[ HACK ] - Via les modules themeforest

[YanK]

Bonjour,

 

Dans l'urgence je poste ce message pour prévenir les personnes utilisant des themes Themeforest.

 

Les modules concernés et connues sont :

simpleslideshow

columnadverts

homepageadvertise

productpageadverts

 

Si votre client n'en a pas besoin SUPPRIMEZ LES !

Une desactivation ne suffira pas. C'est modules sont codés avec les pieds (point de vue personnel).

 

Si vous en avez besoin exécutez ceci rapidement sur vos serveur :

echo "php_flag engine Off" > www/modules/homepageadvertise/slides/.htaccess
echo "php_flag engine Off" > www/modules/homepageadvertise/thumbs/.htaccess

echo "php_flag engine Off" > www/modules/simpleslideshow/slides/.htaccess
echo "php_flag engine Off" > www/modules/simpleslideshow/thumbs/.htaccess
echo "php_flag engine Off" > www/modules/simpleslideshow/images/.htaccess

echo "php_flag engine Off" > www/modules/columnadverts/slides/.htaccess
echo "php_flag engine Off" > www/modules/columnadverts/thumbs/.htaccess

echo "php_flag engine Off" > www/modules/productpageadverts/slides/.htaccess
echo "php_flag engine Off" > www/modules/productpageadverts/thumbs/.htaccess

Si vous êtes infecté. Faites le ménage.

Supprimé les fichiers suivant qui peuvent être partout ou Apache a les droits en écriture :

is.php

m.php

22.php

x.htm

kentu.html

50.php

pocong.html

t.php

dya.php

z.php

 

Comparé l'intégralité de votre projet avec vos sources non infectées.

Le script modifie aussi les index.php de Prestashop

 

Si j'ai plus d'information je viendrai les donner sur ce post.

 

Yannick

 

PS : Si le poste est mal placé n'hésitez pas à le déplacer.

Edited June 24, 2016 by YanK (see edit history)

[Thesee]

yes, they have an uploadimage.php that can be used without auth so anyone can upload arbitrary files....

[labelandco]

[restification de propos]

 

un vieil adage dit :

il faut tourner 7 fois sa langue avant de parler

 

ben j'aurais mieux fait de gratter mes crottes de nez plutot que de taper mes doutes concernant cette info.

Edited June 26, 2016 by labelandco (see edit history)

[Achille]

Le thème concerné, il y en peut-être d'autres, c'est Warehouse : http://themeforest.net/item/warehouse-responsive-prestashop-16-theme-blog/3178575

[ritopina]

Merci Yank tu as assurer GRAVEEEEEEEEEEEEEE pour l'info

 

Et aussi pour Achille pour le nom du theme

[labelandco]

ouaii je dois bien reconnaitre mon erreur

merci a vous deux et milles excuses pour cette mlse en doute (que j'efface aussitot)

[Togheishop]

merci!

[Guest]

Tous les clients ayant achetés Warehouse ont été notifiés des mises à jour à effectuer. Le Problème c'est que c'est trop tard pour pas mal de gens !!! :huuu

Ceci dis, en plus d'être une usine à gaz c'est vrai que ce thème est codé avec les pieds !!!

[Johann]

Non, pas "tous les clients...". J'ai acheté ce thème il y a 3 ans, rien reçu !

[Guest]

Non, pas "tous les clients...". J'ai acheté ce thème il y a 3 ans, rien reçu !

 

ça parait pas normal si votre compte est toujours actif chez eux avec un email valide. L'envoi à été fait depuis themeforest aux clients,  à moins que le délais pour le support soit dépassé (3 ans), je ne connais pas très bien leur conditions de vente.

[Johann]

Oui, mon mail est toujours valide. Mais je ne sais même plus pour quel client j'avais utilisé ce thème ! Je vais essayer de retrouver, mais je crains que ce ne soit un site en PS 1.5, et pas sur que la dernière version du thème fonctionne sur 1.5

[medocanspirit]

Bonjour,

 

Visiblement il faut aussi contrôler tous ces modules :

 

advancedslider
columnadverts

homepageadvertise
homepageadvertise2
productpageadverts
simpleslideshow
videostab

[LIJE Creative]

Hello,

 

ça peut vous aider : http://www.lije-creative.com/auditer-serveur-piratage/

[Johann]

ça parait pas normal si votre compte est toujours actif chez eux avec un email valide. L'envoi à été fait depuis themeforest aux clients,  à moins que le délais pour le support soit dépassé (3 ans), je ne connais pas très bien leur conditions de vente.

 

Je viens de recevoir le mail !

[RaWMotorsports]

Merci Merci Merci.
Mon site a été attaqué, et la mis par terre pendant 24H, j'ai tout remis en ligne et 24H apres rebellote.
Je viens de faire la MAJ 3.8 du theme, en éspérant que cela solve le probleme.

