Hack ? fichier index.php modifié toutes les 1 à 2 semaines environ !!

[Graphissimo]

Bonjour à tous,

depuis quelques temps, environ toutes les 1 à 2 semaines, le fichier index.php de mon site est modifié et est redirigé vers de la publicité... (surement piraté)

Gràce à @Eolia j'ai pu remettre de l'ordre avec ce fichier index.php, pour relancer le site, mais 1 semaine plus tard, le problème est revenu, surement car un autre fichier est peut etre infecté...

En cherchant sur le web, j'ai vu que parfois, certains hackers pouvaient passer par le .htaccess. J'ai donc été voir et le contenu me parait... long et bizarre...

voici le contenu :

# ~~start~~ Do not remove this comment, Prestashop will keep automatically the code outside this comment when .htaccess will be generated again
# .htaccess automaticaly generated by PrestaShop e-commerce open-source solution
# https://www.prestashop.com - https://www.prestashop.com/forums

<IfModule mod_rewrite.c>
<IfModule mod_env.c>
SetEnv HTTP_MOD_REWRITE On
</IfModule>

RewriteEngine on


#Domain: www.monsiteweb.fr
RewriteRule . - [E=REWRITEBASE:/]
RewriteRule ^api(?:/(.*))?$ %{ENV:REWRITEBASE}webservice/dispatcher.php?url=$1 [QSA,L]
RewriteRule ^upload/.+$ %{ENV:REWRITEBASE}index.php [QSA,L]

# Images
RewriteCond %{HTTP_HOST} ^www.monsiteweb.fr$
RewriteRule ^([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$1$2$3.jpg [L]
RewriteCond %{HTTP_HOST} ^www.monsiteweb.fr$
RewriteRule ^([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$1$2$3$4.jpg [L]
RewriteCond %{HTTP_HOST} ^www.monsiteweb.fr$
RewriteRule ^([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$1$2$3$4$5.jpg [L]
RewriteCond %{HTTP_HOST} ^www.monsiteweb.fr$
RewriteRule ^([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$1$2$3$4$5$6.jpg [L]
RewriteCond %{HTTP_HOST} ^www.monsiteweb.fr$
RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$1$2$3$4$5$6$7.jpg [L]
RewriteCond %{HTTP_HOST} ^www.monsiteweb.fr$
RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$6/$1$2$3$4$5$6$7$8.jpg [L]
RewriteCond %{HTTP_HOST} ^www.monsiteweb.fr$
RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$6/$7/$1$2$3$4$5$6$7$8$9.jpg [L]
RewriteCond %{HTTP_HOST} ^www.monsiteweb.fr$
RewriteRule ^c/([0-9]+)(\-[\.*_a-zA-Z0-9-]*)(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/c/$1$2$3.jpg [L]
RewriteCond %{HTTP_HOST} ^www.monsiteweb.fr$
RewriteRule ^c/([a-zA-Z_-]+)(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/c/$1$2.jpg [L]
# AlphaImageLoader for IE and fancybox
RewriteRule ^images_ie/?([^/]+)\.(jpe?g|png|gif)$ js/jquery/plugins/fancybox/images/$1.$2 [L]

# Dispatcher
RewriteCond %{REQUEST_FILENAME} -s [OR]
RewriteCond %{REQUEST_FILENAME} -l [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^.*$ - [NC,L]
RewriteRule ^.*$ %{ENV:REWRITEBASE}index.php [NC,L]
</IfModule>

AddType application/vnd.ms-fontobject .eot
AddType font/ttf .ttf
AddType font/otf .otf
AddType application/font-woff .woff
AddType font/woff2 .woff2
<IfModule mod_headers.c>
	<FilesMatch "\.(ttf|ttc|otf|eot|woff|woff2|svg)$">
		Header set Access-Control-Allow-Origin "*"
	</FilesMatch>

    <FilesMatch "\.pdf$">
      Header set Content-Disposition "Attachment"
      Header set X-Content-Type-Options "nosniff"
    </FilesMatch>
</IfModule>

