Boutique prestashop hackée, comment proceder?

[wonderfletch]

Bonjour, ma boutique prestashop 1.4.5.1 www.allolesfilles.com vient d’être hackée cet après midi, je suis sous un serveur hostpapa, je peux accéder au back office et sur mon serveur ainsi qu'a mes mails, j'ai juste changer le statut d'une commande aujourd'hui donc je devrais retrouver facilement les fichiers modifiés.

Mais je ne sais pas quoi faire, j'ai désactivé ma boutique mais bien évidement ça ne change rien toujours la page d’accueil hackée

J'aimerais en premier lieu enlevé cette page hackée rapidement car ça ne fait pas très pro...

J'ai sauvegardé mon site (base de donné sur prestashop et le site entier sur hostpapa) faut il que je le restaure pour changer cette page d’accueil, et que faire pour se protéger de ce type d’attaque

Merci d’avance de votre aide, je poste en urgence je vais essayer de poster rapidement les nom des fichiers modifiés ou crée aujourd’hui

[jeckyl]

Bonjour,

 

peut être pouvez vous restaurer simplement vos fichiers si vous ne les avez pas modifié depuis la dernière sauvegarde.

 

Vérifiez aussi que la base de données n'a pas été hacké.

 

Puis modifiez tous vos mots de passe, hébergement ftp, base de données

[wonderfletch]

Merci de ton aide jeckyl, mon site n'a pas été modifié depuis ma dernière sauvegarde

Donc je vais essayer de le restaurer mais je ne sais pas comment savoir si la base de données a été hackée

Et dois je modifier mes mots de passe avant la restauration ou après?

[jeckyl]

Modifie les code après.

 

Regarde les données du module paypal, les coordonnées, ce genre de choses.

[Paul MONFILS]

Pour la base, si tu as ta sauvegarde tu peux en créer une nouvelle et y installer ta sauvegarde et modifier le fichier setting.inc.php de manière adéquat.

[DevNet]

Bonjour,

 

La première des choses à faire est de ne pas laisser votre site sur cette page web. Faites une simple redirection de votre nom de domaine vers une autre page web indiquant un problème technique.

 

Dans un second temps, regardez vos logs du httpd liés à votre hébergement. Ils en diront beaucoup sur ce qu'il s'est passé. Si vous ne les avez pas, demandez à votre hébergeur. Ces logs vous permettrons de savoir à quel niveau un script a été "installé" grâce à une faille certainement laissée par vos soins, ou par un autre moyen que celui des portes possibles du noyau prestashop.

 

Si un malware a été installé, c'est sûrement un script qui permet de tout faire sur l'hébergement dans la limite des droits qui sont autorisés par le user en cours de l'httpd.

 

Des failles liées à l'upload existent toujours, surtout si vous donnez des accès du côté backoffice pour la partie PrestaShop (dans les modules par exemple), sinon c'est depuis un autre script annexe indépendant.

 

Bref, l'étape importante est la consultation de vos logs au moment du hack.

 

Bien cordialement

[wonderfletch]

Bonsoir

premièrement, j'ai redirigé mon site

Sinon a la racine de mon hébergement, j'ai des fichiers qui ont été modifiés et/ou créés cet après midi, voici déjà leurs noms si ça vous dit quelque chose:

.bash_logout

.bash_profile

.bashrc

 

Pour la base, si tu as ta sauvegarde tu peux en créer une nouvelle et y installer ta sauvegarde et modifier le fichier setting.inc.php de manière adéquat.

Je ne comprend pas pourquoi ni comment modifier le fichier setting.inc.php de maniere adequat, je pensait juste avoir a restaurer la base de donnée, et comment savoir si la base de donnée a ete touchée?

[DevNet]

Non ces fichiers ne correspondent pas à des logs httpd, mais des fichiers de profile votre accès ssh.

[wonderfletch]

Donc ce ne sont pas les fichiers que j'ai notés qui sont en cause dans le hacking, j'etais étonné qu'ils aient été modifié cet après midi alors que je n'ai rien fait sur le site

Je voulais préciser que ce n’était certainement pas du a prestashop car mon blog wordpress hebergé sur le meme compte hostpapa est touché aussi

[DevNet]

WordPress peut effectivement être plus facilement hacké, surtout s'il est pas à jour, plugins compris.

 

Si vos fichiers bash de console ssh ont été modifiés, c'est qu'un accès ssh a été fait sur le serveur depuis votre compte user hébergement. Ca veut aussi dire que l'éventuel script php hack est en mesure de se connecter à la console ssh.

 

En espérant que vous n'avez pas laissé traîner vos accès par ci et la.

 

Il vous faut absolument connaître vos logs d'accès ssh + httpd, pour savoir ce qui a été fait.

