Mon site a été hacké !!

[L'homme Pressé]

Hello everybody !

Juste un petit mot pour dénoncer la mauvaise expérience vécue ce jour, celle d'avoir vu mes logs modifiés au profit d'un autre. Qui est-il, que veut-il et qu'a t-il fait ? Fruit du hasard ou mauvaise rencontre sur le web ?

Après avoir travaillé la veille sur les fiches produits d'un site pas encore ouvert et communiqué qu'à un nombre restreint de personne, j'ai pu constater avec surprise, que l'accès à mon BO m'étais refusé sous prétexte que j'étais inconnu !

"Tiens donc" me suis-je dis à l'intérieur de moi même... j'avais quitté mon site tout à fait normalement pourtant !! j'ai donc essayé de trouver de l'aide ("Heeelllp" via Google) et rien qui pointait vers un BUG de PS ou une maladresse de ma part, juste des soupçons sur un éventuel pb de cookies lié à mon navigateur (vite balayé en essayant un autre) et pour finir, un problème inconnu provenant de l'hébergeur mutualisé.

Je l'ai donc immédiatement alerté, en pointant du doigt le fait que ce n'est pas le premier problème rencontré, tatati tata... il me répond en quelques minutes (par mail) que la base de donnée n'a pas de problème et que les pb de lenteur rencontré était lié à des MAJ de noms de domaines d'un de leurs clients, enfin bref....

Je décide, en suivant un topic sur ce forum (désolé de ne pas cité la personne en question, je m'en veux), qui expliquait comment changer de mot de passe en passant directement par la base de donnée (car la fonction mot de passe perdu ne m'aidait pas non plus) et en utilisant l'excellent site http://www.md5.cz/ pour générer ce MdP. Bingo !!! C'est là, que je constate qu'un certains x-diablo utilisant le courriel [email protected] et comme mot de passe "22771f78a475f31dcdd647b96032fe53" dans le champs "employee" de ma base. Cet homme très peu recommandable (le gros mot a été censuré) m'avait tout simplement subtilisé mon accès ! En Googlant se psydonyme, j'ai pu constaté que c'était une team et je suis tombé sur le message "fack you you site web is hacking by team rabat salé contact my email: [email protected]" sur le site de www.judith-mcconnell-site.com

Tout ca pour quoi ? J'y si pas ! Pourquoi moi ? J'ai la version 1.2.4 de PS, cela aurait été moins simple avec la 1.2.5, qu'elle méthode a t-il utilisé (mon site directement cracké ou mon PC) ?

Enfin voilà, je voulais partager cette expérience et inciter les gens, comme moi, qui se voient refuser l'accès à leur BO, de passer par leur base de donnée et de voir ce que contient la clé "employee", car j'ai même lu qu'une personne n'avait plus accès et qu'il avait retrouvé 10 minutes après, suspect !!

Bon courage à tous !

[Maxime.]

Salut,

tu avais mis un Htaccess sur ton repertoire admin ?

[L'homme Pressé]

Salut !

Oui absolument, généré sur l'interface PS juste après l'install.

[StoreCommander]

Bonjour

Utilisez-vous FileZilla ? Si oui, les mots de passe ne sont pas cryptés, vous devez changer de client FTP.

[ningu]

@Vincent
FileZilla en mode SSH, normalement c'est ton bon, non ?

[StoreCommander]

Non, les mots de passe sont stockés en clair dans le fichier xml du "gestionnaire de sites" donc le moindre virus qui traine pompe tous les accès FTP très rapidement. Je serais hackeur je commencerais par ça, il n'y a pas plus simple...

[L'homme Pressé]

Bonsoir,

Non je n'utilise pas FilleZila. Je ne suis pas expert, mais n'y a t-il pas d'autres moyens, n'a t-il pas utilisé les brèches de sécurité de la 1.2.4 ?
Il n'a pas touché aux logs de la base de données, juste ceux du site... Pourquoi a t il viré mon log, il aurait été plus discret en créant un autre "employee" de type admin, car c'est pas le rubrique que l'on visite tous les jours après tout !

[skieur]

Est ce que tu peux nous mettre ton htaccess dans le post ?