<Files composer.lock>
    # Apache 2.2
    <IfModule !mod_authz_core.c>
        Order deny,allow
        Deny from all
    </IfModule>

    # Apache 2.4
    <IfModule mod_authz_core.c>
        Require all denied
    </IfModule>
</Files>
#If rewrite mod isn't enabled
ErrorDocument 404 /index.php?controller=404

# ~~end~~ Do not remove this comment, Prestashop will keep automatically the code outside this comment when .htaccess will be generated again

 

Si ce fichier vous semble correct, auriez vous une idée d'où pourrait provenir ce souci de fichier index.php qui est constamment modifié (environ toute les deux semaines ) ?

Merci par avance pour votre aide !

 

[Eolia]

Que dit le résultat de cleaner ?

[Mediacom87]

Comme je l'ai souvent expliqué, le script d'Eolia va identifier les modifications, corriger les gros trucs, mais il ne fermera pas la porte à une nouvelle infection, il faut donc analyser tous les modules tiers et surtout ceux importés par l'installation d'un thème personnalisé.

Puis lire toutes les lignes de code pour comprendre les erreurs de développement qui peuvent laisser des failles.

Et sur ce point-là, on ne peut pas, et même pas Eolia, expliquer tout ce qu'il faut connaître, car personne ne prendrait le temps de lire tout cela pour apprendre puisque la liste est longue comme le bras.

[Graphissimo]

Bonjour @Eolia et @Mediacom87 et merci de vos retours rapides.

@eolia : pour ta demande de ce que le fichier cleaner.php, indique, voici le résultat qui s'affiche en orange :

Quote

 

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/autoupgrade/ajax-upgradetab.php

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/autoupgrade/tmp/key.php

Fonction sensible à contrôler: file_put_contents => www/modules/autoupgrade/upgrade/php/p16011_media_server.php

Fonction sensible à contrôler: file_put_contents => www/modules/autoupgrade/upgrade/php/update_customer_default_group.php

Fonction sensible à contrôler: file_put_contents => www/modules/ps_metricsold/upgrade/upgrade-2.0.0.php

 

Tous le reste s'affiche en vert

Est ce que le fichier htaccess, que j'avais posté, précédemment, vous semble, à première vue, correct ? 

Merci  

[doekia]

Que ce soit @eolia ou moi-même lorsque votre infection perdure hors des détection du script, nous sommes prêt à y passer du temps (+ ou - payant selon le cas) pour identifier le vecteur d'infection.

Pour cela en message privé nous avons besoin  de l'accès à votre espace FTP.

Ceci permet de trouver la cause et surtout d'améliorer les moyens de détection.

 

Bonnes fêtes et à l'année prochaine.

 

 

[El Patron]

Essayez ce hack. Après avoir corrigé l'index, faites-le lire uniquement R0 '444', ils ne devraient pas pouvoir ensuite le modifier. Remarque : avant d'effectuer une mise à niveau, vous devrez refaire une lecture/écriture, sinon la mise à niveau échouera.

 

[doekia]

Cet approche a très peu de chance d'être concluante. Si les hackers sont capable de modifier un seul fichier, ils sont capable de déployer un filemanager et dans ce cas le chmod devient trivial. Par ailleurs un read-only sur un fichier n'empêche pas sa suppression (droit du répertoire hôte) et donc son enregistrement en version modifiée ensuite.

[El Patron]

1 hour ago, doekia said:

This approach is very unlikely to be conclusive. If hackers are able to modify a single file, they are able to deploy a filemanager and in this case chmod becomes trivial. Moreover, a read-only on a file does not prevent its deletion (host directory rights) and therefore its recording as a modified version afterwards.

J'ai réfléchi un peu plus à votre "théorie", il ne serait pas possible de tromper PrestaVault, lors de la construction du fichier, les caractéristiques sont construites dans un coffre-fort.