[Oron]

Bonjour

 

Un autre point à ne pas négliger, Analyse de votre poste s'il ne contient pas de virus ou malware ou spyware.

 

Mise à jour de votre anti-virus.

Vous pouvez aussi faire une analyse en ligne http://secuser.com/outils/antivirus.htm site sécurisé.

 

Vérifiez aussi votre parfeux, si vous en avez pas installer un.

Vos e-mail modifier aussi vos mot de passe. Mettez des mots de passe complexe maajuscule minuscule chiffre symbôle mélanger.

 

Il est probable que l'accès à votre site ais été fait via votre poste.

[wonderfletch]

J'ai l'impression que wordpress est en cause car je ne peux plus me connecter au tableau de bord de mon blog, et quand je redemande un nouveau mot de passe, il ne reconnait pas mon adresse mail donc impossible de me connecter a mon blog ou de changer le mot de passe

Que me conseillez vous de faire?

[jeckyl]

Pour wordpress l'email de l'administrateur a du être changé, donc rendez-vous dans votre base de données pour modifier cela et après redemandez un mot de passe. Et faites la mise à jour de wordpress.

[wonderfletch]

Merci encore, vous allez dire que j'ai du mal mais j'ai cherché dans la base de données du blog et le seul endroit ou j'ai trouvé, c'est dans "wp_options" où j'ai bien la bonne adresse mail sur la ligne "admin_email"... J'avoue que je cherche un peu au hasard dans la base de données car c'est la première fois que je vais dedans... Est ce que je suis au bon endroit?

[DevNet]

Bonjour,

 

Pour les comptes users de Wordpress c'est dans wp_users

 

A+

[wonderfletch]

Bonour et merci de ton aide DevNet, j'ai donc trouver dans phpmyadmin le wp_users mais je ne sais pas dans quelle ligne est l'email (j'imagine dans 5 user_email...) ni comment le modifié car je ne trouve aucune adresse email, ni la mienne, ni une autre...

voila ce que je vois dans wp_users (j'arrive pas le mettre correctement en page mais si ca peut aider...:

# Colonne Type Interclassement Attributs Null Défaut Extra Action 1 ID bigint(20) UNSIGNED Non Aucune AUTO_INCREMENT Modifier Supprimer plus 2 user_login varchar(60) utf8_general_ci Non Modifier Supprimer plus 3 user_pass varchar(64) utf8_general_ci Non Modifier Supprimer plus 4 user_nicename varchar(50) utf8_general_ci Non Modifier Supprimer plus 5 user_email varchar(100) utf8_general_ci Non Modifier Supprimer plus 6 user_url varchar(100) utf8_general_ci Non Modifier Supprimer plus 7 user_registered datetime Non 0000-00-00 00:00:00 Modifier Supprimer plus 8 user_activation_key varchar(60) utf8_general_ci Non Modifier Supprimer plus 9 user_status int(11) Non 0 Modifier Supprimer plus 10 display_name varchar(250) utf8_general_ci Non Modifier Supprimer plus

Tout cocher / Tout décocher Pour la sélection :

Version imprimable Suggérer des optimisations quant à la structure de la table

Ajouter colonne(s) En fin de table En début de table Après

Index:

Action Nom de l'index Type Unique Compressé Colonne Cardinalité Interclassement Null Commentaire Modifier Supprimer PRIMARY BTREE Oui Non ID 0 A Modifier Supprimer user_login_key BTREE Non Non user_login 0 A Modifier Supprimer user_nicename BTREE Non Non user_nicename 0 A

[jeckyl]

une capture d'écran serait plus parlant à mon avis.

[wonderfletch]

J'ai des souci avec la capture d’écran la touche print screen n'a pas l'air de fonctionner...

J'ai donc pris la décision de restaurer la sauvegarde sur mon serveur (le site le blog les bases de données)

J'ai cru que ca allait suffire mais des que j'ai enlevé la redirection, la page d’accueil du hacker est revenu

Par contre, je n'avais pas supprimé les bases de données existantes et j'ai tout restauré par dessus, je ne sais pas si ca peux etre du a ca?

En ce qui concerne les bases de données la restauration s'est passé rapidement mais pour les fichiers du serveurs, la page est toujours en chargement... je ne sais pas si la sauvegarde s'est bien passée, elle faisait quand même 1.30 Go

J'ai réussi a me connecter a l'administration de wordpress grâce a la restauration, avant je ne pouvais pas

Wordpress est bien a jour, j'ai changer mon mot de passe

[Dev On Web]

Après la base de données, pense à remettre les scripts d'origines... Notamment les index.php

[DevNet]

Vérifie que tous les index hackés ne sont pas passés dans la sauvegarde :/