[L'homme Pressé]

# .htaccess automaticaly generated by PrestaShop e-commerce open-source solution
# http://www.prestashop.com - http://www.prestashop.com/forums

# URL rewriting module activation
RewriteEngine on

# URL rewriting rules
RewriteRule ^([a-z0-9]+)\-([a-z0-9]+)(\-[_a-zA-Z0-9-]*)/([_a-zA-Z0-9-]*)\.jpg$ /img/p/$1-$2$3.jpg [L,E]
RewriteRule ^([0-9]+)(\-[_a-zA-Z0-9-]*)/([_a-zA-Z0-9-]*)\.jpg$ /img/c/$1$2.jpg [L,E]
RewriteRule ^lang-([a-z]{2})/([a-zA-Z0-9-]*)/([0-9]+)\-([a-zA-Z0-9-]*)\.html(.*)$ /product.php?id_product=$3&isolang;=$1$5 [L,E]
RewriteRule ^lang-([a-z]{2})/([0-9]+)\-([a-zA-Z0-9-]*)\.html(.*)$ /product.php?id_product=$2&isolang;=$1$4 [L,E]
RewriteRule ^lang-([a-z]{2})/([0-9]+)\-([a-zA-Z0-9-]*)(.*)$ /category.php?id_category=$2&isolang;=$1 [QSA,L,E]
RewriteRule ^([a-zA-Z0-9-]*)/([0-9]+)\-([a-zA-Z0-9-]*)\.html(.*)$ /product.php?id_product=$2$4 [L,E]
RewriteRule ^([0-9]+)\-([a-zA-Z0-9-]*)\.html(.*)$ /product.php?id_product=$1$3 [L,E]
RewriteRule ^([0-9]+)\-([a-zA-Z0-9-]*)(.*)$ /category.php?id_category=$1 [QSA,L,E]
RewriteRule ^content/([0-9]+)\-([a-zA-Z0-9-]*)(.*)$ /cms.php?id_cms=$1 [QSA,L,E]
RewriteRule ^([0-9]+)__([a-zA-Z0-9-]*)(.*)$ /supplier.php?id_supplier=$1$3 [QSA,L,E]
RewriteRule ^([0-9]+)_([a-zA-Z0-9-]*)(.*)$ /manufacturer.php?id_manufacturer=$1$3 [QSA,L,E]
RewriteRule ^lang-([a-z]{2})/(.*)$ /$2?isolang=$1 [QSA,L,E]

# Catch 404 errors
ErrorDocument 404 /404.php

[skieur]

Ok,

à priori il manque :


SetEnv REGISTER_GLOBALS 0

qui est une règle de sécurité de base visant à éviter l'injection sql. Il y en a d'autres, un petite recherche sur google te permettra de revoir la sécurité de ton site ;-P

A plus.

[L'homme Pressé]

Oh merci garçon

Super sympa... je vérifie cela immédiatement !

Merci encore d'être passé sur mon message et d'avoir répondu.

Je vous tiens au jus

[L'homme Pressé]

J'ai regardé mais c'est tout un language le htaccess, il faut lui mettre des instuctions, et certaines d'entre elles peuvent bloquer le site. Je pense pas touché de si tôt ce fichier... mon site se construit je vais y aller molo. Je n'ai même pas vu comment faire pour changer de thème lorsqu'on est un newbi, alors la sécurité !!

J'ai rajouté
SetEnv REGISTER_GLOBALS 0
SetEnv PHP_VER 5
en attendant la migration de PS vers 1.3 ou sup. pour corriger les brèches connues et j'en profiterais pour apprendre dans le détail les atouts du htaccess.

Merci encore everybody, je laisse ouvert le sujet encore quelques jours, au cas il y aurait d'autres choses à voir.

[Guest]

La gestion du fichier .htaccess est tout un art, il dépend de la configuration de ton serveur/hébergeur, bon continuation.

[Matttisss]

pour info, il est également possible de se créer un compte en Administrateur pour le B.O avec uniquement les accès FTP.. et ça fait plutôt froid ds le dos... car on imagine bien les conséquences si pas de backup récents :down:

[Arnaud06]

Bonjour,

Petite question, si Fizilla n'est pas top au niveau sécurité, avez-vous un Client FTP à recommander ? y compris payant ?
Pour ma part je suis sous Mac Os, donc plutôt sur cet OS, mais sur PC, cela peut aussi intéresser d'autres !
Visiblement c'est souvent la faille, bien plus que Prestashop lui-même...

Koikoo, tu propose de l'infogérance ?

Merci

AP

[Matttisss]

J'ai essayé un paquet de FTP et le prb est tjrs le même, tant que le pass est sauvegardé par le logiciel, une bestiole trouvera tjrs le moyen de tomber dessus. Pr ma part j'utilise maintenant l'option "Demander un mot de passe" dans le type d'authentification de filezilla... et change régulièrement mes pass.

[skieur]

Sous filezilla il suffit de cliquer sur ne pas enregistrer le mot de passe. Tu peux aussi faire le FTP en SSH

http://guides.ovh.com/UtilisationSFTP