Hack Prestashop sur la page de paiement - nettoyage

[Mathieu C.]

Just now, Mediacom87 said:

Perso opCache est très bien.

Ce qu'il ne faut pas utiliser ce sont tous ceux proposés par l'option Cache serveur en bas de la page Performances

Merci,
Cependant nous somme sur 1.6...
Été effectivement nous n'avons aucun probleme sur OpCache

[Mathieu C.]

4 minutes ago, MathieuC said:

Pour info : le site de dev est en 7.1 (sur le même serveur) ... le probleme est identique

Je n'avais pas remarqué, mais le script créer un fichier zip suspicious....

 

1 minute ago, Mediacom87 said:

Perso opCache est très bien.

Ce qu'il ne faut pas utiliser ce sont tous ceux proposés par l'option Cache serveur en bas de la page Performances

Merci,
Cependant nous somme sur 1.6...
Été effectivement nous n'avons aucun probleme sur OpCache

[Mathieu C.]

4 minutes ago, MathieuC said:

Pour info : le site de dev est en 7.1 (sur le même serveur) ... le probleme est identique

Je n'avais pas remarqué, mais le script créer un fichier zip suspicious qui correspond aux alertes vu sur les autres version, mais qui sont normal pour nous...)
Mais pas de mail...

 

1 minute ago, Mediacom87 said:

Perso opCache est très bien.

Ce qu'il ne faut pas utiliser ce sont tous ceux proposés par l'option Cache serveur en bas de la page Performances

Merci,
Cependant nous somme sur 1.6...
Été effectivement nous n'avons aucun probleme sur OpCache

[Mathieu C.]

7 minutes ago, MathieuC said:

Pour info : le site de dev est en 7.1 (sur le même serveur) ... le probleme est identique

Je n'avais pas remarqué, mais le script créer un fichier zip suspicious qui correspond aux alertes vu sur les autres version, mais qui sont normal pour nous...)
Mais pas de mail...

 

5 minutes ago, Mediacom87 said:

Perso opCache est très bien.

Ce qu'il ne faut pas utiliser ce sont tous ceux proposés par l'option Cache serveur en bas de la page Performances

Merci,
Cependant nous somme sur 1.6...
Été effectivement nous n'avons aucun probleme sur OpCache

[Eolia]

il y a 5 minutes, MathieuC a dit :

Pour info : le site de dev est en 7.1 (sur le même serveur) ... le probleme est identique

Donc ce n'est pas un problème php mais le serveur qui coupe les piles avant la fin du script.

L'erreur citée plus haut dans votre log Apache ne correspond pas, ça c'est un client qui a perdu sa connexion (en mobile ou autre)

[Mathieu C.]

14 minutes ago, MathieuC said:

Pour info : le site de dev est en 7.1 (sur le même serveur) ... le probleme est identique

Je n'avais pas remarqué, mais le script créer un fichier zip suspicious qui correspond aux alertes vu sur les autres versions, (mais qui sont normal pour nous...)
Mais pas de mail...

 

12 minutes ago, Mediacom87 said:

Perso opCache est très bien.

Ce qu'il ne faut pas utiliser ce sont tous ceux proposés par l'option Cache serveur en bas de la page Performances

Merci,
Cependant nous somme sur 1.6...
Et effectivement nous n'avons aucun problème sur OpCache..
et notre configuration de cache correspond a ce qui est expliqué pour la 1.7

Edited November 29, 2023 by MathieuC (see edit history)

[Mathieu C.]

4 minutes ago, Eolia said:

Donc ce n'est pas un problème php mais le serveur qui coupe les piles avant la fin du script.

L'erreur citée plus haut dans votre log Apache ne correspond pas, ça c'est un client qui a perdu sa connexion (en mobile ou autre)

c'est mon ordi...  les lignes correspondantes a l'appel du script.

Edited November 29, 2023 by MathieuC (see edit history)

[C_Ma_For]

Hello, pour info nous avons travaillé avec la personne qui administre notre serveur. Des essais d'augmentation importante des temps d'execution max n'ont rien donné. Il me confirme qu'il n'y a pas eu de modification de conf hier qui aurait entrainé l'erreur.

J'ai essayé de supprimer les lignes 1056 a 1120 du fichier mais bizarrement le problème persiste.

Enfin j'ai testé le fait d'ajouter le code de debug au début du script, mais comme MathieuC pas de fichier log de créé. 

[Eolia]

Ok donc apache vous coupe les piles car il vous considère comme inactif semble-t-il

[Mathieu C.]

12 minutes ago, Eolia said:

Ok donc apache vous coupe les piles car il vous considère comme inactif semble-t-il

C_Ma_For est sur Ngnix.
La logique serait que cela coince de votre coté (vu que le scrip sans les modifs ne fonctionne plus).
mais ça reste Théorique.
un fail2ban un peu trop tatillon ?

Edited November 29, 2023 by Mathieu C. (see edit history)

[Mathieu C.]

49 minutes ago, Mathieu C. said:

C_Ma_For est sur Ngnix.
La logique serait que cela coince de votre coté (vu que le scrip sans les modifs ne fonctionne plus).
mais ça reste Théorique.
un fail2ban un peu trop tatillon ?

Pour Info, la page 503  :

Service Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

Vient de votre serveur, la notre est différente.

Edited November 29, 2023 by Mathieu C. (see edit history)

[C_Ma_For]

Nous avons continué a travailler sur le problème et fait pas mal de tests de conf serveur. Modification des paramètres de php, droits.... rien ne fonctionne.

Je n'arrive pas à comprendre pourquoi en uploadant le fichier auquel j'enlève les lignes ajoutées lors de la mise à jour créant le problème je continue a avoir l'erreur en question.

