spam [SECURITE] SPAM Compte Client : solution [1.3 -> 1.7]

[Billy]

On ‎4‎/‎21‎/‎2019 at 6:06 PM, Eolia said:

NO PRESTASHOP 1.6 NOTES NOT WORK IN PHP 7.2 NO of a pipe !!!

For Mcrypt there is nothing to do if you stay in PHP 5.6

 

Eolia is this code from your site all we need or do we add the two doekia files as well? This is the only part that's unclear to me!

https://shop.devcustom.net/fr/content/9-mise-en-place-captcha?

Thank you Doekia & Eolia ya'll rock!

[Billy]

Do we still need Dokia's  Customer.php and Validate.php with this patch https://shop.devcustom.net/fr/content/9-mise-en-place-captcha?

[yama]

4 hours ago, arnaudbh59 said:

voici l'adresse ip du magnifique bot:

85.10.56.3

 

Cher détective, je vous invite à lire le topic pour comprendre que connaître l'adresse ip d'un bot est clairement inutile.

[G4MeS]

Merci encore Doekia & Eolia pour votre aide, cela fait plaisir de se lever le matin et de voir que des vrais comptes client dans mon BO

[Eolia]

Il y a 5 heures, Billy a dit :

Avons-nous toujours besoin des fichiers Customer.php et Validate.php de Dokia avec ce correctif  https://shop.devcustom.net/fr/content/9-mise-en-place-captcha?

Ce sont 2 choses complémentaires. Le Recaptcha est un plus.

[BeComWeb]

Je prends le train en route, j'ai lu le topic en diagonale, mais si je comprends bien il faut :

1- Créer un override de Validate.php contenant une nouvelle méthode de validation qui refuse les chaines contenant une URL (en gros)

2- Créer un autre override de Customer.php qui permet d'utiliser la nouvelle règle de validation pour le nom et le prénom

3- (optionnel) Mettre en place un captcha sur le formulaire d'inscription

J'ai bon ? J'ai rien oublié ?

[Eolia]

Yep et supprimer le fichier /cache/class_index.php^^

[epic1110]

Salut à tous,

Un grand merci à toi @doekia principalement, ainsi qu'à @Eolia pour ce correctif.

Esperons que la Team Prestashop lise ce fil de discussion et réagisse...

Bonne journée à tous

[BeComWeb]

16 minutes ago, Eolia said:

Yep et supprimer le fichier /cache/class_index.php^^

Il ne laisse rien passer. Une vraie machine ! 😄

[Louise mallet]

merci bcp !

[arnaudbh59]

11 hours ago, arnaudbh59 said:

voici l'adresse ip du magnifique bot:

85.10.56.3

 

Cher détective, je vous invite à lire le topic pour comprendre que connaître l'adresse ip d'un bot est clairement inutile.

 

 

quand tu as du le voir dans un topic que j'ai ouvert j'ai suivi les conseils de Eolia, par contre pour les personnes qu'ils veulent le bloquer via IP, je donne ma contribution.

[hit]

bonjour et merci pour cette astuce qui fonctionne

seul soucis quand dans l'admin je veux supprimer un inscrit "douteux" avec un nom de famille non conforme j'ai ce message Property Customer->lastname is not valid

prestashop 1.6.09
fichiers validate et customer modifiés en override.

[Louise mallet]

@hit il faut supprimer les mails et ensuite tu remets tes overrides !

[phyto-soins]

@Eolia merci pour tes réponses. installation du captcha sans problème sur une version en pré-prod du site .  

[ksaan]

@Eolia@doekia Je ne sais pas si vous savez, votre correctif a été transformé en module ici: https://github.com/factoriadigital/prestashop-spam-registers-solution

[hit]

@ksaan merci du tuyaux

[doekia]

Oui je sais, je ne vois pas trop l'interrêt mais les gens sont libre de fabriquer des usines à gaz pour écraser une mouche

[doekia]

1 hour ago, hit said:

bonjour et merci pour cette astuce qui fonctionne

seul soucis quand dans l'admin je veux supprimer un inscrit "douteux" avec un nom de famille non conforme j'ai ce message Property Customer->lastname is not valid

prestashop 1.6.09
fichiers validate et customer modifiés en override.

 

1 hour ago, Louise mallet said:

@hit il faut supprimer les mails et ensuite tu remets tes overrides !

 

Relisez les 2 options - intégralement - lorsque vous tentez de supprimer les comptes.

Supprimer toutes les données (leur permettre de se réinscrire) !!!!

 

A quoi vous sert de garder des emails poubelle dans vos prestashop?

[Billy]

1 hour ago, hit said:

hello and thank you for this tip that works

only want to delete a registrant "questionable" with a non-compliant last name I have this message Property Customer-> lastname is not valid

prestashop 1.6.09
validate and customer files modified in override.