Beause PV détecte l'ajout de fichiers supprimés, quelle que soit la théorie appliquée, il faudrait modifier le coffre-fort via mysql ou pirater le module pour ignorer l'ajout de fichiers modifiés ou supprimés.

Une couverture très complète que je prétends techniquement ne peut pas être dupe.

Edited January 5, 2023 by PrestaHeroes.com (see edit history)

[Gerardo Martinez G]

En 12/28/2022 a las 4:20 AM, Graphissimo dijo:

Bonjour à tous,

depuis quelques temps, environ toutes les 1 à 2 semaines, le fichier index.php de mon site est modifié et est redirigé vers de la publicité... (surement piraté)

Gràce à @Eolia j'ai pu remettre de l'ordre avec ce fichier index.php, pour relancer le site, mais 1 semaine plus tard, le problème est revenu, surement car un autre fichier est peut etre infecté...

En cherchant sur le web, j'ai vu que parfois, certains hackers pouvaient passer par le .htaccess. J'ai donc été voir et le contenu me parait... long et bizarre...

voici le contenu :

vos fichiers sont dans quelque chose comme ça?
Nous avons vu quelque chose comme ça dans prestashop, qui est simplement wordpress

 

<FilesMatch ".(py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
 Order allow,deny
 Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

[Graphissimo]

Bonjour @PrestaHeroes.com et merci de votre conseil

Bonjour @Gerardo Martinez G  depuis 1 semaine je n'ai plus d'incident donc le fichier htaccess ne m'affiche rien de spécial. (pas d'écriture ressemblant au texte en vert)

Merci pour vos retours et supports. Pour l'instant, aucun souci sur le site (sauf le ssl que je dois renouveler)

Si le problème persiste, je vous referai un petit coucou

A bientot

[Gilles6688]

Bonjour @Graphissimo j'ai eu le même problème que vous dernièrement, comment avez-vous fait pour sortir de cette misère.

Merci

[Mediacom87]

Il y a 3 heures, Gilles6688 a dit :

Bonjour @Graphissimo j'ai eu le même problème que vous dernièrement, comment avez-vous fait pour sortir de cette misère.

Merci

Nettoyage des modules, nettoyage du code, ainsi de suite, il faut tout passer au peigne fin.

C'est pour cela que je propose une prestation complète de nettoyage des boutiques.

[Gilles6688]

Bonjour  @Mediacom87,

Je comprends parfaitement que nous sommes tous ici des "commerçants" et que nous devons tous gagner notre vie, je demandais juste si après avoir passé le site au cleaner, il avait procédé à autre chose...

Apparemment dans les log ovh je ne vois rien (mis à part mon adresse), donc je pense que cela vient directement d'un module, qui mon modifie mon fichier index+htacess et m'ajoute un fichier .php à la racine de mon site.

Voila le résultat du cleaner:

Quote

Contrôle de sécurité sur les fichiers php coeur:

Contrôle du patch (Injection SQL possible par cache Smarty) sur config/smarty.config.inc.php => OK
MD5 INTEGRITY : Fichier index.php modifié par rapport à la version d'origine. Contenu OK: override/controllers/front/index.php
MD5 INTEGRITY : Fichier index.php modifié par rapport à la version d'origine. Contenu OK: override/index.php
MD5 INTEGRITY : Fichier index.php modifié par rapport à la version d'origine. Contenu OK: override/classes/index.php
MD5 INTEGRITY : Fichier index.php modifié par rapport à la version d'origine. Contenu OK: docs/licences/index.php
 

Contrôle des scripts JS:

Aucun fichier suspect JS detecté
 

Contrôle des images pouvant contenir un script:

Aucun fichier image suspect detecté
Au vu des limitations de votre serveur l'analyse des images produits n'a pas été effectuée.
 

