1.6 PS 1.6 fichier xsamxadoo.php revient chaque jour

[gouna]

Bonjour,

Depuis quelques jours j'ai un fichier xsamxadoo.php qui revient chaque jour à la racine de mon site (PS 1.6).

J'ai scanné mon site, aucune trace de phpunit.

Y a t-il une solution pour stopper définitivement l'intrusion de ce fichier?

Cordialement.

[Eolia]

En 1.6 aucun rapport avec PHPUNIT par contre c'est clair que vous avez un module qui a laissé rentrer le hacker (Verifiez les modules JMS)

tant qu'il restera des traces de hack ces fichiers reviendront systématiquement

[gouna]

Merci,

Je n'ai pas de modules JMS, par contre je viens de voir de nouveaux fichiers malicieux : bajatax.php, ex_bajatax.php, atx.php (??), hi.php (??), oop.php (?), etc...

[gouna]

A priori le module vérolé chez moi était : everpsorderoptions, caché dans un dossier nommé "9789e8e1bf4e1511012a90f9be3cf871".

Edited August 20, 2020 by gouna (see edit history)

[Mediacom87]

Il y a 1 heure, gouna a dit :

caché dans un dossier nommé "9789e8e1bf4e1511012a90f9be3cf871".

ces dossier existe car un souci fut rencontré lors de l'installation d'un module.

ces dossiers doivent être effacés à chaque fois que vous en voyez un. Mais pour cela il faut passer de temps en temps sur son FTP.

[gouna]

Merci.
J'ai encore le fichier bajatax.php qui revient dans mon dossier Modules, je cherche la cause du problème.

[Oliviezz]

Bonjour à tous,

J'ai le même souci par contre je suis 1.7. phpunit vérifié en janvier et de temps en temps avec l'outil de Webbax donc c'est propre a ce niveau la

Voici ce que j'ai remarqué, création d'un compte client le dimanche 16 aout à 21h55 avec adresse mail  [email protected]. 

Fichiers "bizarres" apparus dans racine ftp du site + dans modules, le 19 et 20 août :

AdminLoginController aussi touché (avec attention la date de dernière modification ne change malgré des changements dedans)

Le fichier action.php vient de \modules\explorerpro ce module c'est bien File Explorer Pro ? on peut le virer ?

Actions réalisées à ce jour :

• Changement de tous les logins et mdp de presta, ftp, BDD,...
• Changement adresse pour le backoffice
• J'ai supprimé ou remplacé les fichiers trouvés (avec comparaisons des fichiers du 16 et du 21) 

 

Comment trouver le point d'entrée ?

Est-ce que les actions que j'ai pris sont pour l'instant suffisant ?

Le dernier recours sera de faire un restore du 16 aout avec tous ce que cela impliquerait 😥.

Merci pour vous différents retours,

Olivier

Edited August 22, 2020 by Oliviezz (see edit history)

[wd-40]

Salut!

Désolé de détourner ce fil, mais j'ai également subi un incident comme celui-ci.

Il semble que dans mon cas, ils ont utilisé le module «sampledatainstall» pour télécharger des fichiers.

Deux répertoires ont été créés avec le contenu:

-----------------------------------------------

Hello!

Sorry to hijack this thread, but I have also suffered an incident like this.

It seems that in my case they used the 'sampledatainstall' module to upload files.

There were two directories created with the contents:

ls -la bajatax_xsamado
drwxr-xr-x  3 webuser451 webuser451    4096 Aug 22 03:07 .
drwxr-x--- 28 webuser451 webuser451    4096 Aug 22 00:57 ..
-rw-r--r--  1 webuser451 webuser451       0 Aug 20 17:10 bajatax_2020_2.php
-rw-r--r--  1 webuser451 webuser451   49027 Aug 20 20:59 bajatax.php
-rw-r--r--  1 webuser451 webuser451   50027 Aug 21 20:01 ctnlmkxfww.php
drwxr-xr-x  2 webuser451 webuser451 2371584 Aug 21 20:20 F0xAutoConfig
-rw-r--r--  1 webuser451 webuser451  170678 Aug 22 00:49 hkzpbdtvpy.php
-rw-r--r--  1 webuser451 webuser451   27178 Aug 22 03:07 inbox.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 20:20 kpulnkdoly.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 22 00:57 nkdrbmdbtt.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 22 00:49 nwltrocwlt.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 20:01 omqnzwriiw.php
-rw-r--r--  1 webuser451 webuser451     111 Aug 22 00:57 php.ini
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 20:26 pwlmljfoqr.php
-rw-r--r--  1 webuser451 webuser451  170668 Aug 22 02:48 sa.php
-rw-r--r--  1 webuser451 webuser451    1358 Aug 22 03:07 smtp.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 22:50 vnrgvyxmyv.php
-rw-r--r--  1 webuser451 webuser451     946 Aug 21 22:18 ysavrhpabn.php

ls -la xsamxadoo
drwxr-xr-x  2 webuser451 webuser451  4096 Aug 21 15:19 .
drwxr-x--- 28 webuser451 webuser451  4096 Aug 22 00:57 ..
-rw-r--r--  1 webuser451 webuser451  4788 Aug 20 14:50 11fda8474be9d8c78826e3c2854f0dc2.php
-rw-r--r--  1 webuser451 webuser451   471 Aug 21 15:13 a1c2f4f30d7a62f1622e7dfaee89adc4.php
-rw-r--r--  1 webuser451 webuser451    35 Aug 19 05:18 bajatax.php
-rw-r--r--  1 webuser451 webuser451     7 Aug 20 15:58 bff325b6283c208b51fb2b92f6d219ad.php
-rw-r--r--  1 webuser451 webuser451 49025 Aug 21 15:19 e4730ce5f04e7d1d403085859d24d833.php
-rw-r--r--  1 webuser451 webuser451     7 Aug 19 05:18 ex_bajatax.php
-rw-r--r--  1 webuser451 webuser451   727 Aug 19 05:18 xsam_baja.php
-rw-r--r--  1 webuser451 webuser451    35 Aug 19 05:18 xsamxadoo.php

 

 

[Eolia]

Non^^

Les fichiers ont été copiés ici (et surement ailleurs) mais ce n'est pas la porte d'entrée.