I just edit the last name myself manually. That seems to be best ticket. Then delete that account. It works!

Edited April 23, 2019 by Billy (see edit history)

[Eolia]

il y a 22 minutes, ksaan a dit :

@Eolia@doekia Je ne sais pas si vous savez, votre correctif a été transformé en module ici: https://github.com/factoriadigital/prestashop-spam-registers-solution

On sait mais on trouve ca débile^^ (et en plus l'auteur dans son post initial avait carrément piqué le code sans en citer l'auteur original)

Charger un zip en BO

Installer un module

Lancer l'usine à gaz Prestashop

Charger la base de données

Tout ça pour une unique action qui ne sera jamais renouvelée...

[Odjavel]

Merci à vous pour ce correctif !

J'ai utilisé les 2 override sur un PS 1.6.1.10 et ça marche parfaitement.

ça tiendra le temps que ça tiendra, mais dans l'attente, ça me permet d'éviter d'installer re-captcha, qui est simple, certes, mais constitue tout de même une action en plus à réaliser pour valider le panier et finaliser la commande, ce qui n'est jamais bon.

Maintenant, je me demande vraiment ce que ces types ont dans la tête...
Comme si les prestashopeurs qui voient leur(s) boutique(s) se faire polluer allaient rester zen et se dire "Chouette, un nouveau site de fesses, j'y cours, merci de tuyau !".
Ou alors, ce n'est que la préparation d'une attaque ultérieure via l'envoi massif de formulaires de contact depuis les espaces clients. Les vrais titulaires des emails utilisés pour créer les comptes sur nos boutiques recevraient alors les copies de ces messages bourrées de liens vers d'autres sites très... intellectuels ! Du coup, nos boutiques pourraient se faire flagger spammeurs par les filtres anti-spam.

Edited April 23, 2019 by Odjavel (see edit history)

[Eolia]

les adresses mail utilisées sont toutes fausses, donc au pire vous passerez comme spammeur auprès des domaines mails concernés si vous envoyez des newsletter vu qu'ils s'y inscrivent direct.

[BAC.]

Juste pour laisser un merci pour le correctif que je viens d'installer (après avoir bien pris le temps de tout lire parce que j'étais d'abord un peu perdu dans tout ça).

J'ai une vague d'inscriptions indésirables depuis ce week-end également. J'avais d'abord bloqué les ip pour essayer de contenir le problème, ne pouvant pas gérer ça tout de suite. Mais, évidemment, les adresses ip changeaient assez vite et certains comptes n'avaient pas d'ip visible.

Bref, j'ai placé les 2 overrides sur mon ftp (pas eu de modif à faire, tant mieux) et supprimé le class_index.
Petit test d'inscription bidon effectué : nom contenant une url bloqué, et aucun souci avec un nom sans url.

Y'a plus qu'à voir sur le long terme et s'ils ne trouvent pas une autre parade pour contourner ça.

[Khormak]

Marche nikel.

Merci beaucoup

[doekia]

41 minutes ago, Odjavel said:

Comme si les prestashopeurs qui voient leur(s) boutique(s) se faire polluer allaient rester zen et se dire "Chouette, un nouveau site de fesses, j'y cours, merci de tuyau !".

Tu serais surpris de la bétise de certain. Même si il n'y a qu'un couillons tous les 100000 mails, vu le nombre envoyé le résultat est non nul

[doekia]

38 minutes ago, Eolia said:

les adresses mail utilisées sont toutes fausses, donc au pire vous passerez comme spammeur auprès des domaines mails concernés si vous envoyez des newsletter vu qu'ils s'y inscrivent direct.

Je suis pas sûr qu'elles soient fausses (elle ne semblent pas suivre un pattern). J'ai plus l'impression que c'est un listing "qui date" et donc plus de 90% sont mort où ont fermé leur compte - qui était invariablement pollué.

[hit]

je suis même certain qu'elles ne sont pas fausses, sinon quel intérêt !
Par contre comme beaucoup sont en yahoo ou hotmail l'envoi des divers mails techniques de ta boutique seront pénalisés voir bloqués.
j'ai ce problème avec les mailings vers hotmail.

