Souci piratage commande Prestashop 1.6

[dondia]

Bonjour,

Suite à un piratage de ma boutique détecté le même jour, nous avons pu résoudre la faille de sécurité mais par contre n'ayant de sauvegarde récente, je constate que ma page de paiement à été overidé par un formulaire de paiement paypal qui collecte les informations bancaires. 

Lorsqu'on clique sur l'étape de paiement pendant 1/4 de seconde les bons modules de paiement s'affichent avant disparaitre et faire afficher le module pirate à la place.

Je sais pas si c'est une redirection ou un hook, dans tous les cas, cela override l'affichage des modules de paiement qui pourtant sont bien activé.

En urgence la boutique a été mis en mode catalogue.

Je ne trouve pas le fichier modifié qui fait en sorte que lorsque l'on est à l'étape de paiement il affiche ce module de paiement à la place de mes modules actif.

Merci d'avance 

Cordialement

Dondia Jhoel

Edited January 18, 2023 by dondia
ajout capture écran (see edit history)

[Eolia]

C'est exactement pour ce genre d'attaques que cleaner a été écrit.

Récupérez le script de nettoyage (Ouvrez le zip, prenez le fichier cleaner.php et placez-le à la racine de votre site, puis vous l'appelez avec cette url: https://votresite.com/cleaner.php)

https://devcustom.net/public/scripts/cleaner.zip

[dondia]

Bonjour Eolia,

J'applique le patch de suite cleaner de suite. 

Je fais un retour dès finis

Cordialement

Edited January 18, 2023 by dondia (see edit history)

[doekia]

Cleaner n'est pas un patch, c'est un outil pour identifier les infections et leurs conséquences

[dondia]

Bonjour,

GRAND MERCI, l'outil a permis de nettoyer complément le site. Il a detecter pas mal de changement

La fonctionnalité de paiement est à nouveau fonctionnelle.

Merci encore.

 

[Eolia]

Il faut surtout essayer de trouver comment ces changements ont pu avoir lieu (Modules moisi, WordPress pas à jour sur le même hébergement ou autre)

[lemarchefrais.fr]

Bonjour,

 

Même problème pour moi depuis samedi soir mais je n' arrive pas à résoudre le soucis...

Je ne suis pas expert en la matière...

Je suis chez 1 and 1 comme serveur.

Merci 

[Eolia]

Il y a 3 heures, lemarchefrais.fr a dit :

Bonjour,

 

Même problème pour moi depuis samedi soir mais je n' arrive pas à résoudre le soucis...

Je ne suis pas expert en la matière...

Je suis chez 1 and 1 comme serveur.

Merci 

Avez-vous exécuté cleaner.php ?

[lemarchefrais.fr]

1 hour ago, Eolia said:

Avez-vous exécuté cleaner.php ?

non 

[Eolia]

Le 18/01/2023 à 2:18 PM, Eolia a dit :

C'est exactement pour ce genre d'attaques que cleaner a été écrit.

Récupérez le script de nettoyage (Ouvrez le zip, prenez le fichier cleaner.php et placez-le à la racine de votre site, puis vous l'appelez avec cette url: https://votresite.com/cleaner.php)

https://devcustom.net/public/scripts/cleaner.zip

Alors faite-le^^

[lemarchefrais.fr]

8 minutes ago, Eolia said:

Alors faite-le^^

je vais essayer après merci, j'ai eu un entretien avec un expert ionos, ils me disent qu'ils vont d'abord essayer de faire une restauration des fichiers à une date antérieure et une restauration de la base de données... mais j'ai un doute que ca résolve le problème...

vos avis? 

[dondia]

Bonjour,

Ca pourrait résoudre le problème (la page paiement serait de nouveau disponible ), mais cela ne fermerait la faille qui a été exploité pour pirater la boutique.

Cordialement

[Eolia]

Comme vous voulez.

[lemarchefrais.fr]

je pourrais éventuellement faire cette manip et ensuite contrôler si une faille est ouverte? et je peux le faire avec cleaner à ce moment là...?

[lemarchefrais.fr]

je viens de reussir à me connecter au back office du prestashop avec un pc qui n'avait pas été déconnecté avec l adresse ip de celui-ci...

bon ça ne change pas le problème .... 🙃

[Eolia]

Restaurer à une date antérieure ça veut aussi dire écraser les fichiers existants avec la perte de tout ce qui a pu être créé depuis.

Cleaner vous permet un diag avant de tout casser.

[lemarchefrais.fr]

2 minutes ago, Eolia said:

Restaurer à une date antérieure ça veut aussi dire écraser les fichiers existants avec la perte de tout ce qui a pu être créé depuis.