Y a t il eu d'autres lignes ajoutées ou supprimer que les lignes 1056 à 1120 ?

Serait il possible de récupérer la version precedente afin de la tester et comprendre ce qui génère le souci ?

Merci encore!

[Mathieu C.]

4 minutes ago, C_Ma_For said:

Nous avons continué a travailler sur le problème et fait pas mal de tests de conf serveur. Modification des paramètres de php, droits.... rien ne fonctionne.

Je n'arrive pas à comprendre pourquoi en uploadant le fichier auquel j'enlève les lignes ajoutées lors de la mise à jour créant le problème je continue a avoir l'erreur en question.

Y a t il eu d'autres lignes ajoutées ou supprimer que les lignes 1056 à 1120 ?

Serait il possible de récupérer la version precedente afin de la tester et comprendre ce qui génère le souci ?

Merci encore!

+1
Ce script  est une veritable drogue ! J'ai l'impression d'être aveugle sans celui-ci....

[Mathieu C.]

3 minutes ago, Mathieu C. said:

+1
Ce script  est une veritable drogue ! J'ai l'impression d'être aveugle sans celui-ci....

Le script génère pourtant bien le zip des suspicions...

[Mathieu C.]

Je viens de faire un test sur la version 54 du script.
Protocol : utiliser un die et voir jusqu'ou cela va.

Tout s'affiche correctement jusqu'a la boucle  foreach($files as $file)  ligne 1000
quand cette boucle s'execute on a le droit a la 503.

@C_Ma_For : si vous modifiez le script, la modification peut être ne sera bonne qu'une seule fois, car ce script se re upload si qq chose de modifié... donc vérifiez bien que vos modification ne sont pas effacées...

[Mathieu C.]

12 minutes ago, Mathieu C. said:

Je viens de faire un test sur la version 54 du script.
Protocol : utiliser un die et voir jusqu'ou cela va.

Tout s'affiche correctement jusqu'a la boucle  foreach($files as $file)  ligne 1000
quand cette boucle s'execute on a le droit a la 503.

@C_Ma_For : si vous modifiez le script, la modification peut être ne sera bonne qu'une seule fois, car ce script se re upload si qq chose de modifié... donc vérifiez bien que vos modification ne sont pas effacées...

Avec un dump de $files juste avant...

 

Edited November 30, 2023 by Mathieu C. (see edit history)

[Mathieu C.]

[Eolia]

essayer d'enlever un niveau de profondeur dans la liste des sous-répertoires. Le dernier : ,glob($root_path.'modules/*/*/*/*/*.php')

    $files = array_merge(glob($root_path.'modules/*.php'), glob($root_path.'modules/*.ico'), glob($root_path.'modules/*/*.php'), glob($root_path.'modules/*/*/*.php'), glob($root_path.'modules/*/*/*/*.php'), glob($root_path.'modules/*/*/*/*/*.php'));

Je vois sur votre capture que c'est un module renommé, il serait bon de virer ces modules de ce répertoire, ils n'ont rien à y faire et ralentissent votre Presta qui essaye de les interpréter et les charge en mémoire.

[Mathieu C.]

2 hours ago, Eolia said:

essayer d'enlever un niveau de profondeur dans la liste des sous-répertoires. Le dernier : ,glob($root_path.'modules/*/*/*/*/*.php')

    $files = array_merge(glob($root_path.'modules/*.php'), glob($root_path.'modules/*.ico'), glob($root_path.'modules/*/*.php'), glob($root_path.'modules/*/*/*.php'), glob($root_path.'modules/*/*/*/*.php'), glob($root_path.'modules/*/*/*/*/*.php'));

Je vois sur votre capture que c'est un module renommé, il serait bon de virer ces modules de ce répertoire, ils n'ont rien à y faire et ralentissent votre Presta qui essaye de les interpréter et les charge en mémoire.

Fonctione avec cette profondeur :
glob($root_path.'modules/*/*.php')
plus ça 503....

Edited November 30, 2023 by Mathieu C. (see edit history)

[C_Ma_For]

Merci @Mathieu C. et @Eolia.

Mon problème vient effectivement des profondeurs de sous répertoires contenus dans le merge. 
Plus de 502 quand j'enlève les trois derniers...

[Mathieu C.]

6 hours ago, Mathieu C. said:

Je viens de faire un test sur la version 54 du script.
Protocol : utiliser un die et voir jusqu'ou cela va.

Tout s'affiche correctement jusqu'a la boucle  foreach($files as $file)  ligne 1000
quand cette boucle s'execute on a le droit a la 503.

@C_Ma_For : si vous modifiez le script, la modification peut être ne sera bonne qu'une seule fois, car ce script se re upload si qq chose de modifié... donc vérifiez bien que vos modification ne sont pas effacées...

 

1 hour ago, C_Ma_For said:

Merci @Mathieu C. et @Eolia.

Mon problème vient effectivement des profondeurs de sous répertoires contenus dans le merge. 
Plus de 502 quand j'enlève les trois derniers...

Somme nous que les 2 seuls gueux a avoir cet problème ?
De plus cela ne concerne que les modules... (on doit en avoir une sacrée louche).

[Eolia]

Règles concernant les modules:

- Mettre ailleurs (sur votre PC ou dans un répertoire au-dessus de la racine) les anciens modules, modules renommés, zip ou autre joyeusetés qui n'ont RIEN à faire dans ce répertoire.

- Supprimez les répertoires du type 95125487456854458gfgf7842458gf qui sont des modules qui ont crashé lors de l'install (l'archive a été dézippée mais n'a finalement pas pu s'installer)

- Désinstallez et supprimez les modules inutilisés ou non-configurés.

