Hack Prestashop sur la page de paiement - nettoyage

[Fahmid]

Thank you @Eolia. I loved your help. You are nice and knowladgeable. I restored /classes /controllers /tools . Also I attached the update report. 

I have a question. Before i did those my website infected with fake payment gatway injected by hacker. Will this problem solve now? or I have to do anything else? Please guide me. 

 

Edited October 24 by Fahmid (see edit history)

[Nickz]

1 minute ago, Fahmid said:

Will this problem solve now?

That'd depend on having the entrance hole closed shut or not.

[Eolia]

Check this file from the original one

Restore this files

Delete the module Gamification from your BO (this module is useless)

And CHANGE ALL EMPLOYEES PASSWORDS !

[Fahmid]

@Eolia I have redtored those Controlling JS scripts: which are red warnings form the ps version 1.6.1.4 and then restart the script again. but red warings are there yet. What can I do now?

 

Edited October 24 by Fahmid (see edit history)

[Fahmid]

@Nickz How can I understand entrance hole closed shut or not ?

[Eolia]

Il y a 3 heures, Fahmid a dit :

@Eolia I have redtored those Controlling JS scripts: which are red warnings form the ps version 1.6.1.4 and then restart the script again. but red warings are there yet. What can I do now?

FireShot Capture 033.pdf 3.18 Mo · 0 downloads

Hum... i don't know if your site is really on 1.6.1.4 version (sometimes files/versions are not correct if an old upgrade has failed)

[Nickz]

7 hours ago, Fahmid said:

How can I understand entrance hole closed shut or not ?

in a hack there are several entrances. Those need to be closed.
If someone has got hold of your passwords, you need to change those plus the loginpage needs to move.
Its a module than you need to find their way to enter your shop.

Its the hosting, than you need to move.

[AcidLava]

On 10/15/2024 at 3:20 PM, Eolia said:

A priori c'est votre système qui a été infecté. Redémarrez complètement votre machine.

Bonjour Eolia, aujourd'hui et après 1 semaine sans aucun problème, le site a de nouveau été infecté. Quand vous disiez que le système a été infecté, cela signifie-t-il que ce hack serait indépendant de Prestashop ?

[Eolia]

Infections possibles:

- Autre cms non-protégé sur le même hébergement (Presta, WordPress ou autre)

- Vol des identifiants employés (le hacker se logue à la place d'un employé et installe un module qui lui sert à naviguer sur le ftp et déposer ses infections puis supprime le module)

- Module externe non sécurisé (Cleaner vous donne une liste des modules à contrôler utilisant des fonctions sensibles)

- Infection non détectée car n'utilisant pas de code spécialement dangereux à priori mais ajoutée dans un module

- Virus sur votre PC qui récupère vos mots de passe (hébergeur, ftp, etc...) lorsque vous les entrez au clavier

- etc...

[AcidLava]

@Eolia Comment expliquer que j'ai toujours une erreur 403 en accédant à cleaner.php alors que index.php et le .htaccess sont ok (à la racine) ? Est-ce que d'autres fichiers à d'autres niveaux de l'arborescence peuvent avoir un impact ?

[AcidLava]

EDIT : J'ai trouvé un .htaccess corrompu à la racine même de l'hébergement, donc 2 niveaux avant mon Prestashop production. Maintenant que je l'ai mis à jour, je peux bien accéder à cleaner.php mais j'obtiens l'erreur suivante :

Ce script doit être placé à la racine de votre site (là où est installé votre Prestahop sur votre ftp) et nulle part ailleurs

Pourtant cleaner.php est bien à la racine de mon Prestashop prod.

[Eolia]

Cleaner cherche le fichier init.php à la racine du site, ce fichier doit manquer chez vous (et ce n'est pas normal)

[Essemme_Forniture]

On 12/23/2022 at 3:26 PM, Mediacom87 said:

• Utiliser un module comme https://www.prestatoolbox.fr/modules-gratuits/115-crontab.html
• Créer une nouvelle tâche cron sur le serveur concerné
• Passer par un service de type webcron comme easycron

Salut les gars, je me bats avec ce hacker depuis presque un an maintenant et je n'ai toujours pas réussi à le tenir à l'écart... cependant, quelqu'un peut-il me dire comment recevoir un email lorsque le cronjob a détecté quelque chose mauvais? parce qu'en utilisant easycron, je n'obtiens rien. Merci

[Mediacom87]

Il y a 2 heures, Essemme_Forniture a dit :

Salut les gars, je me bats avec ce hacker depuis presque un an maintenant et je n'ai toujours pas réussi à le tenir à l'écart... cependant, quelqu'un peut-il me dire comment recevoir un email lorsque le cronjob a détecté quelque chose mauvais? parce qu'en utilisant easycron, je n'obtiens rien. Merci

Le script Cleaner envoie un rapport à chaque lancement à l'email de la boutique.