[doekia]

Quand ton mailer est bien configuré et a une réputation normale, aucun problème d'envoi vers hotmail ou yahoo

Là, oui de nombreuses adresses étaient en hard bounce

[TonyFREOUR]

Un grand merci à vous @doekia  @Eolia sa fait du bien de voir des vrai clients ce matin :)

[ParadisduCheval.fr]

Tout d'abord Merci à tous les 2, la solution marche parfaitement (url à la place du nom dans le formulaire de création de compte)
Par contre aprés avoir appliqué la solution ( https://shop.devcustom.net/fr/content/9-mise-en-place-captcha?content_only=1) pour le captcha sur la page de création de compte tout est ok, par contre j'ai un problème sur le formulaire de contact, une fois le captcha coché le formulaire ne s'envoit pas, la page charge sans envoyer le formulaire (aucun message d'erreur)
J'ai bien la class contact-form-box:

<form action="/contactez-nous" method="post" class="contact-form-box" enctype="multipart/form-data">

Version: 1.6.1.13
url: https://www.paradisducheval.fr/contactez-nous

[allodev]

On 4/20/2019 at 9:34 AM, doekia said:

Dans votre classes classes/Validate.php - soit dans le code original, soit dans une override, ajoutez cette fonction

    public static function isCustomerName($name)
    {
        if (preg_match(Tools::cleanNonUnicodeSupport('/www|http/ui'),$name)) {
        	return false;
        }

        return preg_match(Tools::cleanNonUnicodeSupport('/^[^0-9!\[\]<>,;?=+()@#"°{}_$%:\/\\\*\^]*$/u'), $name);
    }

Modifiez ensuite dans classes/Customer.php

            'lastname' =>                    array('type' => self::TYPE_STRING, 'validate' => 'isName', 'required' => true, 'size' => 32),
            'firstname' =>                    array('type' => self::TYPE_STRING, 'validate' => 'isName', 'required' => true, 'size' => 32),

 par

            'lastname' =>                    array('type' => self::TYPE_STRING, 'validate' => 'isCustomerName', 'required' => true, 'size' => 32),
            'firstname' =>                    array('type' => self::TYPE_STRING, 'validate' => 'isCustomerName', 'required' => true, 'size' => 32),

 

Un script qui fait ça tout seul https://area51.enter-solutions.com/snippets/122

Pour les 1.3 et 1.4 c'est ici:

 

 

EDIT: Je ne suis plus ce topic. Pour toute demande d'aide le concernant, merci d'utiliser un ticket support.

 

Bonjour à tous .

 

Je me permets d'écrire à cette solution de Doekia car , je suis peut être pas doué , mais j'ai essayé  d'appliquer cette demarche .

 

J'ai commencé par creer un fichier patch122.php dans l'admin et de Copier/coller le code dedans conformement aux instructions.

J'ai appelé la page https://mondomain/admintrucmuch/patch122.php

j'ai eu comme méssage "class Validate is now overrided .  The class Customer is already overrided. You should process manually. END" 

 

Ok pour la classe Valide dans mon dossier overirde / classe / validate contient bien le code : OK

je vais maintenant devoir remplacer une chaine de code dans la classe Customer dans l'override et la j'ai pas de code à remplacer 😕

 

Je vais donc voir dans la classe Customer en dehors du dossier override , et la je fichier est vide hormis les commentaires , donc pas de code a remplacer 😕

 

Ma question est : est-ce que il se peux qu'il n'y a pas de code a remplacer et donc juste d'ajouter celui ci ?

 

Je m'excuse de ma question bete , et merci à vous pour votre communauté et aide .

 

Philippe

Edited April 23, 2019 by allodev (see edit history)

[[email protected]]

Aprés avoir Patché votre site comme cité plus haut ,

Pour supprimer les comptes créer, il faut tout d'abord :

1/ Renommer chaque nom de client en prenant soins d'enlever les www et les points.

2/ les sélectionner tous  à la fois ensuite effectuer une suppression 

 

Bon courage à tous !

 

 

[Guest]

Bonjour a tous, quand on vous lis ca devient un débat sterile.

Pour régler un vrais problème mettez la solution complete et efficace mais arretez de polué car a la fin on ne comprend plus rien...

C'est serieux la !

La solution clair et net et plus de commentaires qui ne servent pas.... S'il vous plait .

Merci 😉

[Eolia]

il y a 19 minutes, [email protected] a dit :

Aprés avoir Patché votre site comme cité plus haut ,

Pour supprimer les comptes créer, il faut tout d'abord :

1/ Renommer chaque nom de client en prenant soins d'enlever les www et les points.

2/ les sélectionner tous  à la fois ensuite effectuer une suppression 

 

Bon courage à tous !

 

 

NON NON & NON !

Sélectionner tous les comptes de spam

Cliquer sur supprimer

Et cocher "Leur laisser la possibilité de se réinscrire" (ce qu'il ne pourront de toute façon pas^^

Sinon, Prestashop met à jour le client en le passant en "deleted" et pète sur la validation des champs. On l'a déjà expliqué 3 fois, c'est dingue quand même !!!