- il ne doit rester QUE les modules actifs et ceux que vous n'utilisez que par moment ainsi que le .htaccess et leindex.php

Comprenez bien que Prestashop scanne ce répertoire et le charge en mémoire à chaque appel d'une page, d'autre part il essaye d'interpréter le code (si c'est un zip ou un pdf il patauge dans la semoule 2min)

Le répertoire / modules n'est pas un fourre-tout car c'est le lieu de prédilection des hackers et plus il contient de fichiers, plus il y a de contrôles à faire.

[Mathieu C.]

Mon dossier module est dans ce cas (je viens d'y faire un tour suite a ce conseil judicieux).

Pour info : Charger la page des module dans le back, ce n'est pas la page la plus rapide.

Même avec Timeout 300 dans Apache (et idem dans php)-  le script avec la profondeur souhaitée ne passe pas.

Le problème est ailleurs (Array de plus de 3000 fichier)?

 

Edited November 30, 2023 by Mathieu C. (see edit history)

[Mediacom87]

Il y a 16 heures, Eolia a dit :

- Supprimez les répertoires du type 95125487456854458gfgf7842458gf qui sont des modules qui ont crashé lors de l'install (l'archive a été dézippée mais n'a finalement pas pu s'installer)

- Désinstallez et supprimez les modules inutilisés ou non-configurés.

Tiens, je propose justement un module qui permet de faire tout cela 😉

[Gilles6688]

Bonjour à tous,

 

J'ai ce message lorsque je souhaite charger le module. Je suis sous OVH et avec la version 1.6

 

Merci

[Eolia]

Une nouvelle version est en cours d'écriture pour les hébergements ayant des ressources limitées, soyez patients.

[Gilles6688]

Merci Eolia

 

[Eolia]

La version 3 est sortie.

Elle s'exécute en 30 secondes sur un OVH mutu avec pas mal de modules et d'images. J'espère que ce sera ok pour tout le monde.

Un seul scan est effectué, ensuite c'est un traitement du tableau de résultats.

[kerlin]

Hello Eolia,

J'ai un PS 1.7.6.4 vérolé. Je l'ai récupéré et installé sur O2Switch dans une lune propre, avec PHP 7.3 et memory_limit au max mais le script plante sur une erreur 500 après avoir fait la mise à jour.
La dernière ligne du fichier cleaner500.php dit "Allowed memory size of 268435456 bytes exhausted (tried to allocate 8192 bytes"

Et sur la page Informations dans l'admin, il ne voit que 256M en memory_limit. J'ai vidé le cache, désactivé le cache, supprimer les dossiers dev et prod du dossier cache. No change.
J'ai cherché un éventuel fichier php.ini que j'aurais récupéré du site de prod, mais je ne vois rien.
J'ai mis un fichier phpinfo à la racine, et lui détecte le bon memory_limit. Donc le souci est dans Prestashop mais à part un module en lien avec la compta, je ne vois rien d'exotique qui pourrait agir sur ce paramètre.

Des idées de recherche me seraient donc précieuses !

 

Merci d'avance

[sparh]

Bonjour
je voudrais lancer un test juste par curiosité et je tombe directement sur ça (voir image).
 

E,n effet j'ai mon site de préprod qui sous le dossier public_html/test/ donc tous les dossiers (admin/modules etc) sont en double dans ce sous-dossier.

1. Y'a t'il un moyen d'effectuer le test quand même ?
2. si je clique sur 1, celà vas t'il automatiquement supprimer mon dossier admin de mon site de test ?

Merci et bonne journée

 

[bobby4722]

11 hours ago, Eolia said:

La version 3 est sortie.

Elle s'exécute en 30 secondes sur un OVH mutu avec pas mal de modules et d'images. J'espère que ce sera ok pour tout le monde.

Un seul scan est effectué, ensuite c'est un traitement du tableau de résultats.

Bonjour @Eolia j'ai tenté la mise à jour (ovh) et pas moyen de passer de la 2.0.54 à la derniere version 😪

Internal Server Error

Merci OVH 💩 😠

[Eolia]

il y a 45 minutes, sparh a dit :

Bonjour
je voudrais lancer un test juste par curiosité et je tombe directement sur ça (voir image).
 

E,n effet j'ai mon site de préprod qui sous le dossier public_html/test/ donc tous les dossiers (admin/modules etc) sont en double dans ce sous-dossier.

1. Y'a t'il un moyen d'effectuer le test quand même ?
2. si je clique sur 1, celà vas t'il automatiquement supprimer mon dossier admin de mon site de test ?

Merci et bonne journée

 

2 prestashop dans le même répertoire cela oblige à contrôler 2 fois plus de fichiers et augmente le risque d'infections planquées dans les fichiers de l'autre dossier.
Déplacez votre dev dans un autre répertoire au même niveau que le www ou public_html

[P i l o u]

Bonjour,

Erreur 524 : A Timeout occured..

php.ini => max_execution_time = 360 sec

[watou]

1 minute ago, P i l o u said:

Bonjour,

Erreur 524 : A Timeout occured..

php.ini => max_execution_time = 360 sec

La même chose ici, cleaner 3.0.1 et PS 8.1.1.

[Eolia]

Relancez-le, les images produits seront exclues du scan si mémoire ou max_execution_time trop faibles.

[P i l o u]

J'ai un très grand nombre de ligne :

Notice: Undefined variable: max_execution_time in /home/gigapjgx/public_html/2815a57455c1.php on line 1463

[Eolia]

relancez^^

[P i l o u]

Même réponse : Notice: Undefined variable: max_execution_time in /home/gigapjgx/public_html/2815a57455c1.php on line 1463

[Eolia]

en version 3.0.3 ?

C'est quoi votre version PHP ?