 

[Eolia]

il y a 7 minutes, Mediacom87 a dit :

Le script Cleaner envoie un rapport à chaque lancement à l'email de la boutique.

 

Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté.

Edited Tuesday at 03:42 PM by Eolia (see edit history)

[Mediacom87]

il y a 22 minutes, Eolia a dit :

Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté.

Merci pour cette précision.

[Essemme_Forniture]

On 11/12/2024 at 4:41 PM, Eolia said:

Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté.

Je n'avais qu'un superadmin, dois-je donc en créer un spécifiquement pour AMDIN ?

Merci

[Eolia]

Non un superadmin est admin

Si vous êtes chez OVH les mails ne partent pas en tâche Cron, je ne cherche même plus à savoir pourquoi...

[Essemme_Forniture]

14 hours ago, Eolia said:

Non un superadmin est admin

Si vous êtes chez OVH les mails ne partent pas en tâche Cron, je ne cherche même plus à savoir pourquoi...

eheheh non non pas OVH, jamais de la vie par contre ils ne viennent même pas du mien malheureusement, j'ai cru devoir activer certaines choses moi-même. Merci

[Jrbzh]

 

Bonjour, j'ai un de mes sites qui est attaqué (Merci cleaner pour la suppresion de la menace ) Merci beaucoup @Eolia

Par contre j'ai plein de fichier JS en rouge et pas mal de fichier en orange. Je ne sais pas trop par quoi commencer

Edit : du coup j'ai recherché base64 via ssh et je les tous remplacé Du coup j'ai remplacé les fichier JS aussi mais c'est toujours pareil

Pour les fichiers en Orange je ne sais pas quoi faire

 

Merci

Edited Friday at 07:53 AM by Jrbzh (see edit history)

[Mediacom87]

Il y a 11 heures, Jrbzh a dit :

Edit : du coup j'ai recherché base64 via ssh et je les tous remplacé Du coup j'ai remplacé les fichier JS aussi mais c'est toujours pareil

J'espère que ces fichiers d'origine n'ont pas besoin de ce genre de code.

Il y a 11 heures, Jrbzh a dit :

Pour les fichiers en Orange je ne sais pas quoi faire

Cela dépend des fichiers, du code, de leur différence par rapport à l'origine. Dans tous les cas, le problème, c'est de boucher la faille de sécurité qui a permis le piratage, pas juste de réparer ce qui fut touché.

[Jrbzh]

12 minutes ago, Mediacom87 said:

J'espère que ces fichiers d'origine n'ont pas besoin de ce genre de code.

Cela dépend des fichiers, du code, de leur différence par rapport à l'origine. Dans tous les cas, le problème, c'est de boucher la faille de sécurité qui a permis le piratage, pas juste de réparer ce qui fut touché.

 

Merci pour la réponse

J'ai remplacé les fichier JS par les fichiers d'origine   mais il reste en rouge

Pour les fichier orange la plus part j'ai remit les fichier d'origine mais il reste en orange  ce sont des modules

 

 

[Mediacom87]

il y a 22 minutes, Jrbzh a dit :

Pour les fichier orange la plus part j'ai remit les fichier d'origine mais il reste en orange  ce sont des modules

Comme cela est précisé sur le script, en orange ce sont des fichiers intégrant des bouts de code potentiellement dangereux, donc il faut s'assurer que le code est propre.

[Eolia]

Je vais me répéter encore une fois mais c'est nécessaire à priori:

- Cleaner est un outil, pas une solution

- Cleaner nettoie ce dont il est sûr d'être une infection, pour le reste seul un humain peut décider quoi faire

- Cleaner vous donne une explication ou un conseil facile à comprendre à chaque ligne

- Ce qui est en rouge doit impérativement être traité

- Un fichier cœur modifié doit être remplacé par l'original de votre version  (et non pas ouvert, copié/collé ou modifié et enregistré)

- Ce qui est en orange doit être analysé, si vous ne savez pas faire demandez à un pro.

- Si vous avez été infecté vous devez IMPERATIVEMENT changer les mots de passe de TOUS les employés