Hack Prestashop sur la page de paiement - nettoyage

[Fahmid]

Thank you @Eolia. I loved your help. You are nice and knowladgeable. I restored /classes /controllers /tools . Also I attached the update report. 

I have a question. Before i did those my website infected with fake payment gatway injected by hacker. Will this problem solve now? or I have to do anything else? Please guide me. 

 

Edited October 24, 2024 by Fahmid (see edit history)

[Nickz]

1 minute ago, Fahmid said:

Will this problem solve now?

That'd depend on having the entrance hole closed shut or not.

[Eolia]

Check this file from the original one

Restore this files

Delete the module Gamification from your BO (this module is useless)

And CHANGE ALL EMPLOYEES PASSWORDS !

[Fahmid]

@Eolia I have redtored those Controlling JS scripts: which are red warnings form the ps version 1.6.1.4 and then restart the script again. but red warings are there yet. What can I do now?

 

Edited October 24, 2024 by Fahmid (see edit history)

[Fahmid]

@Nickz How can I understand entrance hole closed shut or not ?

[Eolia]

Il y a 3 heures, Fahmid a dit :

@Eolia I have redtored those Controlling JS scripts: which are red warnings form the ps version 1.6.1.4 and then restart the script again. but red warings are there yet. What can I do now?

FireShot Capture 033.pdf 3.18 Mo · 0 downloads

Hum... i don't know if your site is really on 1.6.1.4 version (sometimes files/versions are not correct if an old upgrade has failed)

[Nickz]

7 hours ago, Fahmid said:

How can I understand entrance hole closed shut or not ?

in a hack there are several entrances. Those need to be closed.
If someone has got hold of your passwords, you need to change those plus the loginpage needs to move.
Its a module than you need to find their way to enter your shop.

Its the hosting, than you need to move.

[AcidLava]

On 10/15/2024 at 3:20 PM, Eolia said:

A priori c'est votre système qui a été infecté. Redémarrez complètement votre machine.

Bonjour Eolia, aujourd'hui et après 1 semaine sans aucun problème, le site a de nouveau été infecté. Quand vous disiez que le système a été infecté, cela signifie-t-il que ce hack serait indépendant de Prestashop ?

[Eolia]

Infections possibles:

- Autre cms non-protégé sur le même hébergement (Presta, WordPress ou autre)

- Vol des identifiants employés (le hacker se logue à la place d'un employé et installe un module qui lui sert à naviguer sur le ftp et déposer ses infections puis supprime le module)

- Module externe non sécurisé (Cleaner vous donne une liste des modules à contrôler utilisant des fonctions sensibles)

- Infection non détectée car n'utilisant pas de code spécialement dangereux à priori mais ajoutée dans un module

- Virus sur votre PC qui récupère vos mots de passe (hébergeur, ftp, etc...) lorsque vous les entrez au clavier

- etc...

[AcidLava]

@Eolia Comment expliquer que j'ai toujours une erreur 403 en accédant à cleaner.php alors que index.php et le .htaccess sont ok (à la racine) ? Est-ce que d'autres fichiers à d'autres niveaux de l'arborescence peuvent avoir un impact ?

[AcidLava]

EDIT : J'ai trouvé un .htaccess corrompu à la racine même de l'hébergement, donc 2 niveaux avant mon Prestashop production. Maintenant que je l'ai mis à jour, je peux bien accéder à cleaner.php mais j'obtiens l'erreur suivante :

Ce script doit être placé à la racine de votre site (là où est installé votre Prestahop sur votre ftp) et nulle part ailleurs

Pourtant cleaner.php est bien à la racine de mon Prestashop prod.

[Eolia]

Cleaner cherche le fichier init.php à la racine du site, ce fichier doit manquer chez vous (et ce n'est pas normal)

[Essemme_Forniture]

On 12/23/2022 at 3:26 PM, Mediacom87 said:

• Utiliser un module comme https://www.prestatoolbox.fr/modules-gratuits/115-crontab.html
• Créer une nouvelle tâche cron sur le serveur concerné
• Passer par un service de type webcron comme easycron

Salut les gars, je me bats avec ce hacker depuis presque un an maintenant et je n'ai toujours pas réussi à le tenir à l'écart... cependant, quelqu'un peut-il me dire comment recevoir un email lorsque le cronjob a détecté quelque chose mauvais? parce qu'en utilisant easycron, je n'obtiens rien. Merci

[Mediacom87]

Il y a 2 heures, Essemme_Forniture a dit :

Salut les gars, je me bats avec ce hacker depuis presque un an maintenant et je n'ai toujours pas réussi à le tenir à l'écart... cependant, quelqu'un peut-il me dire comment recevoir un email lorsque le cronjob a détecté quelque chose mauvais? parce qu'en utilisant easycron, je n'obtiens rien. Merci

Le script Cleaner envoie un rapport à chaque lancement à l'email de la boutique.