[P i l o u]

7.4.3

Après l'avoir relancé une deuxième fois, j'ai ceci:

Parse error: syntax error, unexpected 'global' (T_GLOBAL), expecting function (T_FUNCTION) or const (T_CONST) in /home/gigapjgx/public_html/2815a57455c1.php on line 1458

 

[Eolia]

Relancez une dernière fois (3.0.4)

[sparh]

Bonjour 
j'ai déplacé mon site de test, lancé cleaner.php et maintenant j'ai mon site entier en erreur 500
log cleaner :
 

 [input] => 
    [1] => Array
        (
            [type] => 1
            [message] => Maximum execution time of 360 seconds exceeded
            [file] => /home/mbl/domains/monsite.com/public_html/e60812a86943.php
            [line] => 991
        )

Mes logs
 

[Tue Dec 05 11:57:22.231930 2023] [proxy_fcgi:error] [pid 3763972:tid 139677258696448] [remote 194.230.196.245:56905] AH01071: Got error 'PHP message: PHP Warning:  include(/home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/composer/../ramsey/uuid/src/Provider/Node/SystemNodeProvider.php): failed to open stream: No such file or directory in /home/site/domains/monsitelab.com/public_html/vendor/composer/ClassLoader.php on line 576PHP message: PHP Warning:  include(): Failed opening '/home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/composer/../ramsey/uuid/src/Provider/Node/SystemNodeProvider.php' for inclusion (include_path='/home/site/domains/monsitelab.com/public_html/vendor/pear/pear_exception:/home/site/domains/monsitelab.com/public_html/vendor/pear/console_getopt:/home/site/domains/monsitelab.com/public_html/vendor/pear/pear-core-minimal/src:/home/site/domains/monsitelab.com/public_html/vendor/pear/archive_tar:.:/usr/local/php74/lib/php') in /home/site/domains/monsitelab.com/public_html/vendor/composer/ClassLoader.php on line 576PHP message: PHP Warning:  include(/home/site/domains/monsitelab.com/public_html/modules/ps_checkout/vendor/composer/../ramsey/uuid/src/Provider/Node/SystemNodeProvider.php): failed to open stream: No such file or directory in /home/site/domains/monsitelab.com/public_html/vendor/composer/ClassLoader.php on line 576PHP message: PHP Warning:  include(): Failed opening '/home/site/domains/monsitelab.com/public_html/modules/ps_checkout/vendor/composer/../ramsey/uuid/src/Provider/Node/SystemNodeProvider.php' for inclusion (include_path='/home/site/domains/monsitelab.com/public_html/vendor/pear/pear_exception:/home/site/domains/monsitelab.com/public_html/vendor/pear/console_getopt:/home/site/domains/monsitelab.com/public_html/vendor/pear/pear-core-minimal/src:/home/site/domains/monsitelab.com/public_html/vendor/pear/archive_tar:.:/usr/local/php74/lib/php') in /home/site/domains/monsitelab.com/public_html/vendor/composer/ClassLoader.php on line 576PHP message: PHP Fatal error:  Uncaught Error: Class 'Ramsey\\Uuid\\Provider\\Node\\SystemNodeProvider' not found in /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/FeatureSet.php:231\nStack trace:\n#0 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/FeatureSet.php(127): Ramsey\\Uuid\\FeatureSet->buildNodeProvider()\n#1 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/UuidFactory.php(64): Ramsey\\Uuid\\FeatureSet->__construct()\n#2 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/Uuid.php(647): Ramsey\\Uuid\\UuidFactory->__construct()\n#3 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/Uuid.php(765): Ramsey\\Uuid\\Uuid::getFactory()\n#4 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/classes/Service/AnalyticsService.php(289): Ramsey\\Uuid\\Uuid::uuid4()\n#5 /home/site/domains/mat...'

au secours 

Edited December 5, 2023 by sparh (see edit history)

[Eolia]

il y a 2 minutes, sparh a dit :

Bonjour 
j'ai déplacé mon site de test, lancé cleaner.php et maintenant j'ai mon site entier en erreur 500
log cleaner :
 

 [input] => 
    [1] => Array
        (
            [type] => 1
            [message] => Maximum execution time of 360 seconds exceeded
            [file] => /home/mbl/domains/monsite.com/public_html/e60812a86943.php
            [line] => 991
        )

Mes logs
 

[Tue Dec 05 11:57:22.231930 2023] [proxy_fcgi:error] [pid 3763972:tid 139677258696448] [remote 194.230.196.245:56905] AH01071: Got error 'PHP message: PHP Warning:  include(/home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/composer/../ramsey/uuid/src/Provider/Node/SystemNodeProvider.php): failed to open stream: No such file or directory in /home/site/domains/monsitelab.com/public_html/vendor/composer/ClassLoader.php on line 576PHP message: PHP Warning:  include(): Failed opening '/home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/composer/../ramsey/uuid/src/Provider/Node/SystemNodeProvider.php' for inclusion (include_path='/home/site/domains/monsitelab.com/public_html/vendor/pear/pear_exception:/home/site/domains/monsitelab.com/public_html/vendor/pear/console_getopt:/home/site/domains/monsitelab.com/public_html/vendor/pear/pear-core-minimal/src:/home/site/domains/monsitelab.com/public_html/vendor/pear/archive_tar:.:/usr/local/php74/lib/php') in /home/site/domains/monsitelab.com/public_html/vendor/composer/ClassLoader.php on line 576PHP message: PHP Warning:  include(/home/site/domains/monsitelab.com/public_html/modules/ps_checkout/vendor/composer/../ramsey/uuid/src/Provider/Node/SystemNodeProvider.php): failed to open stream: No such file or directory in /home/site/domains/monsitelab.com/public_html/vendor/composer/ClassLoader.php on line 576PHP message: PHP Warning:  include(): Failed opening '/home/site/domains/monsitelab.com/public_html/modules/ps_checkout/vendor/composer/../ramsey/uuid/src/Provider/Node/SystemNodeProvider.php' for inclusion (include_path='/home/site/domains/monsitelab.com/public_html/vendor/pear/pear_exception:/home/site/domains/monsitelab.com/public_html/vendor/pear/console_getopt:/home/site/domains/monsitelab.com/public_html/vendor/pear/pear-core-minimal/src:/home/site/domains/monsitelab.com/public_html/vendor/pear/archive_tar:.:/usr/local/php74/lib/php') in /home/site/domains/monsitelab.com/public_html/vendor/composer/ClassLoader.php on line 576PHP message: PHP Fatal error:  Uncaught Error: Class 'Ramsey\\Uuid\\Provider\\Node\\SystemNodeProvider' not found in /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/FeatureSet.php:231\nStack trace:\n#0 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/FeatureSet.php(127): Ramsey\\Uuid\\FeatureSet->buildNodeProvider()\n#1 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/UuidFactory.php(64): Ramsey\\Uuid\\FeatureSet->__construct()\n#2 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/Uuid.php(647): Ramsey\\Uuid\\UuidFactory->__construct()\n#3 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/vendor/ramsey/uuid/src/Uuid.php(765): Ramsey\\Uuid\\Uuid::getFactory()\n#4 /home/site/domains/monsitelab.com/public_html/modules/ps_accounts/classes/Service/AnalyticsService.php(289): Ramsey\\Uuid\\Uuid::uuid4()\n#5 /home/site/domains/mat...'