La SEULE solution est d'effectuer un scan complet du ftp en recherchant tous les codes malicieux (même dans des images pour info) et mettre la main sur le module permettant l'upload sans un contrôle valable.

Une liste non exhaustive ici: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque/2

[Oliviezz]

20 minutes ago, Eolia said:

Non^^

Les fichiers ont été copiés ici (et surement ailleurs) mais ce n'est pas la porte d'entrée.

La SEULE solution est d'effectuer un scan complet du ftp en recherchant tous les codes malicieux (même dans des images pour info) et mettre la main sur le module permettant l'upload sans un contrôle valable.

Une liste non exhaustive ici: https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque/2

Bonjour,

Merci pour votre retour. 

Quel style de code faut-il chercher ?  

J'ai l'impression que le point d'entrée c'est File Explorer Pro. 

Il n’y a pas un scan autre que XAttacker Tool ?

Merci pour votre aide

Olivier

Edited August 23, 2020 by Oliviezz (see edit history)

[wd-40]

Je crois que dans mon cas, le point d'entrée était un POST vers: 

I believe in my case the entrypoint was a POST to:

/modules/sampledatainstall/sampledatainstall-ajax.php?action=bajatax HTTP/1.1

[ikaris]

Bonjour

Si ça peux aider (je suis en 1.6.0.14) , moi depuis que j'ai viré le module sampledatainstall j'ai pas eu de nouvelle injection de code même si le robot continue de venir me voir

voir mon sujet : lien

 

Edited August 23, 2020 by ikaris (see edit history)

[Oliviezz]

Merci Ikaris

Je suis sous 1.7 et je n'ai pas le module sampledatainstall. 

Je viens de comparer avec WinMerge ma version "en principe" propre du 16 aout avec celle nettoyée maintenant et celle avec hack du 19 et 20. Je pense que le ménage est ok.

Y aura-t-il autres choses à vérifier ?

Merci pour vos retours,

Olivier

[AhBahOups]

Bonjour à tous !

Je passe rapidement par ici pour confirmer que j'ai également eu un soucis avec "bajatax" fin aout, avec les premières requêtes sur "sampledatainstall" et "proexplorerer" une u ntruc du genre.

Bilan, gros bordel dans le site.

Bref, j'ai l'impression que ce virus est une nouvelle version du "xsamxadoo", car pas exactement le même nom.

 

Je suis désolé de pas être très précis, je fais un passage rapide pour poster ceci, avant de repasser plus tard avec c/c des logs et plus de détails.

Mais ne dites peut être pas si rapidement que "sampledatainstall" n'est pas en cause car pas dans liste des faillibles, avant d'être dans cette liste, les autres modules....n'y étaient pas ! :D

 

PS: c'est quoi ce forum qui n'accepte pas "protonmail.ch" pour s'inscrire ? On se croit sur un vieux site avec des règles dépassées depuis........longtemps.

[Eolia]

https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risque

sampledatainstall et d'autres ont été ajoutés à la liste^^

[Blue Bear]

Bonjour,

 

Vous pouvez également ajouter jscomposer à la liste, un vrai gruyère pour xsam ou bajax...

Personnellement je suis toujours à la recherche d'un moyen efficace afin de me protéger de ce type d'attaque.

Bonne journée,

Clément

[Eolia]

il y est déjà^^

Pour se protéger il y a un module très puisant écrit par @doekia https://store.enter-solutions.com/fr/81-es-antispam-securite.html et surtout éviter tous les modules passoires de la liste ci-dessous (et/ou certains modules gratuits non-certifiés)

[Blue Bear]

Oups autant pour moi j'avais fais un ctrl+F sans le trouver.

J'ai déjà Security Pro - All in One comme module de sécurité qui me semble très bien mais qui apparemment ne protège pas jscomposer des attaques.

Il ne me reste plus qu'à trouver une alternative à jscomposer :/

Merci pour votre réponse Eolia!

Clément

[toomed]

Bonjour,

Après un scan avec notre hébergeur, ce dernier nous informer qu'il y a un virus sur l'hébergement  /modules/vtemskitter/img/xsam_xadoo_bot.php pouvez-vous svp nous aider à régler ce problème.

Merci d'avance

Bonne journée

[Eolia]

Il faut commencer par bloquer l'accès au site puis effectuer un scan complet et supprimer / corriger les fichiers infectés et ensuite trouver l'origine (souvent un module tiers ou un WP)

[toomed]

svp comment bloquer l'accès au site parce que je suis débutant en prestashop et comment faire un scan complet. Merci d'avance pour votre réponse

[Eolia]

renommer le répertoire /www ou /public_html

J'ai répondu à votre MP

[toomed]

par quoi on peut renommer /public_html et comment effectuer un scan complet. Merci d'avance

[El Patron]

Vous trouverez ce module très utile pour protéger les futures insertions de virus.