Jump to content

PS 1.6 fichier xsamxadoo.php revient chaque jour


Recommended Posts

Bonjour,

Depuis quelques jours j'ai un fichier xsamxadoo.php qui revient chaque jour à la racine de mon site (PS 1.6).


J'ai scanné mon site, aucune trace de phpunit.


Y a t-il une solution pour stopper définitivement l'intrusion de ce fichier?

Cordialement.

Link to comment
Share on other sites

Il y a 1 heure, gouna a dit :

caché dans un dossier nommé "9789e8e1bf4e1511012a90f9be3cf871".

ces dossier existe car un souci fut rencontré lors de l'installation d'un module.

ces dossiers doivent être effacés à chaque fois que vous en voyez un. Mais pour cela il faut passer de temps en temps sur son FTP.

Link to comment
Share on other sites

Bonjour à tous,

J'ai le même souci par contre je suis 1.7. phpunit vérifié en janvier et de temps en temps avec l'outil de Webbax donc c'est propre a ce niveau la

Voici ce que j'ai remarqué, création d'un compte client le dimanche 16 aout à 21h55 avec adresse mail  [email protected]

Fichiers "bizarres" apparus dans racine ftp du site + dans modules, le 19 et 20 août :

image.png.abb103f8baabf897400eadc515918da0.png

image.png.ce8627d6b72a28cdb9b331b20360b4de.png

AdminLoginController aussi touché (avec attention la date de dernière modification ne change malgré des changements dedans)

Le fichier action.php vient de \modules\explorerpro ce module c'est bien File Explorer Pro ? on peut le virer ?

Actions réalisées à ce jour :

  • Changement de tous les logins et mdp de presta, ftp, BDD,...
  • Changement adresse pour le backoffice
  • J'ai supprimé ou remplacé les fichiers trouvés (avec comparaisons des fichiers du 16 et du 21) 

 

Comment trouver le point d'entrée ?

Est-ce que les actions que j'ai pris sont pour l'instant suffisant ?

Le dernier recours sera de faire un restore du 16 aout avec tous ce que cela impliquerait 😥.

Merci pour vous différents retours,

Olivier

Edited by Oliviezz (see edit history)
Link to comment
Share on other sites

Salut!

Désolé de détourner ce fil, mais j'ai également subi un incident comme celui-ci.

Il semble que dans mon cas, ils ont utilisé le module «sampledatainstall» pour télécharger des fichiers.

Deux répertoires ont été créés avec le contenu:

-----------------------------------------------

Hello!

Sorry to hijack this thread, but I have also suffered an incident like this.

It seems that in my case they used the 'sampledatainstall' module to upload files.

There were two directories created with the contents:

ls -la bajatax_xsamado
drwxr-xr-x  3 webuser451 webuser451    4096 Aug 22 03:07 .
drwxr-x--- 28 webuser451 webuser451    4096 Aug 22 00:57 ..
-rw-r--r--  1 webuser451 webuser451       0 Aug 20 17:10 bajatax_2020_2.php
-rw-r--r--  1 webuser451 webuser451   49027 Aug 20 20:59 bajatax.php
-rw-r--r--  1 webuser451 webuser451   50027 Aug 21 20:01 ctnlmkxfww.php
drwxr-xr-x  2 webuser451 webuser451 2371584 Aug 21 20:20 F0xAutoConfig
-rw-r--r--  1 webuser451 webuser451  170678 Aug 22 00:49 hkzpbdtvpy.php
-rw-r--r--  1 webuser451 webuser451   27178 Aug 22 03:07 inbox.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 20:20 kpulnkdoly.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 22 00:57 nkdrbmdbtt.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 22 00:49 nwltrocwlt.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 20:01 omqnzwriiw.php
-rw-r--r--  1 webuser451 webuser451     111 Aug 22 00:57 php.ini
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 20:26 pwlmljfoqr.php
-rw-r--r--  1 webuser451 webuser451  170668 Aug 22 02:48 sa.php
-rw-r--r--  1 webuser451 webuser451    1358 Aug 22 03:07 smtp.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 22:50 vnrgvyxmyv.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 22:18 ysavrhpabn.php