au secours 

Une archive a été générée à la racine de votre site ?

Il y a des fichiers concernant le module ps_checkout dedans ?

[sparh]

suspicious.zip est rempli de fichiers, dois jes remettre sur le serveur ?

[Eolia]

uniquement celui des modules normalement.

C'est la fonction netstat qui a été détectée comme dangereuse dans le fichier SystemNodeProvider.php.

Edited December 5, 2023 by Eolia (see edit history)

[P i l o u]

J'ai toujours un timeout en front mais je reçois le mail sur l'analyse.

Quelques lignes en rouge:

Recherche de vulnérabilité sur les modules (A titre d'information. Si vous ne savez pas interpréter le code, veuillez demander l'avis d'un professionnel):

Fonction sensible hors classe à contrôler: eval( => /modules/autoupgrade/AdminSelfUpgrade.php

Fonction sensible à contrôler: eval( => /modules/autoupgrade/ajax-upgradetab.php

Fonction sensible à contrôler: eval( => /modules/autoupgrade/init.php

Fonction sensible à contrôler: eval( => /modules/mollie/vendor/symfony/dependency-injection/Dumper/PhpDumper.php

Pour Mollie, le module n'a plus été mis à jour depuis très longtemps et fonctionne toujours bien.

[Eolia]

Ces lignes sont des informations, si le module est connu et fonctionnel il n'y a pas de risque normalement.

[kerlin]

Il y a 14 heures, kerlin a dit :

Hello Eolia,

J'ai un PS 1.7.6.4 vérolé. Je l'ai récupéré et installé sur O2Switch dans une lune propre, avec PHP 7.3 et memory_limit au max mais le script plante sur une erreur 500 après avoir fait la mise à jour.
La dernière ligne du fichier cleaner500.php dit "Allowed memory size of 268435456 bytes exhausted (tried to allocate 8192 bytes"

Et sur la page Informations dans l'admin, il ne voit que 256M en memory_limit. J'ai vidé le cache, désactivé le cache, supprimer les dossiers dev et prod du dossier cache. No change.
J'ai cherché un éventuel fichier php.ini que j'aurais récupéré du site de prod, mais je ne vois rien.
J'ai mis un fichier phpinfo à la racine, et lui détecte le bon memory_limit. Donc le souci est dans Prestashop mais à part un module en lien avec la compta, je ne vois rien d'exotique qui pourrait agir sur ce paramètre.

Des idées de recherche me seraient donc précieuses !

 

Merci d'avance

bonjour, je me permets un petit up ...

j'ai relancé quelques fois le script, j'en suis à la version 3.0.6, ça tourne plus longtemps puis erreur 504 avec toujours le même message dans cleaner500.php. Et ce alors que j'ai 2Go de mempory_limit, mais PS n'en voit que 254M

 

Merci d'avance

[sparh]

Belle frayeur de mon coté
J'ai fini par installer le backup tout entier de mon site et ça à l'air ok.

@Eolia serait il possible d'avoir un cleaner qui ne change/supprime rien, juste des alertes ? 
Je demande surement beaucoup mais mon site fonctionnait très bien à priori sans hack et votre script (qui est très utile) à complétement tout cassé et j'aimerai bien le tester sans prendre de risque.

Merci

[Eolia]

Il y a 5 heures, bobby4722 a dit :

Bonjour @Eolia j'ai tenté la mise à jour (ovh) et pas moyen de passer de la 2.0.54 à la derniere version 😪

Internal Server Error

Merci OVH 💩 😠

Ca fonctionne chez moi et le zip est bien généré.

[bobby4722]

4 minutes ago, Eolia said:

Ca fonctionne chez moi et le zip est bien généré.

Yes merci J'ai juste oublié de revenir le dire ici car au bout de 10 tests j'ai remplacé le fichier directement via ton lien et cela à enfin fonctionné la mise à jour.
Merci encore 🙏

[Mathieu C.]

version 3.0.7... 8

Service Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

😞

 

Edited December 5, 2023 by Mathieu C. (see edit history)

[Mathieu C.]

15 hours ago, Mathieu C. said:

version 3.0.7... 8

Service Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

😞

 

Bonjour, 

c'est la partie Module (ligne 1044-1122)) qui coince (comme d'habitude si je peux oser).plus Exactement le bloc a ligne 1070. 