 

[Eolia]

il y a 7 minutes, Mediacom87 a dit :

Le script Cleaner envoie un rapport à chaque lancement à l'email de la boutique.

 

Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté.

Edited November 12, 2024 by Eolia (see edit history)

[Mediacom87]

il y a 22 minutes, Eolia a dit :

Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté.

Merci pour cette précision.

[Essemme_Forniture]

On 11/12/2024 at 4:41 PM, Eolia said:

Pas exactement, il envoie un mail à l'adresse mail du dernier employé de type "Admin" connecté.

Je n'avais qu'un superadmin, dois-je donc en créer un spécifiquement pour AMDIN ?

Merci

[Eolia]

Non un superadmin est admin

Si vous êtes chez OVH les mails ne partent pas en tâche Cron, je ne cherche même plus à savoir pourquoi...

[Essemme_Forniture]

14 hours ago, Eolia said:

Non un superadmin est admin

Si vous êtes chez OVH les mails ne partent pas en tâche Cron, je ne cherche même plus à savoir pourquoi...

eheheh non non pas OVH, jamais de la vie par contre ils ne viennent même pas du mien malheureusement, j'ai cru devoir activer certaines choses moi-même. Merci

[Jrbzh]

 

Bonjour, j'ai un de mes sites qui est attaqué (Merci cleaner pour la suppresion de la menace ) Merci beaucoup @Eolia

Par contre j'ai plein de fichier JS en rouge et pas mal de fichier en orange. Je ne sais pas trop par quoi commencer

Edit : du coup j'ai recherché base64 via ssh et je les tous remplacé Du coup j'ai remplacé les fichier JS aussi mais c'est toujours pareil

Pour les fichiers en Orange je ne sais pas quoi faire

 

Merci

Edited November 15, 2024 by Jrbzh (see edit history)

[Mediacom87]

Il y a 11 heures, Jrbzh a dit :

Edit : du coup j'ai recherché base64 via ssh et je les tous remplacé Du coup j'ai remplacé les fichier JS aussi mais c'est toujours pareil

J'espère que ces fichiers d'origine n'ont pas besoin de ce genre de code.

Il y a 11 heures, Jrbzh a dit :

Pour les fichiers en Orange je ne sais pas quoi faire

Cela dépend des fichiers, du code, de leur différence par rapport à l'origine. Dans tous les cas, le problème, c'est de boucher la faille de sécurité qui a permis le piratage, pas juste de réparer ce qui fut touché.

[Jrbzh]

12 minutes ago, Mediacom87 said:

J'espère que ces fichiers d'origine n'ont pas besoin de ce genre de code.

Cela dépend des fichiers, du code, de leur différence par rapport à l'origine. Dans tous les cas, le problème, c'est de boucher la faille de sécurité qui a permis le piratage, pas juste de réparer ce qui fut touché.

 

Merci pour la réponse

J'ai remplacé les fichier JS par les fichiers d'origine   mais il reste en rouge

Pour les fichier orange la plus part j'ai remit les fichier d'origine mais il reste en orange  ce sont des modules

 

 

[Mediacom87]

il y a 22 minutes, Jrbzh a dit :

Pour les fichier orange la plus part j'ai remit les fichier d'origine mais il reste en orange  ce sont des modules

Comme cela est précisé sur le script, en orange ce sont des fichiers intégrant des bouts de code potentiellement dangereux, donc il faut s'assurer que le code est propre.

[Eolia]

Je vais me répéter encore une fois mais c'est nécessaire à priori:

- Cleaner est un outil, pas une solution

- Cleaner nettoie ce dont il est sûr d'être une infection, pour le reste seul un humain peut décider quoi faire

- Cleaner vous donne une explication ou un conseil facile à comprendre à chaque ligne

- Ce qui est en rouge doit impérativement être traité

- Un fichier cœur modifié doit être remplacé par l'original de votre version  (et non pas ouvert, copié/collé ou modifié et enregistré)

- Ce qui est en orange doit être analysé, si vous ne savez pas faire demandez à un pro.

- Si vous avez été infecté vous devez IMPERATIVEMENT changer les mots de passe de TOUS les employés

[Marz12]

Bonjour,

(j'ai peut-être manqué la réponse à cette question dans les posts précédents?)

est-ce que ce script fonctionne avec PS 8.x.x?

Je peux me tromper mais il semble ne pas détecter la version exacte de PS. De plus il m'indique certains fichiers comme vérolés mais ils sont identiques à ceux de la version en cours.

