Hack et envoi de spam (Tools/Swift/)

[LeGastronome]

Bonjour,

Ma boutique à été l'objet d'une attaque cette nuit.

La boutique à envoyer des mails de spam.

A priori le script était tools/swift/Swift/Message.php

je suis sur la dernière version sortie récemment...

Quelqu'un à déjà vu ça ?

[DevNet]

Bonjour,

La version courante sur PrestaShop du Swift Mailer est la version 3.3.2 .
Celle de l'éditeur officielle est aujourd'hui la version 4.0.6 .

Il faudrait voir le bug tracker pour voir si cela s'applique à un problème connu du composant en lui même ou alors si c'est depuis un bug de PrestaShop.

Quels sont les informations supplémentaires que tu a récoltés ? des logs ?

Bien cordialement

[LeGastronome]

Je n'ai pas beaucoup plus de détails

A priori aucun fichier modifiés.
Ça ressemble a une faille dans le fichier message.php

Peut on remplacer la version courante par la dernière?

[DevNet]

Je n'ai pas beaucoup plus de détails

A priori aucun fichier modifiés.
Ça ressemble a une faille dans le fichier message.php

Peut on remplacer la version courante par la dernière?

Aucune idée ! Renomme le dossier Swift actuel pour garder une copie, et upload la nouvelle version.
Si ça marche pas, faut voir les messages d'erreurs.

Sinon tu perds rien à remettre l'ancienne version

Bien cordialement

[LeGastronome]

Je risque de me refaire hacker ;(

[LeGastronome]

Elle a radicalement changé la version 4 !

Les fichiers n'ont plus le même nom etc... je ne pense pas qu'elle colle.

Par contre je sais pas par ou il est venu injecter son spam

[Patrick_64]

Bonsoir,
As-tu l'@ IP de ton intrus ? ca moi aussi j'ai été attaquée hier.

Merci

[LeGastronome]

non malheureusement, j'ai pas poussé plus que ça.

Si tu as des infos à mon avis il faut vite remonter cela dans le bug tracker, il y a une faille énorme.

Tu es sous quelle version ?

[Patrick_64]

Version 1.3.1.1

Si tu as le module Acheminement Visiteurs, tu as l'@IP et d'où vient ton visiteur, je te conseillerai de l'installer c'est très pratique et très simple d'emploi.
Si ce module te remonte une erreur 404, tu vas de suite voir dans les Pages Introuvables et là tu vois si tu as une attaque, presque en temps réel.

[LeGastronome]

C'est un module de base ?

Qui s'appel acheminement visiteur ?

[Patrick_64]

Va voir ce post :

http://www.prestashop.com/forums/viewthread/23729/

tu y trouveras le module et toutes les infos dont tu as besoin.

Bon courage

[LeGastronome]

Encore hacké cette nuit!

Le module ne fonctionne pas sur la 1.3.2.2
J'ai une page blanche

Intriguant comme piratage...
Qq1 a des infos?

[LeGastronome]

2010-10-15 00:42:15 SMTP connection from localhost (www.Mondomaine.com) [127.0.0.1]:60079 I=[127.0.0.1]:25 closed by QUIT
2010-10-15 00:42:15 1P6XR9-0005Be-24 <= [email protected] H=localhost (www.Mondomaine.com) [127.0.0.1]:60081 I=[127.0.0.1]:25 P=smtp S=811 [email protected] T="% THE BEST PREPARATIONS FOR SEX! %" from for [email protected]
2010-10-15 00:42:15 SMTP connection from localhost (www.Mondomaine.com) [127.0.0.1]:60081 I=[127.0.0.1]:25 closed by QUIT

[LeGastronome]

les mails de la boutique partent depuis :
[email protected]

or les mails de spam partent depuis :

[email protected]

C'est quoi ce qmail ?

[Patrick_64]

Salut,
Ton site est en local ou chez un hébergeur ?

[LeGastronome]

chez un hébergeur.


tu as encore eu des problèmes ?

[Patrick_64]

Essaie de changer le mot de passe de ton serveur SMTP, afin que les mails ne partent plus en premier, puis nettoie ton code de ces adresses qui te polluent.

[DevNet]

les mails de la boutique partent depuis :
[email protected]

or les mails de spam partent depuis :

[email protected]

C'est quoi ce qmail ?

qmail est tout simplement le mail exchanger local de ton serveur. C'est lui qui fait entre autre, partir les mails via le service smtp.

Est-il à jour lui aussi ?

[LeGastronome]

a priori ce n'est donc pas swift

Je ne sais pas par ou le hack est fait.

La page contact envoi avec swift ?

[DevNet]

Oui,

La classe Mail.php passe par Swift.

Bien cordialement

[LeGastronome]

le site vient de se remettre en défaut.

Je vais regarder dans les log.

[Patrick_64]

Et si tu essayez de ne pas passer par la fonction mail.php et de passer par un serveur SMTP ?

Anne

[LeGastronome]

J'ai pris un vps. Comme ça j'ai tout sécurisé et j'ai les log

Suite au prochain épisode, pour l'instant ça a l'air de rouler

Étrange comme hack

[Patrick_64]

Bon courage pour la suite,
Pense à mettre le poste en résolu.
Anne