En commentant cette partie le script passe.
vous avez le lien de mon fichier....

 

 

Edited December 6, 2023 by Mathieu C.
ajout precision (see edit history)

[Eolia]

il y a 6 minutes, Mathieu C. a dit :

Bonjour, 

c'est la partie Module (ligne 1044-1122)) qui coince (comme d'habitude si je peux oser).
En commentant cette partie le script passe.
vous avez le lien de mon fichier....

Donc time_out.

Dans les dernières version de cleaner, l'itération de tous les fichiers est faite une seule fois, au début.

Ensuite on traite le tableau ligne par ligne. Plus il y a de lignes, plus ça prend du temps.

Etes-vous sûr de n'avoir que des modules utilisés ou utiles dans votre répertoire /modules ?

[Mathieu C.]

8 minutes ago, Eolia said:

Donc time_out.

Dans les dernières version de cleaner, l'itération de tous les fichiers est faite une seule fois, au début.

Ensuite on traite le tableau ligne par ligne. Plus il y a de lignes, plus ça prend du temps.

Etes-vous sûr de n'avoir que des modules utilisés ou utiles dans votre répertoire /modules ?

Pour ce qui est du serveur... c'est le notre, non mutualisé.
Intel(R) Xeon(R) E-2236 CPU @ 3.40GHz, 12 cores
32GB
=> donc pas une petite configuration ;-).

timeout de 300 (c'est pas court)

Le repertoire module est optimisé.

195 modules pour info et tout est utile !

 

 

 

Edited December 6, 2023 by Mathieu C. (see edit history)

[Eolia]

que dit votre error_log ?

[Mathieu C.]

1 minute ago, Eolia said:

que dit votre error_log ?

PHP ou apache ?

 

[Eolia]

les 2, je ne sais pas lequel crashe.

[Mathieu C.]

APACHE
[Wed Dec 06 13:06:25.808969 2023] [proxy_fcgi:error] [pid 27803:tid 140269233604352] [client **********] AH01067: Failed to read FastCGI header, referer: https://**********4ba7c.php
[Wed Dec 06 13:06:25.809001 2023] [proxy_fcgi:error] [pid 27803:tid 140269233604352] (104)Connection reset by peer: [client **********] AH01075: Error dispatching request to : , referer: https://**********4ba7c.php

FPM
[06-Dec-2023 13:06:25] WARNING: [pool www] child 15803 exited on signal 11 (SIGSEGV) after 175758.549863 seconds from start
[06-Dec-2023 13:06:25] NOTICE: [pool www] child 20957 started
 

[Eolia]

175758 secondes ???

[Mathieu C.]

7 minutes ago, Eolia said:

175758 secondes ???

c'est le child qui est 'ouvert'... un slot prêt a agir....
Et comme le script plant il le ferme et en réouvre un autre

[Mathieu C.]

2 minutes ago, Mathieu C. said:

c'est le child qui est 'ouvert'... un slot prêt a agir....
Et comme le script plant il le ferme et en réouvre un autre

ce sur vous devriez porter attention est SIGNAL 11 :
It indicates an attempt by a program to write or read outside its allocated memory—either because of a programming error, a software or hardware compatibility issue, or a malicious attack, such as buffer overflow. SIGSEGV is indicated by the following codes: In Unix/Linux, SIGSEGV is operating system signal 11

 

[Mathieu C.]

1 minute ago, Mathieu C. said:

ce sur vous devriez porter attention est SIGNAL 11 :
It indicates an attempt by a program to write or read outside its allocated memory—either because of a programming error, a software or hardware compatibility issue, or a malicious attack, such as buffer overflow. SIGSEGV is indicated by the following codes: In Unix/Linux, SIGSEGV is operating system signal 11

 

https://serverfault.com/questions/67504/what-can-cause-a-signal-11

[Eolia]

Pas xdebug installé ?

https://stackoverflow.com/questions/31699056/php-fpm-child-process-exited-on-signal-11

[Eolia]

ajoutez ça au début du script et relancez pour voir:

if (function_exists('newrelic_ignore_transaction')) { newrelic_ignore_transaction(); }

[Martial IW]

Bonjour et merci pour ce script.

De mon côté j'ai également un arrêt du script sur cette ligne :

End of script output before headers: 74ef28d5bdc7.php

Merci d'avance pour votre aide !

[Mathieu C.]

2 hours ago, Eolia said:

ajoutez ça au début du script et relancez pour voir:

if (function_exists('newrelic_ignore_transaction')) { newrelic_ignore_transaction(); }

 

APACHE
[Wed Dec 06 16:44:28.820945 2023] [proxy_fcgi:error] [pid 27803:tid 140269300745984] [client *******:51009] AH01067: Failed to read FastCGI header
[Wed Dec 06 16:44:28.820974 2023] [proxy_fcgi:error] [pid 27803:tid 140269300745984] (104)Connection reset by peer: [client*******:51009] AH01075: Error dispatching request to : 

PHP
child 15790 exited on signal 11 (SIGSEGV)

[Eolia]

Quand vous lancez le script avec votre commentaire, il vous dit avoir scanné combien de fichiers ?

Et quelle version Presta ?

[Mathieu C.]

2 minutes ago, Eolia said:

Quand vous lancez le script avec votre commentaire, il vous dit avoir scanné combien de fichiers ?

Et quelle version Presta ?

Presta 1.6
dans les ancienne version il parlait de plus de 3200 files

 

 

[Eolia]

Hum... sur un pauvre mutu OVH avec 133 modules:

[Mathieu C.]

12 minutes ago, Eolia said:

Hum... sur un pauvre mutu OVH avec 133 modules:

PHP version (moi 7.1)

PHP FPM....