[doekia]

1 hour ago, allodev said:

je vais maintenant devoir remplacer une chaine de code dans la classe Customer dans l'override et la j'ai pas de code à remplacer 😕

Je vais donc voir dans la classe Customer en dehors du dossier override , et la je fichier est vide hormis les commentaires , donc pas de code a remplacer 😕

Ma question est : est-ce que il se peux qu'il n'y a pas de code a remplacer et donc juste d'ajouter celui ci ?

Je m'excuse de ma question bete , et merci à vous pour votre communauté et aide .

Philippe

Dans ce cas, supprime ton override vide override/classes/Customer.php

et relance le patch122.php

[llbbay]

Pour ceux qui ont un accès shell, rapide script à l'arrache avec les indications de @Eolia (testé uniquement sur CentOS) :

#!/bin/bash

cd $1
if type curl 2>/dev/null; then
  curl -o patch122.php https://area51.enter-solutions.com/snippets/122/raw
else
  wget -O patch122.php https://area51.enter-solutions.com/snippets/122/raw
fi
php patch122.php
rm $1../cache/class_index.php

Pour exec (avec un utilisateur qui a les bons droits) :

./patch122.sh /chemin/admin/prestashop/

en remplaçant l'argument "/chemin/admin/prestashop/" par le chemin complet vers votre dossier admin (n'oubliez pas le "/" à la fin).

Et normalement c'est good  

Edited April 23, 2019 by llbbay (see edit history)

[doekia]

Attention j'en ai fait les frais @Eolia me comprendra. On arrive a faire des truc avec les mauvais uid avec cette methode ce qui pollue ton cache que prestashop ne peux plus écraser. Penser au chown !

Sinon encore plus simple en shell (depuis l'adimin dir):

wget -O patch122.php https://area51.enter-solutions.com/snippets/122/raw
php -q patch122.php
chown -R ../override *.php --reference=.
rm ../cache/class_index.php

PS: si en lisant il vous semble ne pas tout comprendre, merci d'ignorer ce message

 

Edited April 23, 2019 by doekia (see edit history)

[doys9487]

Un grand merci à vous pour cette solution simple et rapide.

Je vais de ce pas payer un café à Doekia. Si Eolia a un petit quelque chose dans le même genre pour qu'il ou elle soit récompensé de son aide, je veux bien  

Edited April 24, 2019 by doys9487 (see edit history)

[doekia]

Merci pour ce café d'autant que quand je regarde le nombre de merci et/ou café par rapport au nombre de vues/downloads ... ça donne un effet étrange.

A l'heure qu'il est plus de 4000 lectures des topics, plus de 500 téléchargements sur area51 et moins d'une main de de café... pas que j'en dépende ou en attende plus, mais je pense que c'est représentatif du délabrement de cette communauté. Sans même parler des sabotages de certains acteurs de la team (oui je parle de toi @ttoine) , il va falloir combien de semaine/mois/années pour que PS acte quelque chose concernant ce problème.

Pour info 3h après nos solutions @Eolia et moi même, thirtybees avait déjà réagit.

[yama]

Visiblement Prestashop vient de faire un module recaptcha.... a 39 balles.

Pourquoi ne pas l’avoir intégre dans la solution de base... 😕 

 

 

[TonyFREOUR]

10 minutes ago, yama said:

Visiblement Prestashop vient de faire un module recaptcha.... a 39 balles.

Pourquoi ne pas l’avoir intégre dans la solution de base... 😕 

 

 

Chez moi sa fonctionne gratuitement comme sa:
https://www.arnaud-merigeau.fr/add-recaptcha-to-prestashop/

Après je sais pas si c'est de sa que tu parle
il donne le module la dans le tuto
https://www.arnaud-merigeau.fr/wp-content/uploads/2016/09/eicaptcha.zip

 

Edited April 23, 2019 by TonyFREOUR (see edit history)

[Eolia]

Le module eicaptcha ne controle qu'en js, donc n'emmerde que les humains^^

[artistik]

hello 

J'ai reussi 'à l'implémenter sur une boutique mais sur les 2 autres j'ai une erreur 500... 

Je mets le code dans le dossier classe directement et pas dans l'override, alors je comprend pas.... 

 

merci pour votre réponse

[Eolia]

Vu que j'en ai assez de me répéter, vous allez bien lire les précédents posts et répondre à cette question: Que fait-on en cas d'erreur 500 ?

[artistik]

1 minute ago, Eolia said:

Vu que j'en ai assez de me répéter, vous allez bien lire les précédents posts et répondre à cette question: Que fait-on en cas d'erreur 500 ?

Ok je vais regarder, mais ce que je comprend pas, c'est que je n'ai pas activer l'override dans ce cas... 

[P i l o u]

il y a une heure, Eolia a dit :

Vu que j'en ai assez de me répéter, vous allez bien lire les précédents posts et répondre à cette question: Que fait-on en cas d'erreur 500 ?

