[Résolu] Piratage

[Arty]

Bonjour

J'ai un sérieux problème que je n'arrive pas à résoudre seul :

Mes produits ont été piratés et renvoient vers une pharmacie en ligne.

Voir ici par exemple : http://atout-bio.com/12-entretien

je n'arrive pas à remettre mes produits comme avant pour qu'ils pointent correctement.

Pouvez vous m'aider svp, c'est urgent !

Cordialement.

Voir post pour détails. Merci pour Freecommander sans quoi je ne m'en serais pas sorti. MERCI a tous et merci particulier à mon assistant téléphonique pour sa générosité et sa sympathie ;-)

[telyweb]

Bonjour,

Avez vous regardé votre htaccess ?

Le problème viens certainement de la réécriture de vos url donc la modif est certainement dans le htaccess

Cordialement

Chris

[Arty]

J'ai regardé le htaccess et remis un ancien, pareil.

j'ai regardé les fichiers config sans succes aussi

[Oron]

Bonjour

Dans la base de donnée vous avez vérifier, l'exporter en un fichier sql et l'ouvrir avec le bloc-note ou tout programme texte. Utiliser la recherche avec l'adresse de redirection.

Vous avez mis des mot de passe trop simple ?
Est-ce que vos pages sont configurer juste pour la lecture et certain écriture.

Et votre hébergeur vous lui avez signaler le problème ?

[telyweb]

pour vérifier si ça viens de la réécriture rien de plus simple vue la situation vous ne risquez pas grand chose à désactiver le module de réécriture le temps de trouver d'ou viens l'infiltration. ainsi vous pouvez quand même conserver votre site ouvert sans que vos clients vous soit volés.

[Odjavel]

Un petit dépot de de plainte ne serait pas un luxe.

Même si le site en question se trouve à l'étranger, au moins vous prendrez acte avec la Police.
On ne sait jamais, ça pourra servir plus tard.

[Never]

Un petit dépot de de plainte ne serait pas un luxe.

Même si le site en question se trouve à l'étranger, au moins vous prendrez acte avec la Police.
On ne sait jamais, ça pourra servir plus tard.

En général pour ce genre de plainte "internet" ils n'acceptent pas trop non?

[Odjavel]

Pénétrer sans autorisation dans un réseau informatique est un délit.

Donc, tu dois pouvoir porter plainte si tu t'estimes victime de ce délit.

Dans un commissariat de base, je ne sais pas, mais peut-être y a-t-il un service spécialisé de la Police qui s'occupe de ça.

Cherche sur GG, tu trouveras surement des réponses.

[Fluorite]

Bonsoir
Avec un petit WHOIS, il est tout à fait possible d'obtenir un tas d'information sur le dite site et ça reste tout a fait légal.
http://whois.domaintools.com/atout-bio.com
Bonne soirée
Yannick

[telyweb]

Suit les indiquation ci dessous pour tenter de résoudre ton problème et tient nous au courant des évolution de ta recherche ainsi que des problèmes trouvés :

Dans un premier temps remet ton site en route et d'ésactive la réécriture d'url il y à de grande chance que ça régle ton problème sur l'instant !

Pour rechercher l'url de redirection qui pose problème télécharge le contenu de ton ftp sur ton dique dur

Télécharge "freecommander" il permet de rechercher très rapidement dans les fichier d'un dossier donné, si tu à besoin d'un coup de pouce pour l'utiliser demande ici je répond.

recherche dans un premier temps une partie de l'url de redirection (exemple pour http://www.test123.com cherche test123) si tu ne le trouve pas ainsi c'est certainement que le hacker utilise une redirection autre et dans ce cas c'est un peut plus compliqué mais pas impossible.


Si ça ne fonctionne pas comme ça nous explorerons d'autres possibilitées.

bon courage

[Arty]

Bonjour

Donc j ai désactivé les url simplifiées, pareil... toute fiche produit détaillée renvoie vers cette pharmacie...

Je continue les recherches et vous tiens au courant

Ftp vers disque dur en cours, freecommander installé...