[pierkidesign]

Salut

 

Mille merci pour les infos, idem : site (theme warehouse 3.5.1) plombé ce week end via les modules cités plus haut, pour envoyer du spam.

J'ai joué pas mal avec postqueue / postcat / grep / find (un peu de révision ne fait pas de mal)

J'avais des fichier atom.php, alias19.php, des css.php corrompus

Par contre, pas vu de fichiers index modifié, est ce que certains en ont eu ? si oui lesquels ?

 

Merci !

 

Pour ceux que ça intéresse, quelques commandes utiles :

 

trouver le script qui envoie le spam :

http://frontmag.no/artikler/how-identify-script-sending-spam-through-postfix

 

clear selectif de la postqueue en fonction du domaine :

https://www.howtoforge.com/delete-mails-to-or-from-a-specific-email-address-from-postfix-mail-queue

 

rechercher tous les fichier modifiés à une date précise :

http://stackoverflow.com/questions/158044/how-to-use-find-to-search-for-files-created-on-a-specific-date

 

 

J'ai suivi les instruction de sécurité de l'update du theme 3.8 (remplacement des modules no secure), mais pas mis à jour le theme complet.

Périodes de solde oblige ... on verra ça plus tard

 

On va voir si ça tient ?

 

@iqit team : quand je vois les instruction d'upgrade, franchement ça dissuade un peu (3.5.1 vers 3.6 puis 3.6 vers 3.8) avec une tonne de modules à désactiver / réinstaller / upgrader / reconfigurer suivant les versions etc....

Edited June 28, 2016 by pierkidesign (see edit history)

[RaWMotorsports]

J'ai tout supprimé... Et re-uploader mon site que j'avais sauvegarder en local !!

[Namory]

Pareille, attaqué hier soir. J'ai également le thème warehouse.

 

J'ai tout supprimé sur le serveur. Ré-upload encours.

 

Correction des fichiers avec les fixs.

 

C'est pénible...

[Namory]

Je ne suis pas abruti, j'ai regardé les logs pour savoir quand mon site a été infecté...

J'ai repris une sauvegarde antérieure aux fichiers modifiés.

J'ai appliqué le fix du développeur sur les modules concernés.

J'ai uploadé cette sauvegarde modifié.

[Namory]

Pour le moment, ça fonctionne et pas de nouvelles attaques.

Je tiens au jus si nouvelle attaque.

Courage à tous.

[codetheweb]

Le mieux est de désactiver temporairement les modules.

Solution appliquée pour un de mes clients: désinstallation complète (et supression) des modules, réinstallation d'un thème s'en rapprochant, reprise du design global.

[Cooker.ch]

Moi aussi mon site à été attaqué,

 

J'ai perdu un peu de CA mais sinon, ca va. J'ai nettoyé et download la MàJ des modules. J'ai acheter un module Protectmyshop sur l'addons de prestashop et tous est réglé. 

 

Merci pour l'infos, mais perso mon Hébergeur à bloquer mon site dès qu'un fichier suspect est été identifié. La première intrusions à été détecté déjà le 14 Juin 2016.

[RaWMotorsports]

Je ne disais pas ça spécialement pour toi ...

 

Je pense que tu parles de moi, du coup. Au premier coup, je n'étais pas au courant du HACK, je n'avais pas recu de mail de ThemeForest, ni lu le forum. J'ai d'abord cru a quelqu'un qui avait "volé" les codes ayant eu recours a une société tierce pour réparer un soucis sur un module.

J'avais tout réuploader avant que le site soit touché. Sauf que vu que j'ai pas mis a jour le theme, forcement.. C'est reparti en vrac.

 

Tout est en ordre depuis 1 semaine maintenant avec theme et presta a jour. RAS.

[ZIED]

j'ai subit le hack le 24 pendant 4 heures ! puis erreur 500  pendant 12 longue heures !

backup infecter depuis le 18 juin  j'ai du revenir vers le 6 juin site stabiliser que le 27 juin

maintenant tout est ok  mais maintenant c'est Google qui me pénalise qui me ruine ..!!

Moralité de l'histoire ne jamais négliger la sécurité ! 

j'ai reçu l'email d'avertissement 2 jours avant et j'ai négliger ! bon j'etait déjà infecter a cette date mais bon les dégâts serai moindre si j'aurais donné de l’importance a ce message d'alerte !

autre chose et la plus importante il faut avoir un manuel de procédure a effectuer en urgence (  car dans la panique on peut faire du n'importe quo ! )

en cas de hack ou panne ou autre et surtout un backup utilisable immédiatement...

[medocanspirit]

Encore une attaque de mon côté cette nuit...

Un nouveau fichier infecté dans le module cashondelivery...

 

Malgré les mises à jour et la désinfection des fichiers, il semble qu'une porte soit restée ouverte...