On active le mode debug

[ttoine]

@yama non, PrestaShop ne vient pas de sortir un module payant à 39€... ce module existe depuis bien longtemps.

D'autre part, sur Addons, une simple recherche montre que les modules les plus populaires sur ce sujet sont développés par des indépendants
https://addons.prestashop.com/en/search?search_query=recaptcha&amp;

[doekia]

@ttoine tu expliques ce que ne fait pas PrestaShop, pourrais-tu également nous expliquer ce que fait PrestaShop concernant le problème de ce topic? Car après 4 jours concernant une faille de sécurité on s'attendrait a une réaction.

[soburo]

Merci à @doekia et à @Eolia pour le patch et le suivi, patient et pédagogique.

[Hardwell]

Un grand merci @doekia et @Eolia clairement, bravo 🤘

[broman]

Thanks Doekia & Eolia, it worked for me.

Edited April 24, 2019 by ttoine
merci de ne pas utiliser des grandes tailles de textes, c'est une mauvaise pratique sur ce forum. (see edit history)

[ttoine]

Il faut suivre la discussion sur GitHub, du coup:
https://github.com/PrestaShop/PrestaShop/issues/13524

L'information que j'ai c'est qu'un patch est en cours d'écriture pour la 1.6.1 et la 1.7.5, et des versions patch seront publiées dès que possible: on suit la procédure avec les tests, etc.

[doekia]

Je suivais le GitHub, mais aucune information ne transpire là-bas. Enfin changer 2 lignes ça devrait pas demander autant de temps quand même pour être validé.

[La vie en Rose]

Un petit message pour vous dire un grand MERCI pour cette solution!!! Et pour votre patience également 😉

Et comme vous semblez amateurs de café, je vous en offrirai aussi un ou même plus avec plaisir si un jour vous passiez par la Lorraine!

[doekia]

@La vie en Rose dès que j'achète des sabots 😄

[La vie en Rose]

@doekia en attendant les sabots y'a déjà les bottes 😄

https://www.lavieenrose57.fr/232_dodger-army

[AlexiaG]

Bonjour à tous,

Déjà un énorme merci à @doekia et à @Eolia pour le travail que vous faîtes ici !!!!!! Et puis... quelle patience !

J'ai appliqué les correctifs (notamment sur le fichier classes/customer.php et classes/validate.php car si j'ai bien compris, c'est à faire soit comme ça soit sur l'override) et ça a l'air de fonctionner puisque je n'ai plus de création client étrange sur le BO de notre presta. Donc c'est parfait ^^

Mais...(ya toujours un P*** de "mais" 😂), ya un truc étrange qui se passe, c'est que j'ai de nouvelles inscriptions dans ma base de mailing SendInblue (je le vois sur l'interface dans mon espace SendInBlue) comme si les bots pouvaient continuer de créer des comptes sauf que l'inscription n'est pas prise en compte dans la base de Presta. On a 3 possibilités de s'inscrire à notre newsletter : via une pop-up, via le formulaire de création de compte et via un bloc newsletter.
Comme ça me remplit les champs Mail (ex : [email protected]), Nom (ex : Marie and Monica waiting) et Prénom(ex : www.cutt.us/RSlmx), j'en déduis que ça se passe du côté du formulaire de création de compte.

Du coup, est-ce que le correctif fonctionne aussi pour ce type de soucis ou bien c'est moi qui ait mal lu/fait quelque chose quelque part? (Pour info, la version de mon presta est 1.6.0.14 )

Merciiiiii

 

[Eolia]

Verifiez le ou les modules qui permettent l'inscription à cette newsletter s'il ont un validate avec isName à remplacer par isCustomerName.

Lorsque vous avez supprimé les faux comptes, les avez-vous également supprimé de vos listes sendinblue ?

[AlexiaG]

Just now, Eolia said:

Verifiez le ou les modules qui permettent l'inscription à cette newsletter s'il ont un validate avec isName à remplacer par isCustomerName.

Lorsque vous avez supprimé les faux comptes, les avez-vous également supprimé de vos listes sendinblue ?

Alors, il n'y a pas de validate dans le module....donc ce que je pense faire, c'est passer en revue chacun des fichiers du module et remplacer isName par isCustomerName.
Je vous fais un retour dès que c'est fait 😊

Et sinon, oui j'ai bien supprimé tous les faux compte de nos listes SendInBlue

[doekia]

classes/validate.php ?? c'est classes/Validate.php on est d'accord?

[AlexiaG]

2 minutes ago, doekia said:

classes/validate.php ?? c'est classes/Validate.php on est d'accord?

Oui oui...erreur de syntaxe au moment de l'écriture de mon message 😓...

[ttoine]

latest news:
https://github.com/PrestaShop/PrestaShop/issues/13524#issuecomment-486269283

des nouvelles version patchées sont en cours de préparation.

