[temporairement résolu] Faille de sécurité

[Gueral-Collections]

Bonjour à tous

 

J'ai un GROS problème qui vient de m'arriver ce week-end.

Ma boutique est hébergée chez OVH, et jusque là, depuis 18/20 mois qu'elle est activée, tout ce passait relativement bien.

 

Samedi soir, j'ai reçu le mail suivant de la part d'OVH :

Bonjour,

 

Notre système de surveillance (Okillerd) a détecté une opération

irrégulière au niveau de votre site.

 

Les détails de cette opération sont les suivants :

 

gueral-collections.fr

 

Problème rencontré : Backdoor

Commande apparente : php.ORIG.5 -c /usr/local/lib/php.ini -d register_globals=0 -d magic_quotes_gpc=1 -d session.use_trans_sid=1 category.php

Exécutable utilisé : /usr/local/bin/php.ORIG.5.2.17

Horodatage: Sat May 18 22:50:08 CEST 2013

 

Ceci n'est pas autorisé sur nos installations,

car c'est une tentative potentielle de piratage.

 

Si ce n'est pas vous qui avez lancé ce script, cela signifie

qu'il y a une faille sur votre site et qu'un hacker s'en

est servi pour réaliser cette opération.

 

Nous avons désactivé l'accès web temporairement pour éviter tout

risque de nouveau piratage.

 

Vous pouvez vous connecter via ftp, pour modifier les scripts qui

peuvent poser problème. Pensez également à mettre à jour les

logiciels que vous utilisez comme phpnuke, phpbb, etc.

 

Comment faire ?

Consultez ces guides :

- http://guides.ovh.com/AlerteHackMutu

- http://guides.ovh.com/SecuriteSite

 

Je crois que je suis avec la version 1.4.?.? (je n'ai plus accès, ni au front-office, ni au back-office)

 

Très moyen en informatique, je ne sais que faire pour rétablir ma boutique.

 

Qui peux et veux m'aider s'il vous plait

 

 

Une fois le problème résolu, vous pouvez rouvrir votre site

en remettant les bons droits sur le répertoire racine (chmod 705 .).

 

 

Pour les bons CHMOD, c'est bien 705 qu'il faut mettre ?

 

Merci pour vos réponses et votre aide

 

Numismeuros

Edited May 20, 2013 by numismeuros (see edit history)

[pasgouch]

Bonjour,

 

Il y a effectivement moyen de débloquer tout ça comme l'indique OVH. Ca m'est arrivé il n'y a pas longtemps.

D'abord trouver l'origine du problème et le résoudre.

Puis pour le déblocage, il faut mettre le CHMOD 705 sur le répertoire racine (www) et avec la ligne de commande qui est prévue dans le FTP Filezilla. Serveur>Saisir une commande personnalisée.

Cela vide le cache en même temps et tout repart.

[Gueral-Collections]

Bonjour,

 

Il y a effectivement moyen de débloquer tout ça comme l'indique OVH. Ca m'est arrivé il n'y a pas longtemps.

D'abord trouver l'origine du problème et le résoudre.

Puis pour le déblocage, il faut mettre le CHMOD 705 sur le répertoire racine (www) et avec la ligne de commande qui est prévue dans le FTP Filezilla. Serveur>Saisir une commande personnalisée.

Cela vide le cache en même temps et tout repart.

 

Bonjour pasgouch

 

Merci pour la réponse.

 

D'abord trouver l'origine du problème et le résoudre. Mais mon soucis est surtout là !!! J'y connais rien.

 

Cordialement

 

Numismeuros

[Nommam]

remet le fichier Category d'origine ( fait gaffe a la version de PS )

[Nommam]

pour connaitre la version exact de ton Prestashop, deux soluces : Allez dans docs/changelog et lire la version, soit aller dans le settings et voir ce qu'il y a de reseigné au PS_Version

[Gueral-Collections]

Dans docs j'ai pas changelog et je ne sais pas ou se trouve settings

[claire39]

Bonjour,

Je viens de rencontrer le même souci avec OVH (pas sur le fichier category mais statistics.php). En cherchant par date de modification, il n'y a eu aucun fichier de modifié. J'ai remplacé statistics.php par une ancienne sauvegarde et mis le CHMOD 705. Ma boutique est à nouveau accessible mais je ne suis pas sûre que cela soit suffisant.

