfait. L'éditeur a pix en compte ma demande avec sérieux. acté que ce n'était pas fantaisiste, et apporté une solution le dimanche.
Je fais l'adaptation demain.

 

Maintenant il faut distinguer les choses et rester factuel. j'ai posté pour trouver une solution, et décrit les faits du mieux que j'ai pu.
Je n'étais pas dans la polémique mais dans la construction.
une faille est un fait pas une critique.

 

Ceci est résolu

 

Merci à jean-Marc de Vinum Master.

SI cela est bien confirmé, j'utiliserai cet outil sur mon site plus stratégique, et pour lequel j'avais acheté un thème qui ne ma attiré que des ennuis, et qui a du être un peu modifié ... merci Doekia en passant). si tout fonctionne je préparerai une bascule vers le thème par défaut modifié par Theme maker.

merci à tous

[BrunoJWest]

Bon si il y en a que ça intéresse, j'ai le fichier en cause (le premier fichier injecté, visiblement par l'upload du module)

 

je m'explique. je n'ai pas tout de suite installé les nouveaux fichiers avec la "protection" par IP
et hier les 3 fichiers se sont à nouveau installés. Toujours une adresse IP à djakarta mais sou une autre plage d'IP (je ne suis pas étonné, l'important n'est pas là).
j'ai fait une copie des 3 fichiers qui se sont encore installés dans /modules/vm_advancedconfigurator/views/img/

cette fois les deux fichiers s'appellent cok.php et leet.php
J'ai regardé dans cok.php (a l'interieur au début un lien sur le logo de phoenix team).
il ya une séquence ou il installe le php.ini avec le safe_mode = off et disable_functions = none
il ya d'autres endroits où il essaye de récupérer ls fichiers de configuration de prestashop, magento, joomla, wordpress etc ...
trop compliqué de disséquer le reste je ne me balade pas assez là dedans pour le comprendre facilement.

Si ça intéresse quelqu'un je tiens le fichier à sa disposition par mail.

j'ai bien sûr depuis installé la nouvelle version fournie par l'éditeur qui fonctionne. si celle-ci aussi laisse passer encore cette attaque c'est qu'elle viendra d'ailleurs.
Je n'y crois pas car visiblement l'endroit est très ciblé, donc pour moi l'endroit de la faille

Bruno

[doekia]

PM moi avec tes accès FTP car si tu as de nouveau été pénétré c'est qu'il reste une faille

[BrunoJWest]

Bonsoir Jean-Marc  ,
J'ai été re-pénétré AVANT d'avoir fait la mise à jour (j'ai attendu 2 jours de trop). la faille était toujours là ...
les modifs ont été faites aujourd'hui.
et à 99% je suis convaincu que la porte d'entrée est l'upload du module, puis que ça arrive dans son dossier img et pas ailleurs.

et j'ai vérifié, aucun autre fichier n'a été modifié à ces dates. les logs viennent toujours d'un opérateur de djakarta.
heureusement les deux sites qui ont le module ne sont pas des vraies boutiques en ligne, pas de client, de ventes, de paiement. Ce sont en plus des sites en début de mise en place.
de toutes façons je t'appellerai avant fin de semaine, pour te tenir au courant des évolutions sur les 2 autres sites ont on avait parlé.
par acquit de conscience (et conseil de l'éditeur) j'ai modifié tous les accès: hébergement, ftp, prestashop.
je t'envoie quand même le fichier si tu veux.
Bonne soirée
Bruno
 

[BrunoJWest]

Bonjour,
pour clôturer le sujet.
La faille, qui en était une et qui était bien l'upload utilisé par le module a été corrigée.
L'éditeur a donc finalement sorti une nouvelle version, qui outre l'adresse IP, vérifie les suffixes, génère un jeton vérifié, et utilise encore 4 autres protections sérieuses sur les noms des fichiers, sur el cointenu uploadé, etc etc que je ne veux pas détailler ici en public.
Ceci a été validé par Prestashop qui a pris aussi la faille avec sérieux.
je remercie donc Jean-marc de vinum Master.

 

Au passage j'ai contrôlé les deux sites (qui sont, je le rappelle des TOUT PETITS Prestashop sans vente sans client dans lequels j'avais enlevé le maximum de modules), tous les logs, tous les index.php, les php.ini; les htaccess quand il y en a, les dates de modifs de chaque module. j'ai moduifié la totalité des accs y compris BD,hébergement et FTP et et j'en ai aussi profité après avoir constaté que ça pouvait aller, pour faire dans les deux cas une mise à jour 1.6.1.11 qui fonctionne bien. Pas d'autre intrusion à signaler depuis la mise à jour du module,
 

Bruno

Edited January 30, 2017 by BrunoJWest (see edit history)

[coeos.pro]

je vais aussi répondre à coeos.pro lorsqu'il écrit que le problème n'est "certainement pas" le module de vinum master, après deux propos qui frisaient la "leçon"

==> Raté, c'était bien ce module et ça a été corrigé, et la faille était bien là. Désolé si j'ai été le premier à la signaler. Et tout a été pris avec méthode par le concepteur de manière très constructive, qui lui, n'a pas commencé par estimer que je racontais des bêtises ou que je n'y connaissais rien.