[AlexiaG]

1 hour ago, AlexiaG said:

Alors, il n'y a pas de validate dans le module....donc ce que je pense faire, c'est passer en revue chacun des fichiers du module et remplacer isName par isCustomerName.
Je vous fais un retour dès que c'est fait 😊

Et sinon, oui j'ai bien supprimé tous les faux compte de nos listes SendInBlue

Bon...et bien je n'ai aucun isName dans aucun des fichiers... Cependant, je retrouve les mentions 'firstname' et 'lastname' sur un seul fichier.
Je pense qu'il y a quelque chose à faire sur ce fichier mais je ne suis pas sûre de moi.... Je pensais tout simplement remplacer ces mentions par 'isCustomerName'.

Ça vous semble juste?

[Jpc_des_dombes]

Il y a 1 heure, AlexiaG a dit :

Bonjour à tous,

Déjà un énorme merci à @doekia et à @Eolia pour le travail que vous faîtes ici !!!!!! Et puis... quelle patience !

J'ai appliqué les correctifs (notamment sur le fichier classes/customer.php et classes/validate.php car si j'ai bien compris, c'est à faire soit comme ça soit sur l'override) et ça a l'air de fonctionner puisque je n'ai plus de création client étrange sur le BO de notre presta. Donc c'est parfait ^^

Mais...(ya toujours un P*** de "mais" 😂), ya un truc étrange qui se passe, c'est que j'ai de nouvelles inscriptions dans ma base de mailing SendInblue (je le vois sur l'interface dans mon espace SendInBlue) comme si les bots pouvaient continuer de créer des comptes sauf que l'inscription n'est pas prise en compte dans la base de Presta. On a 3 possibilités de s'inscrire à notre newsletter : via une pop-up, via le formulaire de création de compte et via un bloc newsletter.
Comme ça me remplit les champs Mail (ex : [email protected]), Nom (ex : Marie and Monica waiting) et Prénom(ex : www.cutt.us/RSlmx), j'en déduis que ça se passe du côté du formulaire de création de compte.

Du coup, est-ce que le correctif fonctionne aussi pour ce type de soucis ou bien c'est moi qui ait mal lu/fait quelque chose quelque part? (Pour info, la version de mon presta est 1.6.0.14 )

Merciiiiii

 

Oups, je l'avais pas vue celle-la... Merci @AlexiaG. J'utilise également SendinBlue et je viens de supprimer 150 faux clients dont certains créés après la mise en place de la parade de nos amis @doekia et @Eolia.

J'attends le résultat de ta recherche avant d'aller plus loin. 

Merci d'avance

[Jpc_des_dombes]

@AlexiaG

J'ai testé la création d'un faux client et je n'ai pas eu de nouvelle inscription dans SendinBlue. 

Peux-tu tester sur ton site si tu es dans le même cas ?

[Eolia]

il y a 15 minutes, AlexiaG a dit :

Bon...et bien je n'ai aucun isName dans aucun des fichiers... Cependant, je retrouve les mentions 'firstname' et 'lastname' sur un seul fichier.
Je pense qu'il y a quelque chose à faire sur ce fichier mais je ne suis pas sûre de moi.... Je pensais tout simplement remplacer ces mentions par 'isCustomerName'.

Ça vous semble juste?

Non, ce n'est pas la même chose.

Je vais poser la question différemment: Y a t-il sur votre site un endroit où l'on peut s'inscrire avec un nom et un prénom à la newsletter (sans avoir de compte) ?

Si oui quel module ?

Si oui, merci de nous communiquer le fichier php principal du module

[AlexiaG]

1 minute ago, Eolia said:

Non, ce n'est pas la même chose.

Je vais poser la question différemment: Y a t-il sur votre site un endroit où l'on peut s'inscrire avec un nom et un prénom à la newsletter (sans avoir de compte) ?

Si oui quel module ?

Si oui, merci de nous communiquer le fichier php principal du module

Non, normalement non et c'est ça que je ne comprends pas...Je n'ai recensé que 3 endroits : le bloc de la newsletter sur la page d'accueil où l'on renseigne juste l'adresse mail, la pop-up (adresse mail et Nom) et le formulaire de création de compte...Je pense que je vais éplucher les différents modules qui ont été installés avant mon arrivée et voir si y'en a pas un qui en serait à l'origine.

[Jpc_des_dombes]

Sur mon site le bloc Newsletter ne permet que la saisie d'une adresse mail. En revanche si on saisie une nouvelle adresse, type pré[email protected] on obtient la création d'un contact dans sendinblue avec les attributs prénom et nom.
La saisie d'une adresse connue par prestashop renvoie un message d'erreur "Newsletter : Cette adresse e-mail est déjà utilisée." mais l'adresse mail dans sendinblue est actualisée.

