Mon Prestashop a été hacké par Moroccanwolf

[Grimes]

Bonjour,

 

En me rendant sur mon site ce matin j'observe qu'il a été hacké.

 

Sur la page d'accueil j'ai un "hacked by Moroccanwolf"

 

L'adresse du site : http://sportchief.fr/

 

Est-ce quelqu'un a déjà connu ce problème ? Qielle est la méthode à suivre ? Merci

 

[Eolia]

Oui et vous n'êtes pas le seul à cause du module cartabandomentpro, regardez les différents posts depuis 3 jours^^

 

 

Si vous avez une sauvegarde d'avant le 13/07 du ftp, effacez le contenu du ftp et effectuez la restauration

Ensuite, modifiez tous vos mots de passe (ftp, mysql, back office)

 

Si vous ne savez pas faire ou n'avez pas de sauvegarde, envoyez-moi un accès ftp par MP

Edited July 18, 2016 by Eolia (see edit history)

[Grimes]

OK merci j'avais fait une sauvegarde donc je vais remplacer les fichiers de production en supprimant le module "cartabandonementpro".

 

Une MAJ de ce module est-elle prévue pour régler ce soucis ?

 

Merci

[Grimes]

Il semblerait qu'une MAJ a en effet été pushé le 15/07/16 si l'on se réfère aux informations du module sur Addons.

[dokoss]

Suite à cette attaque de MorroconWofl dont nous avons nettoyé tous les fichiers suspects sur le ftp, changer les mdp FTP, BO, hébergeur, DB, etc...

 

Une nouvelle attaque avec une redirection type hameçonnage !..

 

Ca doit certainement venir de la même faille initiale....

 

Je n'ai pas le module "cartabandonementpro" (Prestashop 1.4.6.2)

 

Notre site fonctionne toujours mais pour combien de temps.... ? Jusqu'à la prochaine attaque je présume.

 

Des experts en sécurité peuvent me dire comment nettoyer ou corriger cette faille dont je n'arrive pas à trouver la brèche ? Si cela est payant, n'hésitez pas à me le mentionner en MP... C'est important pour notre petite PME.

 

Urgent.

 

Thanks.

[Eolia]

Il n'y a pas qu'un seul module responsable et quand vous dites "nettoyé", c'est à dire ? Mêmes les fichiers remplacés ou modifiés?

 

Tout dépend du style de hacker, depuis que les failles ont été diffusées sur le net on trouve de tout: du gamin de 11 ans qui tente un truc aux plus "pros" qui l'utilisent de façon beaucoup plus discrète et mal-intentionnée

 

Je pense que vous avez aussi du suivre votre serveur mail pour contrôler les envois en masse.

[dokoss]

Bonjour,

 

On m'a informé à l'instant que le module "Attribute Wizard Pro" est touché. J'attends le correctif de l'équipe qui le développe.

 

Comment puis-je contrôler si notre serveur de mails a servis? C'est un hébergement mutualisé pro OVH.

 

Merci à vous,

Edited August 4, 2016 by dokoss (see edit history)

[Eolia]

Oui ce module est égalemenr responsable, mais un correctif a été fourni par l'auteur.

 

Pour les mails, alles dans votre panel ovh -> suivi des emails automatisés

 

Vous n'avez pas répondu à ma question:

 

 

Il n'y a pas qu'un seul module responsable et quand vous dites "nettoyé", c'est à dire ? Mêmes les fichiers remplacés ou modifiés?

[dokoss]

En analysant le FTP et ses fichiers je me suis basé sur les 'dates de modification' pour vérifier et supprimer ce qui doit l'être. Pas croisé de fichiers existants ayant été modifiés.

 

Je vois 53 e-mails envoyés le jour de l'attaque via des scripts.

Edited August 4, 2016 by dokoss (see edit history)

[Eolia]

Ok, donc vous avez scanné tous les fichiers, y compris ceux contenus dans les modules, tels que Paypal/checkout ou /js/jquery/plugins, c'est ça ?

[dokoss]

En effet, nous avions vérifié.

 

Mais par sécurité nous avons replacé les fichiers du dernier backup avant l'attaque. A l'instant.

 

Nous attendons maintenant la réponse de Tomer de Presto-Changeo pour le module Attribute Wizard Pro.

 

En espérant que cela soulage notre stress.

 

Merci Eolia.

[dokoss]

Pour renseigner les suivants qui tomberont ici,

 

Tomer de Presto-Changeo nous a envoyé les fichiers nécessaires pour "patcher" ce qui doit l'être au niveau du module "Attribute Wizard Pro" (AWP).

 

Tout semble être rentré dans l'ordre pour le moment.

 

Merci à vous vous.

[alexmonnerie]

Bonjour à tous, j'ai également eu ce problème (erreur : Notice: Undefined index: up in /--shop/controllers/admin/AdminLoginController.php on line 296)

 

Je vois que quelqu'un ici connait ce genre de problème, et j'aimerais vivement de l'aide. Je ne sais pas du tout quoi faire..

 

 

J'ai publié quelques informations concernant mon problème : http://forge.prestashop.com/browse/PSCSX-8792

 

Merci d'avance, excellente soirée à vous.

 

[Eolia]

Ben là, il n'y a pas le choix, il faut nettoyer^^

 

Mais depuis le 8 juillet il doit y en avoir partout.... :-(

[alexmonnerie]

Merci de ta réponse rapide Comment ca depuis le 8 juillet ?

 

Sais tu comment le "nettoyer" ?

[Eolia]

Relisez les posts concernant ce problème, nous avons reporté les premières attaques de hackers dès le 8 juillet.

 

Oui je sais le nettoyer, mais ce n'est pas gratuit car c'est du temps à passer (environ 45000 fichiers à contrôler et 300 000 lignes de code...)