Au passage, j'utilise filezilla, et j'ai entendu parler de mots de passe piratés par ce biais. Je cherche donc un autre ftp gratuit mais plus sur.

Hebergeur : OVH. (jamais eu de soucis avec eux pour le moment).

Merci a tous !

[telyweb]

verifi aussi si tu à pas un code base64 dans tes fichier si c'est le cas dit nous ou et quel version tu utilise

[pblanc]

verifi aussi si tu à pas un code base64 dans tes fichier si c'est le cas dit nous ou et quel version tu utilise

oui c'est une bonne idée.

cette chaîne "aHR0cDovL2F0b3V0LWJpby5jb20vMTItZW50cmV0aWVu" corespond à http://atout-bio.com/12-entretien en base64

[Arty]

Bonjour

Tout d'abord je vous prie de m'excuser de ne pas avoir posté plus rapidement mais j'étais en déplacement pour une semaine et je ne pouvais pas gérer ce souci.

Pour information, la page modifiée est product.php a la racine du répertoire.

Il a également été mis en oeuvre d'autres pages dans des répertoires nommés /images, l'un direct a la racine, l'autre dans /www

Si vous souhaitez en avoir le contenu, tenez moi informés, je vous le ferais parvenir ici ou par mail.

FreeCommander aura été très utile !

Au passage, j'ai basculé de ftp en laissant filezilla au profit de ftp expert. J'ai lu ici et là que filezilla laissait facilement trainer les mots de passe. Est ce là mon erreur ? je ne sais pas.

Autre souci, on utilise mon compte pour de l'envoi massif d'email. Moins grave mais pénible.
Je suis chez Ovh sur un serveur mutualisé.

Question : changer le chmod des fichiers ou des répertoires peut il éviter ce souci a l'avenir ?
Comment se protéger (pour moi et les autres utilisateurs de Prestashop) de ce genre de problèmes ?

Merci a tous de votre aide et de l'attention que vous avez porté a mes difficultés.

[telyweb]

De quel façon sont envoyés les e-mail via le site ou via smtp ? si ça part du site demande à ovh de t'aider en regardant les logs et ainsi trouver le fichier qui pose problème.

Pour ce qui était modifié sur tes pages en effet nous voulons bien voir pour comprendre la façon d'oppérer.

Bonne journée
Chris

[Oron]

Bonjour

Au passage, j’utilise filezilla, et j’ai entendu parler de mots de passe piratés par ce biais. Je cherche donc un autre ftp gratuit mais plus sur.

Effectivement les mots de passe sont écris en clair dans un fichier xml de filezilla, mais pour accéder à ce fichier il faut que quelqu'un ou un programme y a accès, ce mots de passe ne se vois pas pendant le transfert, il est aussi possible de faire le transfert en SFTP SSH File Transfert Protocol ou en FTPS ou FTPES = TSL/SSL

Donc j'estime que ceux qui arrive à se faire piquer le mot de passe entrer dans filezilla doivent avoir des portes ouvertes et des firewall qui ne fonctionne pas.

[pblanc]

Il y a pas mal de possibilités à envisager :

-Vol du mot de passe sur le poste client (Trojan, spyware...)

-Vol du mot de passe sur le réseau (Via FTP, les login/mot de passe transitent en clairs)

-Utilisation d'une vulnérabilité sur le serveur (Buffer overflow, Remote File Inclusion ...)

Conclusions :
-Installer un antivirus sur son poste client

-Minimiser les installations sur son poste client

-Utiliser SCP ou FTPs pour les transferts de fichiers

-Minimiser au strict minimum les "services" sur le serveur

-Mettre à jours les "services" sur le serveur

-Protéger les interfaces d'admin via de l'authentification forte par certificat client

-Mettre en oeuvre un WAF (Web Application Firewall) pour répondre à la problématique de la sécurité applicative (XSS, SQLi, RFi, LFi et autre vilaineries)

Si besoin, j'échange des conseils et du service en sécurité applicative contre du dev PrestaShop :-)