Je continue à gratter...

Le module newsletter que j'utilise est le Bloc newsletter v2.3.2 . Je dois le mettre à jour

[Jpc_des_dombes]

il y a 33 minutes, Jpc_des_dombes a dit :

Sur mon site le bloc Newsletter ne permet que la saisie d'une adresse mail. En revanche si on saisie une nouvelle adresse, type pré[email protected] on obtient la création d'un contact dans sendinblue avec les attributs prénom et nom.
La saisie d'une adresse connue par prestashop renvoie un message d'erreur "Newsletter : Cette adresse e-mail est déjà utilisée." mais l'adresse mail dans sendinblue est actualisée.

Je continue à gratter...

Le module newsletter que j'utilise est le Bloc newsletter v2.3.2 . Je dois le mettre à jour

Erreur de ma part, sur la première ligne de mon post. La saisie d'une nouvelle adresse ajoute un contact sans nom et prénom dans la liste sendinblue.

Mais je confirme, j'ai bien eu la création d'un contact-spam dans ma liste Sendinblue avec une adresse mail non-présente dans la liste client et newsletter de prestashop.

C'est vraiment une plaie ces spammeurs !!!

[Jpc_des_dombes]

Encore une nouveau contact-spam sur sendinblue. Environ 1 toute les heures. J'ai désactivé le module Newsletter pour voir. 

Ce qui est étonnant c'est qu'ils s'inscrivent avec nom et prénom et le tag client activé. 

[Eolia]

ca sent plus la tache cron avec des données enregistrées ailleurs...

[passicool]

Pour ma part sur les 2 boutiques qui vendent uniquement en France j'ai changé dans les préférence>type de processus d'enregistrement>création de compte et adresse.
Et les spams clients ont stoppé, rien depuis lundi.
J'ai donc patché que ma boutique internationale.

Si ça peut aider certains.

[Jpc_des_dombes]

Suite du feuilleton... 3 nouveaux contacts-spam dans sendinblue avec le module Newsletter désactivé. 

Lorsque je vais dans la configuration du module Sendinblue j'ai accès à la liste des contacts synchronisés. Les contacts-spam n'y sont pas....

Par ou passent-ils ?

 

Edited April 24, 2019 by Jpc_des_dombes (see edit history)

[Jean André]

Bonjour

J'ai donc trouvé ce sujet et je remercie les créateurs du patch qui prennent le temps d'aider. J'ai lu le sujet rapidement voir si je trouvais des réponses à mes questions plus bas je n'ai pas vu mais j'ai ptet rater un épisode si c'est le cas veuillez m'excuser

Pour ma part j'ai pas encore appliqué les solutions parce je ne veut pas foncièrement modifier mes boutiques. j'ai juste 3 questions:

 

1) Est ce que cela a un impact sur l'activité de la boutique si on les laisse s'inscrire?

2) Je les supprime à la mano 2/3 fois par jour donc si ça ne dure que quelques jours cette solution me conviendra si ça pose pas de soucis majeurs quels risques ça peut poser?

3) est ce que ca peut durer longtemps ce spam?

 

[doekia]

1/ te blacklister ton mailer

2/ te blacklister ton mailer

3/ Jusqu'a la fin des temps

[Jean André]

19 minutes ago, doekia said:

1/ te blacklister ton mailer

2/ te blacklister ton mailer

3/ Jusqu'a la fin des temps

Merci pour la réponse, le 3 ça j'ai capté

 

En quoi une 15 aine d'inscriptions par jour va blacklister mon mailer, je ne comprends pas? et si on désactive l'envoi du mail d'inscription? 

[doekia]

la fin des temps c'est dans longtemps, donc ce type d'attaque peut durer très longtemps

si l'une des emails correspond à un honeypot, direct tu arrives dans les RBL

 

 

[couillaler]

Le 21/04/2019 à 11:12 AM, doekia a dit :

Utilisez, ce patch, http://area51.enter-solutions.com/snippets/122 que j'ai écrit devant le nombre incalculable de médiocrité ambiante. Je n'arrive pas a comprendre que vous décidiez de vous occuper vous même de vos shop sans vouloir acquérir le minimum de compétence. C'est de l'inconscience pure.

Hello,

La formule est rude, mais il est vrai qu'il ne faut pas oublier le but de tout cela, vendre ses biens ou ses services. Si vous avez fait une boutique internet, c'est pour vendre, pas pour vous perdre des heures en codages abscons. Certains problèmes ne doivent pas vous prendre tant d'heures de bidouilles. Si vous ne pouvez les faire, et c'est bien normal au vu de ce qui est demandé et des nombreuses variables propres à chacun de nous, pourquoi ne pas s'orienter vers un module payant ?