Je suis aussi en mutualisé sous OVH. Est-ce une coïncidence?

[Broceliande]

Perso je suis très curieux d'avoir vos fichiers respectifs incriminés.

Je parle de category.php concernant numismeuros et de statistics.php pour le cas de claire39.

 

Atch et moi sommes tombés récemment sur un site 1.4 hacké et l'avons rétabli mais non sans mal.

De mémoir le site était une 1.4.6.2 (sauf erreur de ma part).

Je serais curieux de voir si c'est le même type de hack.

 

Il va de soi que je suis partant pour orienter le dé-hack si le cas est avéré.

[Gueral-Collections]

@Broceliande

 

Dis moi où trouver le fichier category.php et comment te le faire parvenir et ce sera fait

[Nommam]

numismeuros => ouvre ton server FTP, ouvreles yeux, les fichier sont la !

[Broceliande]

@Broceliande

 

Dis moi où trouver le fichier category.php et comment te le faire parvenir et ce sera fait

 

En te connectant par ftp sur filezilla par exemple , tu troyveras le fichier à la racine de ton site.

Tu peux également me PM un accès au dit ftp auquel cas je jetterais un oeil par moi même.

Il n'y a que très peu de chances que ce soit le seul fichier incriminé malheureusement :s

[claire39]

@Broceliande,

Dans la précipitation, j'ai écrasé le fichier incriminé avec une sauvegarde. Donc je ne peux pas l'envoyer.

Par contre sir je regarde les dates, je ne vois aucun fichier modifié aujourd'hui.

Est-ce qu'il y a une manip pour vérifier si d'autres fichiers sont infecté?

[Broceliande]

@Broceliande,

Dans la précipitation, j'ai écrasé le fichier incriminé avec une sauvegarde. Donc je ne peux pas l'envoyer.

Par contre sir je regarde les dates, je ne vois aucun fichier modifié aujourd'hui.

Est-ce qu'il y a une manip pour vérifier si d'autres fichiers sont infecté?

 

Comme je te le disais, il y a peu, très peu de chances que ce fichier soit le seul infecté.

Faute de savoir de quelle infection il s'agit , le seul moyen est de vérifier plusieurs fichiers au hasard.

On peut aussi regarder le site en ligne et voir s'il y a des IFrames.

 

Sinon c'est assez difficile de répondre et indiquer une méthode : comme toute infection on peut effectivement trouver une "signature" , cad un élément propre à cette intrusion qu'il faut rechercher dans toute l'arborescence du site.

Mais un fois de plus la signature en question, nous ne pouvons pas la deviviner. Il faut la voir en place

[claire39]

Merci pour la réponse. En attendant de tout scanner, il vaut mieux que je referme la boutique, non?

[Gueral-Collections]

@brocéliande

 

PM envoyé

Merci

[Broceliande]

@brocéliande

 

PM envoyé

Merci

 

Bien reçu .

Après analyse de plusieurs controllers et de ton site lui même je n'ai rien trouvé de suspect, ce qui est une bonne chose.

C'est dommage que nous n'ayons pas ce fichier category.php avant modif, nous aurions pu voir s'il s'agissait de la part d'ovh d'une fausse alerte ou non.

Après lancement de la commande adéquate , ton site est à nouveau en ligne. Reste à voir s'il le reste (ça dépend d'ovh) .

Edited May 20, 2013 by Broceliande (see edit history)

[Broceliande]

Merci pour la réponse. En attendant de tout scanner, il vaut mieux que je referme la boutique, non?

 

Peut être est tu comme numismeuros dans le cas d'un faux positif (en tout cas à première vue) , de la part d'ovh.

Mais fermer le site interdit toute analyse des pages pour y trouver quelque iframe ou code javascript indésirable que ce soit.

[Gueral-Collections]

Ça sent presque l'arnaque d'OVH car si tu ne m'avais pas aidé, je serais passé par eux pour résoudre le problème. Prestation facturée, naturellement

 

 

NOUVEAU : Vous pouvez à présent activer le firewall applicatif

"mod_security" dans votre manager pour mieux protéger votre site

contre les piratages. Pour plus d'informations, consultez ce lien :

http://www.ovh.com/f...od_security.xml

 

Contactez notre support si vous ne parvenez pas à rouvrir l'accès

web par vous-même. Notez que les équipes du support ne peuvent pas

rechercher l'origine du problème pour vous, mis à part dans le

cadre d'une opération payante d'infogérance.