Recherche des infections connues:

Aucun code suspect connu trouvé
 

Contrôle de sécurité sur fichiers indésirables connus:

Aucun fichier indésirable connu trouvé

Contrôle des droits:

Les droits en écriture sont ok sur les fichiers et répertoires

Recherche de fichiers .xxx ajoutés connus comme étant des infections:

Aucun fichier .xxx suspect trouvé

Recherche de fichiers htaccess ajoutés ou modifiés:

Aucun fichier htaccess suspect trouvé
 

Recherche de fichiers php ajoutés:

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/config/settings.inc.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/imageManager.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/Product.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/Meta.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/de/fields.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/de/admin.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/de/pdf.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/de/tabs.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/de/errors.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/admin.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/fields.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/tabs.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/pdf.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/errors.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/en/errors.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/en/pdf.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/en/tabs.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/en/fields.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/en/admin.php

Recherche de vulnérabilité sur les modules (A titre d'information. Si vous ne savez pas interpréter le code, veuillez demander l'avis d'un professionnel):

Fonction sensible à contrôler: include( => www/modules/oa_features/ajax.php

Fonction sensible à contrôler: file_get_contents( => www/modules/gcheckout/gcheckout/validation.php

Fonction sensible à contrôler: fwrite => www/modules/gcheckout/gcheckout/backward_compatibility/Context.php

Fonction sensible à contrôler: eval( => www/modules/gcheckout/gcheckout/library/googlecart.php

Fonction sensible à contrôler: $_GET[ => www/modules/gcheckout/gcheckout/library/googleresponse.php

Fonction sensible à contrôler: fwrite => www/modules/gcheckout/gcheckout/library/googlelog.php

Fonction sensible à contrôler: include( => www/modules/gcheckout/gcheckout/payment.php

Fonction sensible à contrôler: file_get_contents( => www/modules/gcheckout/validation.php

Fonction sensible à contrôler: $_GET[ => www/modules/gcheckout/library/googleresponse.php

Fonction sensible à contrôler: fwrite => www/modules/gcheckout/library/googlelog.php

Fonction sensible à contrôler: eval( => www/modules/gcheckout/library/googlecart.php

Fonction sensible à contrôler: fwrite => www/modules/gcheckout/backward_compatibility/Context.php

Fonction sensible à contrôler: include( => www/modules/gcheckout/payment.php

Fonction sensible à contrôler: include( => www/modules/blockcart/blockcart-set-collapse.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/products.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/orders.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/updater.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/viewLoader.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/pluginStatus.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/pastOrders.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/trustbox.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/trustpilot.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/controllers/admin/TrustpilotTabController.php

Fonction sensible à contrôler: base64_decode => www/modules/trustpilot/controllers/front/trustpilotajax.php

Fonction sensible à contrôler: include_once => www/modules/trustpilot/config.php

Fonction sensible à contrôler: file_put_contents => www/modules/colissimo/classes/ColissimoLabel.php

Fonction sensible à contrôler: base64_decode => www/modules/colissimo/classes/ColissimoLabelGenerator.php

Fonction sensible à contrôler: fwrite => www/modules/colissimo/classes/logger/ColissimoFileHandler.php

Fonction sensible à contrôler: fwrite => www/modules/colissimo/classes/ColissimoTools.php

Fonction sensible à contrôler: file_get_contents( => www/modules/colissimo/classes/ColissimoOrder.php

Fonction sensible à contrôler: file_put_contents => www/modules/colissimo/classes/ColissimoDepositSlip.php

Fonction sensible à contrôler: move_uploaded_file => www/modules/colissimo/controllers/admin/AdminColissimoColishipController.php

Fonction sensible à contrôler: file_get_contents( => www/modules/colissimo/controllers/admin/AdminColissimoLabelController.php

Fonction sensible à contrôler: base64_decode => www/modules/colissimo/controllers/admin/AdminColissimoDepositSlipController.php

Fonction sensible à contrôler: file_put_contents => www/modules/colissimo/controllers/admin/AdminColissimoCustomsDocumentsController.php

Fonction sensible à contrôler: move_uploaded_file => www/modules/colissimo/controllers/admin/AdminColissimoAffranchissementController.php

