Base de donnée vérolée au niveau du cache. Help !

[Smodjo]

Bonjour à tous,

Je tourne sur presta 1.6 depuis 2014. Jusqu'ici aucun problème rencontré.

Sauf que depuis une quinzaine de jours, je suis confronté à une surcharge absolument infame de mon cache smarty.

Et au vu des fichiers je pense (voir fichier joint) qu'il s'agit d'une très beau virus.

Mon cache s'accroit de 500 dossiers par heure. Au total ce sont plus de 200Mo et 50000 dossiers et sous dossiers qui se sont créés en une dizaine de jours. Le rythme est effréné. Je passe mon temps à supprimer ces sal......

Le dossier cache lié au module ADTM (advanced top menu) est exclisvement visé.

Pour le moment aucun incidence sur les moteurs de recherches mais viendra le jour où mon site sera reconnu comme dangereux.

 

Je ne trouve pas la source.

Auriez des pistes à me donner ?

Je vous remercie de votre aide.

 

Olivier.

 

[Smodjo]

Que le cache se remplisse certes, mais je rencontre ce problème uniquement sur le cache d'un seul module.
Mon site vend des produits d'aménagement de jardin.

Au délà des fichiers cache haibutels (catégorie, produits, pages...) Je me retrouve avec la création de centaines voir milliers de dossier sur...
Federation russie, Lunette soleil, Voyage, Rencontre, produits de beauté etc... et ce en n'importe quelle langue.
J'ai encaissé pas loin de 200Mo en 15j à peine. Et 200Mo en dossier et fichiers de 5ko à peine ca commence a faire...

Ce n'est pas comme si ce problème existait depuis le création de mon site (soit 2ans et demi).
Je maintiens qu'il y a quelquechose qui cloche.

J'ai pour le moment désactivé le cache du module. Je ne peux pas m'amuser à effacer toutes les heures 1000 dossiers incongrus

[Oron]

Bonjour

 

Regardez les log d'accès quel sont les IP qui accident et combien de ligne avec une seule IP, faites des recherches sur l'origine des iP

Je ne sais pas si ces dossiers sur votre copie d'écran sont des dossiers de votre site, mais au cas où que certain ne serait pas de vous, c'est des robots qui font des recherches au hasard sur divers sites.

 

Vous pouvez les détecter en vérifiant les IP et le temps qu'ils restent et le temps entre deux pages..

Vous avez au niveau de l'hebergement un access.log et un error.log

[rouhaud]

Bonjour,

j'ai refait 2 fois mon site web completement suite a l'implantation d'un script qui envoyer du spam, pour trouver le coupable : je te conseille de telecharger depuis la racine de ton site tous les dossier et fichier de ton site web sur ton PC. ensuite lance une analyse antivirus sur ce dossier et normalement il trouvera le script qui bouffe ton cache.

Une fois l'analyse terminé efface les fichier sur ton ftp

chez moi ca ma bien sorti de la merde.

bon courage

[Smodjo]

Merci pour vos réponses !
Rouhaud, je te remercie j'ai fait une sauvegarde de ma base de donnée mais rien de concluant après analyse.

J'ai suspendu le cache de mon module advanced top menu. Je règle pas le problème mais disons que je le suspend.

Pas d'anomalie détectée pour le moment sur d'autres dossiers.

Oron,
Quelques bots un peu étrange detectés. Je ne sais pas si il y a moyen de bloquer certaines ip. Je pense qu'ils doivent avoir des ip aléatoires en plus...

Bref je vous tiens au courant. La situation est maitrisée mais pas résolue.

[Deasy-Oak]

j'aimerais bien savoir qui est le developpeur de ton module advanced top menu...

[Smodjo]

Le module est le suivant : https://addons.prestashop.com/fr/menu/2072-advanced-top-menu-responsive.html

Module super connu developpé par Presta Module

[Deasy-Oak]

ok je m'en doutais, merci

[ChDUP]

presta-modules à priori.

 

si la version de ton module est ancienne, il est bien possible qu'il soit touché par la faille présente il y a quelques mois sur les modules proposant un upload de fichier.

Je suppose qu'ils l'ont rectifié depuis.

[Smodjo]

Chdup,
Je pense qu'on est sur la bonne voie avec ton message.

J'ai l'impression qu'il s'agit de sitemaps de sites en tout genre.

Ce qui veut dire qu'il va falloir que je rachète leur module... à 50 boules....
 

[ChDUP]

La faille dont je parlais concernait les modules permettant un upload depuis le front (sauf erreur ?)

je ne pense pas que ce module de menu permette cela, donc c'est probablement une mauvaise piste.

En revanche, une fois la backdoor installée depuis une faille d'un autre module, il est tout à fait possible de poser des fichiers n'importe où.

 

Mais la piste d'okom3pom semble plus prometteuse.

Si un bot tape au hasard des urls, et que ces urls servent de nom aux fichiers de cache, tout s'explique.

Mais ce comportement est bizarre tout de même.

Il y a des fichiers dans les repertoires de votre capture ?

que contiennent ces fichiers ?