BOT / SendtoFriend

[Need-Design]

 

Bonjour à toute la communauté, 

 

 

Vers 12h00 le serveur de notre client a été suspendu, car une faille dans l'un des modules "SendToFriend" du CMS Prestashop a été découverte. 

Cette faille permet d'injecter des requêtes et sature donc le serveur. 

 

Nous avons reçu une réponse rapide d'un technicien de Planethoster (notre hébergeur) nous indiquant la démarche à suivre.

 

Après avoir respecté les demandes du technicien (à savoir) : 

 

* Désactiver ou protéger avec un captcha le module "SendToaFriend" 

* Mettre à jour tous les CMS de votre hébergement ainsi que les modules/plug-ins/extension. 

* Vérifier qu’il n’y est pas de code malveillant sur votre FTP (merci de regarder aux dates de modification) 

* Changer le mot de passe cPanel/SQL/Emails par un mot de passe de 18 caractères comprenant des caractères spéciaux. 

* Passer l’antivirus (Scanneur de virus/Anti-Malware) depuis cPanel sur l’ensemble de votre hébergement et supprimer les fichiers contaminés. 

* Activer le SpamAssasin dans votre cPanel afin de limiter le nombre de courriels indésirables à la réception. 

----

Prestashop 1.6.1.2

 

Le technicien nous a de nouveau donnés les accès. 

 

Le module en question a été supprimé. Pour autant, le problème n'a pas été résolu. 

Le site nous fait un Timeout (On a accès au BO quand nous activons le mode maintenance via la base de données)

Le BOT continue d'injecter ses requêtes malgré que le module n'existe plus.  (Voir PJ)

 

Comme la cité le technicien : 

 

"Ceci est probablement lié à (SendToaFriend) qui reçoit toujours des requêtes malgré qu'il soit retiré." 

 

En effet, après une visite sur le Panel et dans l'outil "Visiteurs" nous remarquons encore les requêtes du BOT via plusieurs milliers de requêtes / IP. (Voir image PJ)

 

Depuis nous bataillons avec notre hébergeur qui veut nous faire passer vers un plan haute gamme. 

 

Avez-vous une démarche à suivre pour bloquer ces requêtes intempestives (.htaccess, etc..) ? 

 

Ça fait plus de 12 heures que nous envoyons des messages à notre hébergeur qui ne fait que retourner le problème sans solution. 

 

Je vous remercie,

Edited June 7, 2017 by Need-Design (see edit history)

[Need-Design]

Nous avons plus ou moins résolu le problème.
Nous fournissons la procédure au cas ou quelqu'un passe par la
 
Petit rappel :
 
Nous n'avons plus accès au Front-Office du fait que le BOT envoie des milliers de requêtes.
 
Du coup, on a dû activer le mode maintenance via phpMyAdmin -> Table "ps_configuration" -> "PS_SHOP_ENABLE (modifier) et changer la valeur 1 vers 0.
 
Après ça, le BOT ne pouvait plus fonctionner.
 
On a réinstallé "SendToFriend 1.9" et nous avons trouvé sur un forum Anglais qu'il fallait changer une ligne de code dans le dossier

www/module/sendtofriend/sendtoafriend_ajax.php
 

if (!$friendName || !$friendMail || !$id_product)

par

if (!$friendName || !$friendMail || !$id_product || !$module->context->cookie->customer_firstname)

Cette ligne permet au BOT de venir sur votre serveur, mais d'être rejeté, car il n'a pas le cookie d'authentification de Prestashop.
 
Du coup, nous avons réactivé le site et le BOT ne fonctionne plus (même temps de réponse qu'avant).

Info : Pour rappel, dès qu'on enlevé le mode maintenance nous n'avions plus accès au site au bout de deux minutes (ce n'est plus le cas depuis l'ajout de la nouvelle ligne de code au dessus. 
 
Seul problème, c'est que le BOT n'arrête pas son activité puisque ces requêtes sont en dehors de notre serveur.
Nous avons un excellent temps de réponse et plus de Timeout, mais nous voyons dans les LOGS serveur qu'il tente désespérément de rentrer.
Quelqu'un aurait une solution pour le BAN ? Sachant qu'il bombarde des milliers de requêtes minute avec des milliers d'adresse IP (voir Pj plus haut).
 
Pensez de suite à mettre à jour votre module "SendToFriend" en 1.9 (ou le supprimer / désactiver si vous l'utilisez pas). Faille connue depuis quasiment 1 an, mais qui reste un vrai problème pour votre boutique. 

Merci de votre retour

Edited June 7, 2017 by Need-Design (see edit history)

[doekia]

Supprimer le module ou le bloquer, et attendre. Lorsque un botnet s'en prend à ton shop ça peut être long a s'arrêter.

Si c'est un botnet provenant d'un même rang ip ou d'une seule ip (rare), il faut faire bloquer cette ip ou ce rang par l'hébergeur.

 

PS: Il faut impérativement supprimer le module (si non utiliser) car le désactiver permet quand même son usage

Edited June 7, 2017 by doekia (see edit history)

[Need-Design]

Bonjour,

 

Merci de votre retour. 

Il est encore la, mais il ne cause plus de problème. Je vais voir avec l'hébergeur pour bloquer les plages, mais je suis pas sur que ca soit des plages (Voir PJ en haut)

Je fais un retour dès que je peux.

 

Encore merci