1&1 Attaque sur votre contrat

[ellada]

Hello à tous,

 

depuis quelques temps déjà je reçois de la part de 1&1 des alertes soit disant suite à leur analyse du site, certains fichiers ont étés ajoutés par un tiers. Malgré plusieurs tentatives de nettoyage (suppression des fichiers et changement des droits sur les dossiers) ils continuent de m'envoyer ce type de message. Bien entendu ils me proposent bien gentiment de payer pour qu'ils fassent le nettoyage...

 

Avez-vous déjà eu affaire à cela ?
Avez vous quelques conseils pour moi qui suis désespéré ??

 

 

Je suis sur la version prestashop 

1.6.0.11

 

Tous les modules sont à jours.

 

Merci merci pour votre aide 

 

——————————————————

Voici l'exemple d'un message:

 

Comme annoncé par e-mail, nous vous adressons via ce message le résultat de notre analyse.

 

Vous trouverez ci-après la liste complète des fichiers nuisibles issues de notre analyse est disponible ici :

 

<voir plus bas> 

 

Afin de sécuriser votre contrat avec 1&1, veuillez suivre les étapes suivantes :

 

(A) Nettoyer ou supprimer les fichiers nuisibles

 

1. Cliquez sur le lien ci-dessus et identifiez-vous à l'aide du nom d'utilisateur et du mot de passe FTP. Vous pouvez également utiliser un logiciel FTP (comme par exemple FileZilla) pour récupérer le fichier se trouvant dans le dossier suivant :

./logs/forensic/

 

2. Le fichier journal contient des informations plus détaillées concernant les fichiers nuisibles. Veuillez suivre les indications présentes dans celui-ci.

 

3. Pour que votre site Web soit à nouveau accessible, modifiez, après désinfection, les droits des fichiers de 200 à 604. Pour les dossiers, modifiez les droits de 700 à 705. Ces droits sont nécessaires au bon affichage de votre site Web.

 

Vous n'êtes pas encore sûr par où vous devez commencer ? Est-ce que vous souhaitez que votre site Web soit rapidement désinfecté ? Notre Service de nettoyage de l'espace qui est payant désinfecte en un clin d'oeil votre site Web.

 

Nos experts répondent à toutes vos questions concernant ce service et sont à votre disposition du lundi au vendredi de 08:30 à 20:00 au 0970 808 911 (appel non surtaxé).

 

Vous pouvez également répondre à cet e-mail. Veuillez indiquer notre référence [Ticket AB103908555] dans votre message.

 

( Voici comment vous protéger à l'avenir

 

1. Si vous utilisez un CMS comme WordPress ou Joomla!, nous vous recommandons de le mettre à jour, ainsi que les plug-ins et thèmes de ce dernier, vers la dernière version.

 

2. Par mesure de sécurité, dans le cas où vos données d'accès auraient été relevées par un tiers, veuillez modifier vos mots de passe.

 

3. Assurez-vous que vos appareils (PC, Mac, tablettes ou smartphones) ne sont pas infectés par des logiciels malveillants. Vous accéderez à une sélection de logiciel anti-virus gratuit en suivant le lien ci-après. Vous pourrez ainsi supprimer les logiciels malveillants.

 

https://www.botfree.eu/en/eucleaner/

 

 

 

Vous trouverez ci-dessous le résultat de notre analyse.
Afin que votre site web fonctionne après nettoyage, il vous faudra rétablir les droits 604 sur vos fichiers .

Selon toute vraisemblance, les fichiers suivant ont été chargés par un tiers.
Veuillez vérifier ces fichiers et les supprimer si nécessaire.
/modules/wsd145.php

Selon toute vraisemblance, les fichiers suivant ont été modifiées par un tiers.
Veuillez vérifier ces fichiers et si nécessaire chargez une copie de ces fichiers provenant d'une sauvegarde non infectée sur votre espace web.
/modules/pk_vertflexmenu/uploads/hous.xxx
/modules/img.php
/pk_flexmenu/uploads/hous.xxx

Mon site: https://elladabijoux.com/

 

 

[Matt75]

Salut,

 

Un peu de lecture : https://www.prestashop.com/forums/topic/544580-importantes-failles-de-s%C3%A9curit%C3%A9-sur-plusieurs-modules-et-th%C3%A8mes

Dans la dernière page, il est signalé que les modules pk_flexmenu et ceux appartenant à la même famille sont concernés, je lis dans ton message que tu as le module pk_vertflexmenu...

 

Il faut que tu mettes à jour ton thème et les modules associés et ce serait bien aussi de mettre à jour Prestashop.

Bien sûr, il faudra également nettoyer ton serveur qui doit être infesté de fichiers douteux...

 

Bon courage

A+

[doekia]

Il faut identifier la source de la pénétration et ensuite passer plusieurs heures (si tu sais comment faire) à inspecter ton install pour d'autres portes probablement ajoutées et tous les contenus parasites remontés par 1&1.

 

Si tu ne sais pas exactement comment faire (ce que laisse envisager ton message), je te conseille d'avoir une intervention (payante) de la part de quelqu'un qui saura désinfecter ton shop.

[ellada]

Merci beaucoup pour vos retours, j'ai pas mal de lecture

 

Oui, concernant le nettoyage, je me suis contenté de faire ce que préconisait 1&1 je vais regarder plus en détails si je peux me débrouiller seul, sinon je ferais surement appel a mieux sachant que moi.

 

Une question: est-ce que cela impact les ventes du site, ou les clients ?

[doekia]

On se fout de tes ventes.

Ta boutique est un repaire de frelon. Ton hébergeur devrait bientôt te couper et de toute manière google va te pénaliser.

Chaque heure que tu perds de nouveau hacker s'invitent dans ton shop, potentiellement tes données sont volées ou bientôt. Tes accès, ta base de données, les commande de tes client et toute autre information sur ton hébergement sont en danger

Edited September 9, 2017 by doekia (see edit history)

[ellada]

J'ai recontacté l'éditeur du thème et des modules (Marek Promokit). Il m'avait transmis à l'époque un fix sur son module ajoutant un fichier upload.php

Cela n'a pas été efficace.

 

J'attend son retour car, pour moi si le problème vient bien de ses modules, malgré tout laborieux nettoyage et maj si le problème n'est pas résolu sur le module en question, les problèmes vont revenir... N'est-ce pas ?

 

Doekia dis moi ce que tu préco

(je vais te MP).

 

Merci

 

(ps: le but de presta c'est bien de vendre quelque chose...)