ls -la xsamxadoo
drwxr-xr-x  2 webuser451 webuser451  4096 Aug 21 15:19 .
drwxr-x--- 28 webuser451 webuser451  4096 Aug 22 00:57 ..
-rw-r--r--  1 webuser451 webuser451  4788 Aug 20 14:50 11fda8474be9d8c78826e3c2854f0dc2.php
-rw-r--r--  1 webuser451 webuser451   471 Aug 21 15:13 a1c2f4f30d7a62f1622e7dfaee89adc4.php
-rw-r--r--  1 webuser451 webuser451    35 Aug 19 05:18 bajatax.php
-rw-r--r--  1 webuser451 webuser451     7 Aug 20 15:58 bff325b6283c208b51fb2b92f6d219ad.php
-rw-r--r--  1 webuser451 webuser451 49025 Aug 21 15:19 e4730ce5f04e7d1d403085859d24d833.php
-rw-r--r--  1 webuser451 webuser451     7 Aug 19 05:18 ex_bajatax.php
-rw-r--r--  1 webuser451 webuser451   727 Aug 19 05:18 xsam_baja.php
-rw-r--r--  1 webuser451 webuser451    35 Aug 19 05:18 xsamxadoo.php

 

 

Link to comment
Share on other sites

Non^^

Les fichiers ont été copiés ici (et surement ailleurs) mais ce n'est pas la porte d'entrée.

La SEULE solution est d'effectuer un scan complet du ftp en recherchant tous les codes malicieux (même dans des images pour info) et mettre la main sur le module permettant l'upload sans un contrôle valable.

Une liste non exhaustive ici: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque/2

Link to comment
Share on other sites

20 minutes ago, Eolia said:

Non^^

Les fichiers ont été copiés ici (et surement ailleurs) mais ce n'est pas la porte d'entrée.

La SEULE solution est d'effectuer un scan complet du ftp en recherchant tous les codes malicieux (même dans des images pour info) et mettre la main sur le module permettant l'upload sans un contrôle valable.

Une liste non exhaustive ici: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque/2

Bonjour,

Merci pour votre retour. 

Quel style de code faut-il chercher ?  

J'ai l'impression que le point d'entrée c'est File Explorer Pro. 

Il n’y a pas un scan autre que XAttacker Tool ?

Merci pour votre aide

Olivier

Edited by Oliviezz (see edit history)
Link to comment
Share on other sites

Merci Ikaris

Je suis sous 1.7 et je n'ai pas le module sampledatainstall. 

Je viens de comparer avec WinMerge ma version "en principe" propre du 16 aout avec celle nettoyée maintenant et celle avec hack du 19 et 20. Je pense que le ménage est ok.

Y aura-t-il autres choses à vérifier ?

Merci pour vos retours,

Olivier

Link to comment
Share on other sites

  • 2 weeks later...

Bonjour à tous !

Je passe rapidement par ici pour confirmer que j'ai également eu un soucis avec "bajatax" fin aout, avec les premières requêtes sur "sampledatainstall" et "proexplorerer" une u ntruc du genre.

Bilan, gros bordel dans le site.

Bref, j'ai l'impression que ce virus est une nouvelle version du "xsamxadoo", car pas exactement le même nom.

 

Je suis désolé de pas être très précis, je fais un passage rapide pour poster ceci, avant de repasser plus tard avec c/c des logs et plus de détails.

Mais ne dites peut être pas si rapidement que "sampledatainstall" n'est pas en cause car pas dans liste des faillibles, avant d'être dans cette liste, les autres modules....n'y étaient pas ! :D

 

PS: c'est quoi ce forum qui n'accepte pas "protonmail.ch" pour s'inscrire ? On se croit sur un vieux site avec des règles dépassées depuis........longtemps.

Link to comment
Share on other sites

  • 1 month later...

Oups autant pour moi j'avais fais un ctrl+F sans le trouver.

J'ai déjà Security Pro - All in One comme module de sécurité qui me semble très bien mais qui apparemment ne protège pas jscomposer des attaques.

Il ne me reste plus qu'à trouver une alternative à jscomposer :/

Merci pour votre réponse Eolia!

Clément

Link to comment
Share on other sites

  • 1 year later...

Bonjour,

Après un scan avec notre hébergeur, ce dernier nous informer qu'il y a un virus sur l'hébergement  /modules/vtemskitter/img/xsam_xadoo_bot.php pouvez-vous svp nous aider à régler ce problème.

Merci d'avance

Bonne journée

Link to comment
Share on other sites

  • 4 weeks later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...