tentative de piratage site

[freepie]

Bonjour a tous.

 

Faille de sécurité prestashop 1.6

 

Mon site a été fermé suite à une tentative de piratage.

Hébergé chez OVH mutualisé

version presta 1.6

 

voici le commentaire envoyé par ovh

 

Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

fripie.com

Problème rencontré : Process listening on port: 46837
Commande apparente : php-fpm: pool fripie
Exécutable utilisé : /usr/local/php5.4/sbin/php-fpm
Horodatage: 2014-12-14 07:40:05

 

Comment faire pour corriger ce problème ?

 

merci a vous, de me donner quelques pistes

 

cordialement

 

Olivier

Edited December 15, 2014 by freepie (see edit history)

[jph64]

Problème identique ...

 

> Problème rencontré : Process listening on port: 44234
> Commande apparente : php-fpm: pool xxxxxxxxx
> Exécutable utilisé : /usr/local/php5.4/sbin/php-fpm
> Horodatage: 2014-12-19 20:45:04

 

 

personne n'a une idée ?

[Eolia]

Bonjour a tous.

 

Faille de sécurité prestashop 1.6

 

Mon site a été fermé suite à une tentative de piratage.

Hébergé chez OVH mutualisé

version presta 1.6

 

voici le commentaire envoyé par ovh

 

Notre système de surveillance (Okillerd) a détecté une opération

irrégulière au niveau de votre site.

 

Les détails de cette opération sont les suivants :

 

fripie.com

 

Problème rencontré : Process listening on port: 46837

Commande apparente : php-fpm: pool fripie

Exécutable utilisé : /usr/local/php5.4/sbin/php-fpm

Horodatage: 2014-12-14 07:40:05

 

Comment faire pour corriger ce problème ?

 

merci a vous, de me donner quelques pistes

 

cordialement

 

Olivier

 

Avant de mettre ce genre de titre, pourquoi dites-vous que Prestashop1.6 possède une faille de sécurité ?

 

A la lecture du log d'erreur OVH le script malveillant a opéré bien en amont de votre boutique.

Le problème vient donc de la sécurité de l’hébergeur et non de votre site. Je constate d'ailleurs qu'il est de nouveau en ligne, donc vous pouvez au moins passer le titre en [Résolu] et peut-être nous expliquer ce qui c'est passé ?

[jph64]

Pardon je n'ai jamais parlé de faille Prestashop !

 

J'ai réussis à remettre le site en ligne ce qui ne veut pas dire que mon problème est résolu, la preuve ce matin ça recommence :

 

"Notre système de surveillance (Okillerd) a détecté une opération
> irrégulière au niveau de votre site.
>
> Les détails de cette opération sont les suivants :
>
> Problème rencontré : Process listening on port: 41820
> Commande apparente : php-fpm: pool xxxxxxxxx
> Exécutable utilisé : /usr/local/php5.4/sbin/php-fpm
> Horodatage: 2014-12-28 09:10:07
>
> Ceci n'est pas autorisé sur nos installations,
> car c'est une tentative potentielle de piratage.
>
> Si ce n'est pas vous qui avez lancé ce script, cela signifie
> qu'il y a une faille sur votre site et qu'un hacker s'en
> est servi pour réaliser cette opération.
>
> Nous avons désactivé l'accès web temporairement pour éviter tout
> risque de nouveau piratage."

 

Je peux remettre le site en ligne mais cela ne résoudra pas mon problème.

 

Si vous avez une idée ?

 

 

[BoutikShop69]

Bonjour,

 

Je rejoins Eolia, sur le principe. Dans le cas présent, il s'agit d'un script malveillant, qui est probablement caché dans << Un Des Modules Que Vous Utilisez >>, il faut bien comprendre la différence avant de lancer mon prestashop a une faille de sécurité.