Cleaner vous permet un diag avant de tout casser.

ok, alors avant de tout casser comme vous dites, le fichier cleaner va juste faire le diag, mais et après? je ne suis pas pro en codage...

[lemarchefrais.fr]

10 minutes ago, Eolia said:

Restaurer à une date antérieure ça veut aussi dire écraser les fichiers existants avec la perte de tout ce qui a pu être créé depuis.

Cleaner vous permet un diag avant de tout casser.

Script de nettoyage et contrôle pour boutiques PrestaShop by @eolia, version 2.0.12
Ce script est fourni gracieusement et en aucun cas son utilisation ne peut être payante ou facturée

Mémoire OK. Vous avez la dernière version à jour du script -> Démarrage...
Vous pouvez créer une tache cron dans le module cronjobs 1 fois par semaine en appelant https://lemarchefrais.fr/7bcb47ca800a.php automatiquement et recevoir le résultat par mail.

Par sécurité l'url du script a été modifiée. Notez la nouvelle url si vous fermez cette page.
Si vous avez oublié l'url, relancez cleaner.php après l'avoir re-téléchargé

Si des messages de nettoyage ou suppression sont affichés en rouge, votre e-boutique est susceptible d'avoir été attaquée et a été protégée d'urgence mais il est nécessaire de restaurer les fichiers modifiés et de changer les mots de passe des employés PrestaShop.

Contrôle des fichiers admin:

Fichier inexistant dans la version d'origine. Contenu à contrôler => MyeCommerce2/**admin**/autoupgrade/latest/autoload.phpVoir

Fichier inexistant dans la version d'origine. Contenu à contrôler => MyeCommerce2/**admin**/autoupgrade/latest/images.inc.phpVoir

Fichier inexistant dans la version d'origine. Contenu à contrôler => MyeCommerce2/**admin**/autoupgrade/latest/init.phpVoir

Fichier inexistant dans la version d'origine. Contenu à contrôler => MyeCommerce2/**admin**/autoupgrade/tmp/key.phpVoir

 

Contrôle des scripts JS:

Pas de fichier suspect JS detecté => OK
 

Contrôle des images pouvant contenir un script:

Fichier img infecté trouvé sur votre boutique: MyeCommerce2/img/U0elW.png
Fichier MyeCommerce2/img/U0elW.png supprimé

Recherche des infections connues:

>>> Corrigé: MyeCommerce2/controllers/admin/AdminLoginController.php
>>> Corrigé: MyeCommerce2/controllers/admin/AdminLoginController.php

MD5 INTEGRITY >>>> Ligne modifiée: if (strpos($_SERVER["REQUEST_URI"], $u) !== false && strpos($_SERVER["REQUEST_URI"], "admin") == false && strpos($_SERVER["REQUEST_URI"], "Admin") == false ){ => MyeCommerce2/classes/controller/Controller.phpVoir

>>> Corrigé: MyeCommerce2/classes/controller/Controller.php

Nettoyage du cache Prestashop effectué
 

Contrôle de sécurité sur fichiers indésirables connus:

Aucun fichier indésirable connu trouvé
 

Contrôle sur les fichiers sensibles connus pour être modifiés:

Contrôle de defines.inc.php => OK

Contrôle de Dispatcher.php : Fichier php modifié par rapport à la version d'origine => MyeCommerce2/classes/Dispatcher.phpVoir

Contrôle de Hook.php : Fichier php modifié par rapport à la version d'origine => MyeCommerce2/classes/Hook.phpVoir

Contrôle de FrontController.php : Fichier php modifié par rapport à la version d'origine => MyeCommerce2/classes/controller/FrontController.phpVoir

Contrôle de Db.php => OK
Contrôle de Module.php => OK
Contrôle de alias.php => OK
Contrôle de config.inc.php => OK

Contrôle de IndexController.php : Fichier php modifié par rapport à la version d'origine => MyeCommerce2/controllers/front/IndexController.phpVoir

 

Contrôle de sécurité sur les fichiers php coeur:

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => MyeCommerce2/classes/Store.phpVoir

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => MyeCommerce2/classes/Tools.phpVoir

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => MyeCommerce2/classes/controller/Controller.phpVoir

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => MyeCommerce2/classes/controller/ModuleFrontController.phpVoir

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => MyeCommerce2/classes/shop/Shop.phpVoir

Fichier MyeCommerce2/config/smarty.config.inc.php patché avec succès (Injection SQL possible par cache Smarty)

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => MyeCommerce2/controllers/admin/AdminLoginController.phpVoir

 

Recherche des index.php ajoutés:

Fichier inexistant dans la version d'origine. Contenu à contrôler => MyeCommerce2/**admin**/autoupgrade/latest/index.phpVoir

 

Recherche de fichiers php ajoutés:

Fichier php inexistant dans la version d'origine. Contenu à contrôler => MyeCommerce2/controllers/admin/AdminOutstandingController.phpVoir

Fichier php inexistant dans la version d'origine. Contenu à contrôler => MyeCommerce2/controllers/admin/AdminZonesController.phpVoir

Recherche de vulnérabilité sur les modules (à titre d'information, si le module est connu il n'y a à priori pas de risque):

Fonction sensible à contrôler: file_put_contents => MyeCommerce2/modules/autoupgrade/upgrade/php/p16011_media_server.phpVoir

Fonction sensible à contrôler: file_put_contents => MyeCommerce2/modules/autoupgrade/upgrade/php/update_customer_default_group.phpVoir

Fonction sensible à contrôler: file_put_contents => MyeCommerce2/modules/orderfees/upgrade/upgrade-0.5.phpVoir

Fonction sensible à contrôler: file_put_contents => MyeCommerce2/modules/orderfees/upgrade/upgrade-1.0.1.phpVoir

Fonction sensible à contrôler: file_put_contents => MyeCommerce2/modules/ps_metrics/upgrade/upgrade-2.0.0.phpVoir

Fonction sensible à contrôler: file_put_contents => MyeCommerce2/modules/stripe_official/vendor/stripe/stripe-php/build.phpVoir

ANALYSE TERMINÉE

!!! ATTENTION !!! Certains de vos fichiers coeurs ont été modifiés.
Si ces modifications ne sont pas volontaires, nous vous conseillons de comparer les fichiers avec les 2 zips (suspicious_xxxx et Prestashop) et de les restaurer dans leur version d'origine si nécessaire.
IMPORTANT: Si les fichiers coeurs modifiés commencent par /**/ vous avez été victime d'un hack. Restaurez les versions d'origine immédiatement !Télécharger l'archive de votre version d'origine Prestashop 1.7.8.7Télécharger l'archive des fichiers à contrôler EoliaShop ©Relancer le script

Fichiers de taille supérieure à 300Ko exclus de l'analyse pour éviter le crash du script en défaut mémoire (segmentation fault):
- classes/Product.php (303 Ko)
- modules/advertisingpdf/html2pdf/_tcpdf/tcpdf.php (698 Ko)
- modules/migrationpro/classes/EDImport.php (315 Ko)

Si vous pensez que votre serveur peut les analyser, cliquez ci-dessous

[Eolia]

Vous avez les réponses à toutes vos questions et ce qu'il faut faire.

Verifiez, si vous avez un WordPress sur le même hébergement s'il est bien à jour et sécurisé.

[lemarchefrais.fr]

j'ai télécharger l'archive des fichiers à contrôler

[lemarchefrais.fr]

6 minutes ago, Eolia said:

Vous avez les réponses à toutes vos questions et ce qu'il faut faire.

Verifiez, si vous avez un WordPress sur le même hébergement s'il est bien à jour et sécurisé.

je n'ai pas wordpress avec mon presta ni sur le même hébergement...

 

et oui je vois bien qu'il y a des choses qui ont été modifié mais après je ne sais pas trop comment faire pour réparer...

Edited February 6, 2023 by lemarchefrais.fr
erreur wordpress (see edit history)

[Eolia]

C'est expliqué

il y a 15 minutes, lemarchefrais.fr a dit :

!!! ATTENTION !!! Certains de vos fichiers coeurs ont été modifiés.
Si ces modifications ne sont pas volontaires, nous vous conseillons de comparer les fichiers avec les 2 zips (suspicious_xxxx et Prestashop) et de les restaurer dans leur version d'origine si nécessaire.

 

[lemarchefrais.fr]

1 minute ago, Eolia said:

C'est expliqué

 

ok merci beaucoup!!!

je vais essayer 1 fichier après l'autre.

je vous tiens au courant

merci de votre aide

[lemarchefrais.fr]

heyyyyyyyyy

un grand merci, tout est ok!!!

merci beaucoup pour l'aide et effectivement, ionos ! conseils de naze...

[lemarchefrais.fr]

j'ai une dernière question, j'ai un nombre fou de fichiers dans mon hébergement ionos, 216000 sur 262000 ... je sais que prestashop a tendance à multiplier les fichiers, est ce que je peux retirer des fichiers ( temporaires ) peut-être?

[MBH]

Bonjour Eolia,

Merci pour ce script, il m'a sauvé la vie 👏

Cordialement.

[Eolia]