Les faits sont les faits, j'ai essayé à mon petit niveau de les décrire.

Je n'ai pas vocation à devenir ingénieur es sécurité sur prestashop.

il serait bon quand on possède un savoir technique, de se mettre à la hauteur des utilisateurs du forum sans trop de condescendance, ne serait-ce que pour éviter de les décourager de continuer à utiliser prestashop.

Je pense que c'est juste une question de forme, mais je voulais le dire. Je peux en discuter en MP si ça intéresse 

Bien cordialement

Bruno

 

 

 

Je suis sur ce forum depuis des années, et des failles de sécurité sur des modules on n'en voit très rarement, les autres personnes sur le forum pourront te le confirmer, ils sont la aussi depuis des années.

Par contre les failles de sécurités des modules prestashop, ça c'est quand même plus fréquent, et il  y a quelque mois c'était quotidien.

 

Il est donc tout à fait logique de dire qu'une faille proviens "certainement"  d'un module prestashop.

 

Je ne comprend l'utilité de ton dernier message ? te payer ma tête ? j'ai essayer de t'aider et de comprendre le problème : https://www.prestashop.com/forums/topic/590495-r%C3%A9solu-configurateur-de-th%C3%A8me-vinum-masters-attaque-signal%C3%A9e-par-mon-h%C3%A9bergeur/?do=findComment&comment=2492986  et https://www.prestashop.com/forums/topic/590495-r%C3%A9solu-configurateur-de-th%C3%A8me-vinum-masters-attaque-signal%C3%A9e-par-mon-h%C3%A9bergeur/#entry2493361 

[BrunoJWest]

oula ... réponse en MP.
pb d'interprétation je crois.

[BrunoJWest]

Pour info : message de Prestashop addons du 31/01/17 :

 

Hello,

You purchased the Advanced Theme Configurator - Theme Maker module. We found out that the version you uploaded might have a security breach. The developer of this module has just published a new version fixing this issue. We strongly recommend you to upgrade your module and execute the following steps:
 

1.       Check that neither .php nor .ini file are in the /modules/vm_advancedconfigurator/views/img/ folder except for the index.php that should not have been modified;

2.       Check that no new user has been created to access your back-office, your database and your ftp;

3.       In the case where you find out that a new user was created, remove the added files and change all your access (back-office, database, FTP). If you update your database access, don’t forget to also update your database file /config/settings.inc.php;

4.       Uninstall the previous version of your module and delete the folders. IN ORDER TO KEEP THE MODIFICATIONS DONE ON YOUR THEME, we advise you to keep the following file: /modules/vm_advancedconfigurator/views/css/mythemeX.css (where X is your shop ID). Please note that if you keep it, you won’t be able to modify it anymore;

5.       Install the new version of the module available in your customer account.

For any question, please contact directly the developer!

 

Have a nice day,
The PrestaShop Addons team" 

[Les Folles Marquises]

Pour info : message de Prestashop addons du 31/01/17 :

 

 

Hello,

You purchased the Advanced Theme Configurator - Theme Maker module. We found out that the version you uploaded might have a security breach. The developer of this module has just published a new version fixing this issue. We strongly recommend you to upgrade your module and execute the following steps:

 

1.       Check that neither .php nor .ini file are in the /modules/vm_advancedconfigurator/views/img/ folder except for the index.php that should not have been modified;

2.       Check that no new user has been created to access your back-office, your database and your ftp;

3.       In the case where you find out that a new user was created, remove the added files and change all your access (back-office, database, FTP). If you update your database access, don’t forget to also update your database file /config/settings.inc.php;

4.       Uninstall the previous version of your module and delete the folders. IN ORDER TO KEEP THE MODIFICATIONS DONE ON YOUR THEME, we advise you to keep the following file: /modules/vm_advancedconfigurator/views/css/mythemeX.css (where X is your shop ID). Please note that if you keep it, you won’t be able to modify it anymore;

5.       Install the new version of the module available in your customer account.

For any question, please contact directly the developer!

 

Have a nice day,

The PrestaShop Addons team" 

 

Bonjour à tous.

A propos de ce mail, faut-il effectivement désinstaller et réinstaller le module ou bien suffit-il de faire la mise à jour ?

En cas de désinstallation, dois-je supprimer sur mon serveur tout le dossier /modules/vm_advancedconfigurator ? Ou sera-t-il supprimé automatiquement ?

Je débute et j'ai peur de faire une boulette...

Merci pour votre aide !

[lochot]

Étant donné le résultat de la faille découverte, il serait plus prudent de supprimer le dossier.

[Les Folles Marquises]

Étant donné le résultat de la faille découverte, il serait plus prudent de supprimer le dossier.

C'est fait. Merci !