Fonction sensible à contrôler: include( => www/modules/followup/cron.php

Fonction sensible à contrôler: file_get_contents( => www/modules/gsitemap/gsitemap.php

Fonction sensible à contrôler: include( => www/modules/gsitemap/gsitemap-cron.php

Fonction sensible à contrôler: move_uploaded_file => www/modules/themeconfigurator/themeconfigurator.php

Fonction sensible à contrôler: include_once => www/modules/sendtoafriend/sendtoafriend_ajax.php

Fonction sensible à contrôler: include( => www/modules/favoriteproducts/favoriteproducts-ajax.php

Fonction sensible à contrôler: include_once => www/modules/favoriteproducts/favoriteproducts.php

Fonction sensible à contrôler: include( => www/modules/cashondelivery/validation.php

Fonction sensible à contrôler: include_once => www/modules/homeslider/ajax_homeslider.php

Fonction sensible à contrôler: include_once => www/modules/homeslider/homeslider.php

Fonction sensible à contrôler: $_GET[ => www/modules/cron/cron_crontab.php

Fonction sensible à contrôler: include_once => www/modules/blockrss/blockrss.php

Fonction sensible à contrôler: file_get_contents( => www/modules/nonameintitle/nonameintitle.php

Fonction sensible à contrôler: move_uploaded_file => www/modules/revws/controllers/front/api.php

Fonction sensible à contrôler: $_POST[ => www/modules/revws/controllers/admin/AdminRevwsBackendController.php

Fonction sensible à contrôler: hex2bin( => www/modules/revws/classes/utils.php

Fonction sensible à contrôler: file_get_contents( => www/modules/revws/revws.php

Fonction sensible à contrôler: include_once => www/modules/blocklateralreinsurance/blocklateralreinsurance.php

Fonction sensible à contrôler: $_POST[ => www/modules/blocklateralreinsurance/lateralreinsuranceClass.php

Fonction sensible à contrôler: include( => www/modules/trackingfront/stats.php

Fonction sensible à contrôler: include_once => www/modules/mailalerts/mailalerts.php

Fonction sensible à contrôler: include( => www/modules/mailalerts/mailalerts-account.php

Fonction sensible à contrôler: include( => www/modules/mailalerts/myalerts.php

Fonction sensible à contrôler: include( => www/modules/mailalerts/mailalerts-ajax_check.php

Fonction sensible à contrôler: $_POST[ => www/modules/blocknewsletter/blocknewsletter.php

Fonction sensible à contrôler: $_POST[ => www/modules/blocklink/blocklink.php

Fonction sensible à contrôler: include_once => www/modules/editorial/editorial.php

Fonction sensible à contrôler: $_POST[ => www/modules/editorial/EditorialClass.php

Fonction sensible à contrôler: include( => www/modules/gshoppingflux/cron.php

Fonction sensible à contrôler: include_once => www/modules/gshoppingflux/gshoppingflux.php

Fonction sensible à contrôler: include( => www/modules/importerosc/importerosc.php

Fonction sensible à contrôler: include_once => www/modules/importerosc/ajax.php

Fonction sensible à contrôler: fwrite => www/modules/ganalytics/backward_compatibility/Context.php

Fonction sensible à contrôler: include_once => www/modules/ganalytics/ganalytics.php

Fonction sensible à contrôler: file_get_contents( => www/modules/themeinstallator/themeinstallator.php

Fonction sensible à contrôler: move_uploaded_file => www/modules/blockstore/blockstore.php

Fonction sensible à contrôler: include( => www/modules/shoppingfluxexport/orders.php

Fonction sensible à contrôler: include( => www/modules/shoppingfluxexport/cron.php

Fonction sensible à contrôler: include( => www/modules/shoppingfluxexport/flux.php

Fonction sensible à contrôler: include( => www/modules/shoppingfluxexport/log.php

Fonction sensible à contrôler: include_once => www/modules/shoppingfluxexport/upgrade/Upgrade-4.0.6.php

Fonction sensible à contrôler: include_once => www/modules/shoppingfluxexport/upgrade/Upgrade-4.1.0.php