 

La sécurité d'un site, ça ne repose pas entièrement sur les épaules de l'hébergeur, c'est aussi à nous de comprendre et mettre en place certaines règles : comme protéger certains Répertoires / Dossiers par des << - index >>, ou encore écrire des order allow, deny - allow from all afin d'empêcher l'accès à des Extensions / Fichiers Sensibles (.htaccess en est un exemple), si vous tapez le : nomdemonsite.com/.htaccess vous prendrez un magnifique : 403 forbidden (accès denied). Il en existe également d'autres : désactiver la signature du serveur, mettre expose_php sur Off ....

 

Le problème c'est que maintenant le mal est fait, et qu'il faut trouver le module / fichier en cause et le dévéroler.

 

Cordialement.

Edited December 28, 2014 by shooping (see edit history)

[Eolia]

Pardon je n'ai jamais parlé de faille Prestashop !

 

J'ai réussis à remettre le site en ligne ce qui ne veut pas dire que mon problème est résolu, la preuve ce matin ça recommence :

 

"Notre système de surveillance (Okillerd) a détecté une opération

> irrégulière au niveau de votre site.

>

> Les détails de cette opération sont les suivants :

>

> Problème rencontré : Process listening on port: 41820

> Commande apparente : php-fpm: pool xxxxxxxxx

> Exécutable utilisé : /usr/local/php5.4/sbin/php-fpm

> Horodatage: 2014-12-28 09:10:07

>

> Ceci n'est pas autorisé sur nos installations,

> car c'est une tentative potentielle de piratage.

>

> Si ce n'est pas vous qui avez lancé ce script, cela signifie

> qu'il y a une faille sur votre site et qu'un hacker s'en

> est servi pour réaliser cette opération.

>

> Nous avons désactivé l'accès web temporairement pour éviter tout

> risque de nouveau piratage."

 

Je peux remettre le site en ligne mais cela ne résoudra pas mon problème.

 

Si vous avez une idée ?

bonjour,

 

Vous n'auriez pas un wordPress par hasard, sur le même hébergement ?

[jph64]

bonjour,

 

Vous n'auriez pas un wordPress par hasard, sur le même hébergement ?

 

Bonjour,

 

Non ! Je n'ai que ce site sur cet hébergement.

 

J'ai à moitié résolu le problème en installant CrawlProtect. Ce logiciel est efficace puisque depuis, les attaques sont bloquées. Ceci dit, ce n'est pas top parce qu'il faut à chaque fois le désactiver pour faire la moindre chose sur le site (entrer un article, ajouter un module, etc ...).

 

De mon côté, je reste persuadé que cela vient d'un de mes modules. Les entreprises fournissent le leur et il ne doit pas être super sécurisé. (leguide, naturabuy, idealo, ...).

 

Voilà, je ne peux rien de plus que rester avec CrawlProtect qui a l'air bien efficace.

[hpecas]

Bonjour,

 

nous avons exactement le même probleme, pas de solution pour l'instant on cherche dans les modules, mais pas evident pour un site en production.

Et surtout on ne sait reproduire l'erreur!

 

Si quelqu'un a une idée...le support d'OVH n'a pas de réponse a nous donner même en payant l'intervention!

[jph64]

Bonjour,

 

D'après ce que j'ai pu voir sur certains forums, si d'autres sites sur le même serveur sont infectés, ça pourrait nous bloquer également !

 

Bref, moi j'ai pris ma décision, adieu OVH ! J'ai transféré tout mon site, mon nom de domaine, ma bdd et depuis, plus aucun souci. J'ai retiré mon CrawlProtect, nickel.

 

Bilan : tout vient de chez OVH et non des modules.

 

Voilà pour moi, affaire réglée définitivement. Bon courage à vous ...

[Kaby]

Bonjour à tous,

 

Je me permets de rebondir sur ce post car j'ai exactement le même problème.

 

Deux nuances:

- j'ai une alerte sur un autre port (33829)

- J'ai un wp sur le même serveur (j'ai vu que la question a été posée plus haut).

 

J'essaye de récupérer ce qu'il y a en ligne vers ma machine en local pour possiblement trouver quelque chose.