Un grand merci pour ce boulot, quoi qu'il en soit.

[Eolia]

Comme indiqué dans le script, celui-ci fonctionne avec les 8 mais le contrôle d'intégrité n'est pas effectué (contrôle des md5).

[Marz12]

OK merci.

Est-ce que tu as une idée de la raison pour laquelle il m'indique certains fichiers comme vérolés, mais ils sont identiques à ceux de la version en cours? (Version qui n'apparaît pas dans le résultat, il indique 8.0.0.0, ce qui pourrait expliquer le problème?)

Ce sont surtout des fichiers .js qui apparaissent infectés, ex.

Fichier JS infecté trouvé dans: ./js/jquery/plugins/jquery.pngFix.js 
>>> Supprimé: js/jquery/plugins/jquery.pngFix.js

Comme ensuite ils sont supprimés, ça fait hésiter à utiliser le script. Mais peut-être que je l'utilise mal?

Merci.

Version de Prestashop: 8.1.7

PHP: 8.1

[Eolia]

j'ai ajouté une exception pour les versions 8/9. La nouvelle mise à jour ne devrait plus vous les supprimer.

[AcidLava]

Bonjour,

Depuis ce matin et sur PS 1.7.8.11, je n'arrive plus à me connecter au back-office. J'ai lancé votre (génial) script, qui m'a ressorti une erreur qui semble de toute évidence être liée. J'ai supprimé le module ps_facetedsearch concerné, et relancé le script à plusieurs reprises, qui continue de corriger le problème en boucle avec toujours l'impossibilité de se connecter. Une idée ?

 

 

Edited December 27, 2024 by AcidLava (see edit history)

[Eolia]

Ben là ça sent pas bon.

ps_facetedsearch ne doit pas être responsable, par contre tous les fichiers php présents dans le repertoire /js ou /img doivent être supprimés.

Ecrasez le contenu des répertoires /classes et /controllers depuis l'archive de votre version pour commencer.

[Mediacom87]

Comme précisé, un nettoyage complet semble nécessaire et une sécurisation pour l'avenir indispensable.

[AcidLava]

Merci pour vos retours, j'ai pu rétablir l'accès. J'ai l'impression qu'il y a une grosse vague de piratage sur Prestashop en ce moment ? Quelles sont vos préconisations pour sécuriser les sites ? Mise à jour vers dernière version stable, mise à jour des modules et déploiement de CloudFlare ?

[Mediacom87]

Il y a 2 heures, AcidLava a dit :

Merci pour vos retours, j'ai pu rétablir l'accès. J'ai l'impression qu'il y a une grosse vague de piratage sur Prestashop en ce moment ? Quelles sont vos préconisations pour sécuriser les sites ? Mise à jour vers dernière version stable, mise à jour des modules et déploiement de CloudFlare ?

https://www.mediacom87.fr/post/securite/

[bobby4722]

On 12/28/2024 at 8:11 PM, Mediacom87 said:

https://www.mediacom87.fr/post/securite/

@Mediacom87 j'avais le mail en non lu suite au post -> pour y revenir quand dispo mais sérieux j'ai perdu -3 alors que j'ai 20/10 à chaque œil tellement c'est violent au niveau couleur,et IA, no comment, c'est mimi mais bon...
J'ai pas pu trouvé l'article requis... J'ai chaud à lire des trucs intéressants mias je n'ai pas trouvé (rapidement) mais quand même pas trouvé après quelque valeureux scrolls.
Bref dsl mais je préfère l'approche de @Eolia plus simple et ça va à l'essentiel. Ensuite je comprends

[Mediacom87]

Il y a 11 heures, bobby4722 a dit :

@Mediacom87 j'avais le mail en non lu suite au post -> pour y revenir quand dispo mais sérieux j'ai perdu -3 alors que j'ai 20/10 à chaque œil tellement c'est violent au niveau couleur,et IA, no comment, c'est mimi mais bon...
J'ai pas pu trouvé l'article requis... J'ai chaud à lire des trucs intéressants mias je n'ai pas trouvé (rapidement) mais quand même pas trouvé après quelque valeureux scrolls.
Bref dsl mais je préfère l'approche de @Eolia plus simple et ça va à l'essentiel. Ensuite je comprends

Merci pour votre retour très constructif, c'est toujours intéressant.

Peut-être devrais-je mettre les liens directs vers les articles plutôt que mettre en évidence que la réponse n'est pas si simple et que la sécurité d'un site ne se résume pas simplement à une ligne de code à poser dans un fichier.

Mais comme cette réponse ne vous était pas adressée, certainement que cela explique votre difficulté à trouver celle qui vous correspond puisque vous n'avez pas posé de question.