 

Edited December 6, 2023 by Mathieu C. (see edit history)

[Eolia]

PHP 5.6 en mode PHP-FPM pour ce client

[Olivier33000]

On 12/4/2023 at 10:45 PM, kerlin said:

...le script plante sur une erreur 500 après avoir fait la mise à jour.

La dernière ligne du fichier cleaner500.php dit "Allowed memory size of 268435456 bytes exhausted (tried to allocate 8192 bytes"

J'ai la même chose depuis 2 jours. La plupart du temps il n'y a pas de génération de cleaner500.

[Eolia]

Une erreur sur la mémoire aussi ?

Répertoire /modules nettoyé de tous les inutiles ?

[Olivier33000]

Yup !

[Mathieu C.]

1 hour ago, Eolia said:

Une erreur sur la mémoire aussi ?

Répertoire /modules nettoyé de tous les inutiles ?

Moi aussi...  89 modules...
nettoyage au Karcher.. le plus drôle est qu'un module s'annonçait comme pas installé alors qu'il était utilisé !! Merci presta.... (bloclanguage modifié)

Edited December 6, 2023 by Mathieu C. (see edit history)

[Olivier33000]

Idem, 89 modules dont certains sont juste des overrides.

[Martial IW]

Bonjour,

Pour le moment avec la version du script 3.0.9 et la version 1.7.6.9 de Prestashop j'ai toujours le souci de internal server error.

L'affichage du "hack" ne se voit plus que sur Edge et Chrome mais plus sous Firefox pour information avec notre site.

Merci pour votre aide et votre travail.

Bonne journée !

[Martial IW]

Bonjour,

Il y a t'il une nouvelle version du script prévu dans les prochains temps s'il vous plait ?

Pour l'instant le site est fermé pour éviter toute perte de CB.

Bonne journée !

[Eolia]

Relancez^^

[Martial IW]

Merci pour l'information

Mais malheureusement j'arrive, après le chargement de la version 3.0.10, toujours à la page 500 Internal Server Error.

Je ne sais pas si vous avez besoin de plus d'information de ma part. Merci pour votre aide.

 

[Eolia]

il y a 1 minute, Martial IW a dit :

Merci pour l'information

Mais malheureusement j'arrive, après le chargement de la version 3.0.10, toujours à la page 500 Internal Server Error.

Je ne sais pas si vous avez besoin de plus d'information de ma part. Merci pour votre aide.

 

envoyez-moi un accès ftp en Message Privé que je puisse débuguer chez vous

[Martial IW]

Ha génial je vous prépare cela, merci beaucoup !

 

[Eolia]

Pour ceux qui sont avec Plesk et Ngnix:

Augmentez le fcgi IOTimeout et le  fcgi BusyTimeout

Depuis PleskPanel -> Site Web et domaines -> Paramètres du serveur Web

Ajouter aux "Directives supplémentaires pour HTTP" et "Directives supplémentaires pour HTTPS" :
FcgidBusyTimeout 160
FcgidIOTimeout 160

et ajoutez dans les directives nginx additionnelles ceci:
proxy_read_timeout 300;

[Olivier33000]

Bon ben la dernière version n'a rien changé pour moi, je ne suis pas sous nginx. Mes paramètres serveur sont les mêmes qu'au dessus (j'ai même testé en dev un 1024 de memory limit, mais ça ne change rien). En ce qui concerne le timeout, le mien est largement surdimesionné.

[Eolia]

Perso sur tous mes serveurs, je les configure comme ça:

<IfModule mod_fcgid.c>
  MaxRequestLen       25728640
  FcgidMaxRequestLen  25728640
  IPCCommTimeout          600
  FcgidIOTimeout          600
  BusyTimeout             600
</IfModule>

<IfModule mod_http2.c>
  Protocols h2 h2c http/1.1
  ProtocolsHonorOrder On
  H2MaxSessionStreams 300
</IfModule>

LimitRequestFieldSize 65356

[Bertrand57]

Bonjour,

J'ai un blog sous Wordpress installé dans un dossier (Prestation est installé à la racine).

Avant, le script l'ignorait, mais maintenant, il analyse aussi ce dossier.

Cela engendre deux soucis :

• Le script m'a supprimé plusieurs fichiers Wordpress, dont wp-login.php qui est nécessaire pour se connecter à l'administration.
  Est ce qu'il y a un moyen pour que je puisse les récupérer ? Je ne les trouve pas dans l'archive suspicious qui a été générée ?
• Je me retrouve avec une liste "Recheche de fichiers php ajoutés" à rallonge et du coup, cela est plus difficile de trouver les fichiers qui pourraient réellement poser problème.

Puis-je exclure ce dossier pour les prochaines analyses ?

Merci

[Mathieu C.]

le script génère un zip la racine - il se pourrait qu'il soit ici....
cependant mettre un wordpress là n'est pas une 'best practice'.
pour les lien sur wordpress, il suffit de mettre un ../  pour remonter d'un niveau (sortir du dossier presta) - puis redescendre .
ex ../wordpress/
ou de mettre un lien symbolique 

Edited December 11, 2023 by Mathieu C. (see edit history)

[Eolia]

Tous les fichiers supprimés sont dans le zip.

Un zip initial est créé au 1er appel avec la date du jour, si vous relancez cleaner, le zip sans date sera écrasé et remplacé par le nouveau.

Recherchez dans les zip avec date vos fichiers WP, mais oui, un WP ne devrait jamais être dans le même répertoire qu'un Prestashop car c'est une source d'infection principale.

[Eolia]

Et pour info, ces fichiers Wordpress sont disponibles dans n'importe quelle archive originale de votre version dispo chez WP.

https://fr.wordpress.org/download/releases/

[Anne-Laure B]

Bonjour, 

Mon site internet était hacké et j'ai pu le récupérer grâce à votre script.