 

 

Cordialement,

 

Support Client OVH

 

Merci encore. Souhaitons que ça dure

Cordialement

Numismeuros

Edited May 21, 2013 by numismeuros (see edit history)

[pchan]

Bonjour,

Nous avons recu exactement le meme mail d'ovh aujourd'hui concernant le fichier statistics.php.

Dans les logs, j'ai trouve 8 fois cette ligne juste avant qu'OVH ne coupe le site :

 

[Mon May 20 17:04:16 2013] [error] [client 90.13.228.15] [host www.myfunnycompany.com] (104)Connection reset by peer: Error reading request entity data, referer: http://www.myfunnycompany.com/fr/67-tour-de-cou

Et du coup plusieurs fois de suite cette ligne :

 

90.13.228.15 www.myfunnycompany.com - [20/May/2013:17:01:16 +0200] "POST /statistics.php HTTP/1.1" 500 353 "http://www.myfunnycompany.com/fr/67-tour-de-cou" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"

Le fichier statistics.php date du 19 janvier 2012 (date d'installation du shop) et n'a donc pas ete modifie depuis.

 

Votre avis ? Faux positif ?

[Oron]

Bonjour,

Nous avons recu exactement le meme mail d'ovh aujourd'hui concernant le fichier statistics.php.

Dans les logs, j'ai trouve 8 fois cette ligne juste avant qu'OVH ne coupe le site :

 

[Mon May 20 17:04:16 2013] [error] [client 90.13.228.15] [host www.myfunnycompany.com] (104)Connection reset by peer: Error reading request entity data, referer: http://www.myfunnyco.../67-tour-de-cou

Et du coup plusieurs fois de suite cette ligne :

 

90.13.228.15 www.myfunnycompany.com - [20/May/2013:17:01:16 +0200] "POST /statistics.php HTTP/1.1" 500 353 "http://www.myfunnycompany.com/fr/67-tour-de-cou" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"

Le fichier statistics.php date du 19 janvier 2012 (date d'installation du shop) et n'a donc pas ete modifie depuis.

 

Votre avis ? Faux positif ?

 

Ce message c'est un abonné wanadoo.fr qui a essayer d'accéder à la page mais a eu une erreur

ce n'est pas un accès de hack. Vous avez trouver dans quel fichiers log ?

[pchan]

Ce message c'est un abonné wanadoo.fr qui a essayer d'accéder à la page mais a eu une erreur

ce n'est pas un accès de hack. Vous avez trouver dans quel fichiers log ?

 

Les fichiers error et web chez OVH. Le mail recu d'OVH aujourd'hui (enfin le 20 puisqu'il est passe minuit) est en tous points identique a celui du debut de ce topic, sauf qu'il indique que le probleme vient de statistics.php. J'ai donc fait des recherches sur ce fichier dans les logs en me basant sur l'heure indiquee dans le mail recu d'OVH. A part cette fameuse ligne qui se repete 8 fois d'affilee, il n'y a rien. Et comme je le disais, le fichier n'a pas ete modifie depuis son installation.

[claire39]

Peut être est tu comme numismeuros dans le cas d'un faux positif (en tout cas à première vue) , de la part d'ovh.

Mais fermer le site interdit toute analyse des pages pour y trouver quelque iframe ou code javascript indésirable que ce soit.

 

@Broceliande

Est-ce que je peux vous donner des accès FTP pour voir si c'est le cas ou non?

[Broceliande]

@Broceliande

Est-ce que je peux vous donner des accès FTP pour voir si c'est le cas ou non?

 

Sans pb

[claire39]

@ Broceliande

Merci, je vous ai envoyé un MP.

[habitmode]

bonsoir a tous même problème

je suis avec la version 1.5.4.1

 

ovh

 

 

 

Bonjour,

 

Notre système de surveillance (Okillerd) a détecté une opération irrégulière au niveau de votre site.

 

Les détails de cette opération sont les suivants :

 

habitmode.com

 

Problème rencontré : Backdoor

Commande apparente : php.ORIG.5 -c /usr/local/lib/php.ini -d register_globals=1 -d magic_quotes_gpc=1 -d session.use_trans_sid=1 index.php Exécutable utilisé : /usr/local/bin/php.ORIG.5.2.17

Horodatage: Tue May 21 10:31:57 CEST 2013