 

Enfin, OVH me parle d'une alerte à 11:00:05. Dans mes logs je n'ai rien à cet instant précis. Est-ce fiable à la seconde ?

 

D'autres idées ?

 

Merci d'avance,

 

Xavier

Edited April 4, 2015 by Kaby (see edit history)

[Alexandre Carette]

Bonjour,
 

> Problème rencontré : Process listening on port: 41820
> Commande apparente : php-fpm: pool xxxxxxxxx
> Exécutable utilisé : /usr/local/php5.4/sbin/php-fpm
> Horodatage: 2014-12-28 09:10:07

 
Sur le site d'OVH: https://www.ovh.com/fr/hebergement-web/optimisation-php-fpm.xml
 
L’amélioration PHP-FPM est incluse et activée sur toutes nos offres d’hébergement web. Toutefois, l’exécution de vos scripts, aussi optimisée qu’elle soit, dépend également du nombre de workers PHP présents pour les interpréter. Or, monter en gamme sur une formule supérieure, c’est aussi s’assurer plus de workers à disposition et donc autant de gain avec PHP-FPM.
 
Cela vient du serveur de cache d'OVH, à mon avis il faut entrer en contact avec eux, c'est peut être de leur faute.
 
cordialement

[Kaby]

Bonjour,

 

Merci pour votre réponse mais j'avoue ne pas du tout voir le rapport. Peut être pouvez-vous m'éclairer ? Nous parlons ici de l’identification d'un éventuel hack, pas de performance !?

 

Cdlt

[hpecas]

Bonjour à tous,

 

Je me permets de rebondir sur ce post car j'ai exactement le même problème.

 

Deux nuances:

- j'ai une alerte sur un autre port (33829)

- J'ai un wp sur le même serveur (j'ai vu que la question a été posée plus haut).

 

J'essaye de récupérer ce qu'il y a en ligne vers ma machine en local pour possiblement trouver quelque chose.

 

Enfin, OVH me parle d'une alerte à 11:00:05. Dans mes logs je n'ai rien à cet instant précis. Est-ce fiable à la seconde ?

 

D'autres idées ?

 

Merci d'avance,

 

Xavier

 

Bonjour,

 

de notre côté problème résolu. Rien a voir avec Wordpress, c'était le module de chat qui efectivement utilisait FTP en mode actif et il faut passer en passif, plus d'infos:

https://www.ovh.com/fr/g1463.specificites-hebergements-mutualises#php_ftp_via_php

 

Depuis que l'on a desactivé on a plus d'alertes!

 

Cordialement,

 

Jorge Santos

[Alexandre Carette]

Bonjour,

 

Merci pour votre réponse mais j'avoue ne pas du tout voir le rapport. Peut être pouvez-vous m'éclairer ? Nous parlons ici de l’identification d'un éventuel hack, pas de performance !?

 

Cdlt

 

Il y a un processus sur ta machine serveur qui écoute sur le port 33829 et ca ne plaît pas au robot d'ovh, alors en effet il y a peut être un virus sur le serveur qui ouvre le port à des pirates pour pouvoir le pénétrer, dans tout les cas il faut voir avec ovh, c'est eux qui gère en mutualisé.

[hpecas]

Bonjour,

 

Merci pour votre réponse mais j'avoue ne pas du tout voir le rapport. Peut être pouvez-vous m'éclairer ? Nous parlons ici de l’identification d'un éventuel hack, pas de performance !?

 

Cdlt

 

bonjour,

 

le mot "hack" est un peu fort ici.

Comme indiqué dans mon message précédent, les alertes -dans notre cas- était dues a l'accès FTP actif du module VIDEODESK.

En effet OVH a changé les réglès et n'autorise plus le FTP en mode ACTIF d'ou ce blocage de la part de OKILLERD.

Depuis que l'on a changé de module de chat on a plus ce problème.

 

Cdt,

 

Jorge