Un immense merci pour votre travail, les explications et le tout gratuitement! Merci! Merci! Merci!

[Bertrand57]

Merci pour la réponse.

Bizarrement, le seul zip qu'il y a est celui de la semaine dernière (précédent appel du script).
Mais, j'ai pu récupérer les fichiers dans une sauvegarde.

Y a-t-il un moyen d'exclure le dossier "blog" de l'analyse ? Afin d'éviter que ça me supprimer à nouveau les mêmes fichiers à chaque appel du script ?

[Mediacom87]

il y a une heure, Bertrand57 a dit :

Merci pour la réponse.

Bizarrement, le seul zip qu'il y a est celui de la semaine dernière (précédent appel du script).
Mais, j'ai pu récupérer les fichiers dans une sauvegarde.

Y a-t-il un moyen d'exclure le dossier "blog" de l'analyse ? Afin d'éviter que ça me supprimer à nouveau les mêmes fichiers à chaque appel du script ?

Déplacez surtout votre répertoire blog hors du répertoire d'installation de PrestaShop.

[Eolia]

Vous pouvez, tout en bas du script, mais il faut savoir que si ces fichiers sont recherchés et supprimés c'est parce que dans les derniers hacks, on retrouvait de faux répertoires /wp-xxxxx dans ceux des Prestashop.

$excludes = array('cache', 'log', 'stats', 'error', 'upload', 'download', 'themes', 'docs', 'import', 'export', 'blog');

 

[Bertrand57]

On 12/12/2023 at 10:08 AM, Mediacom87 said:

Déplacez surtout votre répertoire blog hors du répertoire d'installation de PrestaShop.

Merci pour le conseil.

C'est fait.

Edited December 15, 2023 by Bertrand57 (see edit history)

[Najm]

Cela m'est arrivé deux fois maintenant sur mon siteweb et votre script est une bouée de sauvetage, j'envisage de mettre à niveau la sécurité de mon sotre si cela ne vous dérange pas, pouvez-vous nous dire s'il existe un module ou une solution pour protéger à nouveau nos eshop de ce piratage et et avez-vous quelle pourrait être la source de ce hack ?

je suis encore très reconnaissant, merci beaucoup

[Mediacom87]

Il y a 14 heures, Najm a dit :

avez-vous quelle pourrait être la source de ce hack ?

Certainement un module tiers qui ouvre une porte d'accès suite à un mauvais développement. https://www.mediacom87.fr/securite-prestashop-proactive-ou-corrective/

[Eolia]

Il y a 15 heures, Najm a dit :

Cela m'est arrivé deux fois maintenant sur mon siteweb et votre script est une bouée de sauvetage, j'envisage de mettre à niveau la sécurité de mon sotre si cela ne vous dérange pas, pouvez-vous nous dire s'il existe un module ou une solution pour protéger à nouveau nos eshop de ce piratage et et avez-vous quelle pourrait être la source de ce hack ?

je suis encore très reconnaissant, merci beaucoup

Déjà expliqué de nombreuses fois:

- Soit un module tiers mal sécurisé (manque de contrôle des données uploadées)

- Soit un autre CMS non sécurisé dans le même espace web (Un Wordpress pas à jour par exemple, ou un autre Prestashop vérolé)

- Soit un vol d'identifiants employé (Le hacker se connecte avec les identifiants employé, charge un module de hack, effectue ses injections et supprime son module ce qui efface toute trace)

- Soit un vol de vos identifiants hébergeur ce qui permet au hacker de modifier/créer un accès ftp et d'avoir directement accès aux fichiers (vu plusieurs fois pour ma part ces derniers temps).

C'est pourquoi après un nettoyage, il faut changer immédiatement TOUS les mots de passe employés, ceux de votre hébergeur et je conseille également de renommer le répertoire /admin. Il faut savoir que l'infection du fichier AdminLoginController envoie aux hackers l'url de votre admin, l'email et le mot de passe de l'employé.

[El Capitan]

2023-12-20 15:41:31 Error 145.224.1244.123500GET /b98be7427f51.php HTTP/1.1

2023-12-20 15:42:07 Warning 145.224.124.123(104)Connection reset by peer: mod_fcgid: error reading data from FastCGI 

2023-12-20 15:42:07 Error 145.224.124.123End of script output before headers: b98be7427f51.php

Hi I've read most of the Error 500 messages in this post and I understand there is some server resource problem. The Memory limit is set to 1024M, and max_execution _time= 10000 via the user.ini file. Setting Fcgid parameters in htaccess is not allowed. The error 500 comes after 20 seconds. What can I do?

PS version 1.6.1.25

Edited December 20, 2023 by El Capitan (see edit history)

[Eolia]

il y a 7 minutes, El Capitan a dit :

2023-12-20 15:41:31 Error 145.224.1244.123500GET /b98be7427f51.php HTTP/1.1

2023-12-20 15:42:07 Warning 145.224.124.123(104)Connection reset by peer: mod_fcgid: error reading data from FastCGI 

2023-12-20 15:42:07 Error 145.224.124.123End of script output before headers: b98be7427f51.php

Hi I've read most of the Error 500 messages in this post and I understand there is some server resource problem. The Memory limit is set to 1024M, and max_execution _time= 10000 via the user.ini file. Setting Fcgid parameters in htaccess is not allowed. The error 500 comes after 20 seconds. What can I do?

Not in .htaccess file but in your server configuration

<IfModule mod_fcgid.c>
  MaxRequestLen       25728640
  FcgidMaxRequestLen  25728640
  IPCCommTimeout          600
  FcgidIOTimeout          600
  BusyTimeout             600
</IfModule>