Fonction sensible à contrôler: fwrite => www/modules/shoppingfluxexport/backward_compatibility/Context.php

Fonction sensible à contrôler: include( => www/modules/shoppingfluxexport/debug.php

Fonction sensible à contrôler: fwrite => www/modules/shoppingfluxexport/classes/SfLogger.php

Fonction sensible à contrôler: include_once => www/modules/shoppingfluxexport/shoppingfluxexport.php

Fonction sensible à contrôler: fwrite => www/modules/gadsense/backward_compatibility/Context.php

Fonction sensible à contrôler: move_uploaded_file => www/modules/productpaymentlogos/productpaymentlogos.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-attribute-indexer.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-url-indexer.php

Fonction sensible à contrôler: file_get_contents( => www/modules/blocklayered/blocklayered.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-ajax.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-price-indexer.php

Fonction sensible à contrôler: include( => www/modules/feeder/rss.php

Fonction sensible à contrôler: include_once => www/modules/blockcms/blockcms.php

Fonction sensible à contrôler: $_POST[ => www/modules/uecookie/uecookie.php

 

 

Edited October 11, 2024 by Gilles6688 (see edit history)

[Mediacom87]

Mais sinon, vous pouvez lire aussi tous les articles que je propose sur le sujet https://www.mediacom87.fr/post/securite/

Bien entendu que Cleaner ne suffit pas, ce n'est pas comme si nous le répétions depuis 2 ans que Eolia a sorti ce script, ce n'est que le point de départ minimum à mettre en œuvre.

Il n'y pas d'autre procédure que de savoir quoi faire sur chaque cas unique rencontré et cela s'apprend avec le temps et l'expérience et personne ne peut donner LA procédure ultime qui fonctionnera dans 100% des cas sinon il n'y aurait plus de piratage si cela existait.

[yama]

1 hour ago, Gilles6688 said:

Je comprends parfaitement que nous sommes tous ici des "commerçants" et que nous devons tous gagner notre vie, je demandais juste si après avoir passé le site au cleaner, il avait procédé à autre chose...

Pour le coup-la, si c'est pas avec lui, ce sera avec qqn d'autre que vous devrez passer.

Si vous etes ici, c'est que vous ne savez pas comment reparer. Il vous faut donc qqn pour nettoyer et c'est souvent pas facile.

Dans tous les cas, faudra raquer un peu (mais c'est toujours mieux que de laisser ouvert la porte au hacker.)

[Eolia]

Il y a 2 heures, Gilles6688 a dit :

Bonjour  @Mediacom87,

Je comprends parfaitement que nous sommes tous ici des "commerçants" et que nous devons tous gagner notre vie, je demandais juste si après avoir passé le site au cleaner, il avait procédé à autre chose...

Apparemment dans les log ovh je ne vois rien (mis à part mon adresse), donc je pense que cela vient directement d'un module, qui mon modifie mon fichier index+htacess et m'ajoute un fichier .php à la racine de mon site.

Voila le résultat du cleaner:

 

 

Avez-vous bien réinitialisé tous les mots de passe employés après avoir passé cleaner la 1ère fois ?

Je vous explique pourquoi. Dans les hack le fichier adminlogin est souvent infecté et l'infection envoie au hacker les mails et mot de passe à chaque connexion employé.

On retrouve ces identifiants sur le darkweb.

Ensuite n'importe qui se connecte au BO avec ces identifiants, installe un module moisi (gestionnaire ftp), installe ses scripts malveillants et supprime son module.

Vous ne retrouvez aucune trace, sauf à contrôler les connexions / IP employés dans les logs Presta.

Pour info PhenixSuite propose nativement l'authentification à double facteurs (2TFA)  pour éviter ce genre de chose.

[Gilles6688]

Bonjour,

Oui j'ai changé les mdp admin et employé ainsi que les mdp ftp...

Je suis un peu perdu car j'ai l'impression que même mes dossiers sont modifiés ( dates etc...)