 

De mon côté le site n'est pas HS, mais le malware utilise la fonction mail() pour spamer et du coup, mon hébergeur bloque automatiquement les mails à partir d’un trop grand nombre afin de limiter la casse... Ce qui signifie que plus aucun mail n'est expédié de ma boutique, ni les confirmations de commande, ni les mises à jour des statuts de commande...

 

Pas pénalisant au sens strict, mais bien chiant et peu professionnel...

 

J’ai recherché manuellement, lancé l’antivirus et l’antimalware de CPanel... Je ne sais plus trop où chercher.

 

Ce qui est étrange ce que les fichiers continuent d’apparaitre, donc ils ont encore une porte ouverte via un module ou un fichier source.

[RaWMotorsports]

j'ai subit le hack le 24 pendant 4 heures ! puis erreur 500  pendant 12 longue heures !

backup infecter depuis le 18 juin  j'ai du revenir vers le 6 juin site stabiliser que le 27 juin

maintenant tout est ok  mais maintenant c'est Google qui me pénalise qui me ruine ..!!

Moralité de l'histoire ne jamais négliger la sécurité ! 

j'ai reçu l'email d'avertissement 2 jours avant et j'ai négliger ! bon j'etait déjà infecter a cette date mais bon les dégâts serai moindre si j'aurais donné de l’importance a ce message d'alerte !

autre chose et la plus importante il faut avoir un manuel de procédure a effectuer en urgence (  car dans la panique on peut faire du n'importe quo ! )

en cas de hack ou panne ou autre et surtout un backup utilisable immédiatement...

 

Pareil sur un de mes 3 sites : Google indique " Ce site a peut être été piratée" ce qui n'est pas franchement bon..

J'ai fait une demande de ré-examen sur google Webmaster, depuis 24H, la demande est "en attente"...

[2FR3]

Bonjour,

Ce hack fait des degats, 2 clients cette semaine pour moi.

 

J'ai trouvé la source et averti le CM. Pour ceux qui veulent jeté un oeil sur la source, MP moi

[medocanspirit]

Le spam via la fonction mail de php ne vient surement pas de la faille mais du module prestashop : Send to a friend

 

 

Ca veut dire quoi ? Avez vous des sauvegardes de début Juin par exemple ?

 

3pom 

 

Et bien ça veut dire que, sur mes anciennes sauvegardes (avant, pendant et après les premières, attaque), les nouveaux fichiers que je viens de trouver n'existaient pas.

 

Encore deux ce matin qui sont arrivés dans les dossiers img à la racine.

Le fichier error.php, déposé dans img/s/, n'est pas un fichier source et n'existe dans aucune de mes sauvegardes préalables par exemple.

[2FR3]

 

Et bien ça veut dire que, sur mes anciennes sauvegardes (avant, pendant et après les premières, attaque), les nouveaux fichiers que je viens de trouver n'existaient pas.

 

Encore deux ce matin qui sont arrivés dans les dossiers img à la racine.

Le fichier error.php, déposé dans img/s/, n'est pas un fichier source et n'existe dans aucune de mes sauvegardes préalables par exemple.

 

Regardez vos logs, c'est comme cela que j'ai trouvé les modules incriminés.

Aussi, remettre des sauvegardes antérieures ne corrige en aucun cas la faille. Il faut découvrir l'origine du problème avant tout.

[codetheweb]

Il y a très certainement un pb aussi au niveau de vos droits apache

[medocanspirit]

J'ai réussi à lister, grâce à une commande SSH, un certain nombre de fichiers infectés.

Certains ajoutés, et certains greffés en haut de script.

 

Je continue mes recherches.

[2FR3]

Sur les deux que j'ai eu a réparer, la faille a été exploitée différemment.

[RaWMotorsports]

Pareil sur un de mes 3 sites : Google indique " Ce site a peut être été piratée" ce qui n'est pas franchement bon..

J'ai fait une demande de ré-examen sur google Webmaster, depuis 24H, la demande est "en attente"...

La demande de ré-examen google a été faite ce jour et approuvé.

Il aura fallu environ 1 semaine.

[magic_lilou]

Il y a une nouvelle mise à jour du thème Warehouse qui vient de tomber se matin 3.8.1

vais plus attendre des mois avant de mettre à jour mes sites maintenant lol.

[YanK]

Apparemment je ne suivais pas mon propre post et je n'avais vu aucunes de vos réactions.

Je n'ai pas eu cette mise à jour pour le thème.
Merci à vous tous pour vos réactions et d'avoir relayer vous aussi vos infos et résultats personnels.

[Agnès_Ts]

Bonjour,

Le spam via la fonction mail de php ne vient surement pas de la faille mais du module prestashop : Send to a friend

 

Cela veut dire qu'il est mieux de supprimer ce module ?

 

Agnès