Pour ceux qui, en tout cas, ne maîtrisent pas bien ce lourd travail de codage.

Diriger une entreprise nécessite bien des ressources différentes, il ne faut pas hésiter à sous-traiter certains services. Cela laisse le temps de se consacrer au plus important, son entreprise justement.

Ici, au vu du problème initial, rappelons qu'il est simplement question de spams, un module type

https://addons.prestashop.com/fr/securite-access/42438-recaptcha-google-anti-spam.html

pourrait, je trouve aussi, faire simplement l'affaire.

On parle de 39€99 HT, si ces inscriptions indésirables prennent un tel temps à se résoudre ou à se supprimer, que cela représente-t-il en termes de coût horaire de travail ? C'est alors un module rapidement amorti. Et cela évite de devoir se plonger dans des codes. Pendant toutes ces heures passées à modifier du code, vous auriez pu peut-être mettre des articles en vente, ou créer des nouvelles offres de services, que sais-je ?

Bon, je dis ça, c'était juste en passant... histoire de libérer du temps de cerveau disponible.

Antoine

Edited April 25, 2019 by couillaler (see edit history)

[Eolia]

Il y a 9 heures, Jpc_des_dombes a dit :

Suite du feuilleton... 3 nouveaux contacts-spam dans sendinblue avec le module Newsletter désactivé. 

Lorsque je vais dans la configuration du module Sendinblue j'ai accès à la liste des contacts synchronisés. Les contacts-spam n'y sont pas....

Par ou passent-ils ?

 

C'est à cause du module Sendinblue lui-même et sa fonction merdique public function callhookRegister() qui enregistre dans sendinblue même si la validation n'est pas ok et ne contrôle aucune des variables. ca commence à la ligne 269, il faut donc rajouter des validate sur les noms et prénoms.

Bravo les devs^^

[Eolia]

Rajoutez ceci

[Jpc_des_dombes]

Merci Eolia. 

Je vais analyser le code avec mes modestes moyens et je reviens sur le forum pour communiquer les résultats

Bonne journée à tous

[AlexiaG]

1 hour ago, Eolia said:

Rajoutez ceci

Top 👍!!! J'ai rajouté ta ligne de code à l'instant! Il ne reste plus qu'à attendre ^^

Je ferai un retour dans la journée pour dire si c'est bon pour moi!

Encore merci pour le temps pris !!!! 😊

[doekia]

5 hours ago, couillaler said:

La formule est rude, mais il est vrai qu'il ne faut pas oublier le but de tout cela, vendre ses biens ou ses services.

Je n'ai rien vendu et vu le nombre de vues/download sur area51 soit sûr que j'aurais fait un paquet.

Tu trouves la formule rude alors qu'il n'y a que 5 lignes a changer ce qui devrait être à mon avis à la portée de tout un chacun qui se lance dans un PrestaShop seul. Et si on ne sait pas faire, ce que je peux comprendre, on devrait s'être entouré de quelqu'un qui lui sache..

Qu'aurais-je du faire? Ne pas m'agacer et laisser les gens dans leur problème?

J'ai choisis d'aider mais oui j'étais agacé. Il fallait batailler pour que le forum épingle le topic. Ayant un topic ici en français et un autre en anglais, plus quelques autres ouverts, obligé à nouveau de batailler pour pouvoir poster (Vous devez attendre encore 45 secondes pour pouvoir poster à nouveau).... Le forum qui rajoutais des BOMs, ceux qui utilisais Word, Excel ou je ne sais plus quoi pour faire les changements, le fait que j'avais donné une procédure avec soit modifier les fichiers d'origine, soit faire une override (sans détailler) et que je ne sais pourquoi les tous ceux qui n'y connaissaient rien choisissaient l'override sans en comprendre rien et avaient planté leurs shop....

Ce que j'aurais sûrement dû faire c'est comme tu le dis, vendre mes services, faire une beau lien vers mon shop avec intervention à 30 boules,  800DL d'area51 x 30€= 24000€ - ouais, c'est vraiment ça que j'aurais dû faire. Mais naif - et stupide que je suis - je suis resté sur l'idée qu'ici c'était un forum d'aide communautaire. Je ne viens pas là pour y faire du bizz, même si de temps en temps de récupère un client, il est excessivement rare qu'en réponse je demande une contrepartie. La seule contrepartie étant que si l'on vient ici chercher de l'aide en mode DIY, on se doit de savoir faire. C'était l'idée quand j'ai commencé sur ce forum et pour moi ça l'est toujours hélas, la nouvelle population nous rejoignant sont plus en mode pop-corn. Je m'installe bien sagement et magie, sans effort, tout va être résolu... Et ça, ça horripile

 

[couillaler]

 

Il y a 6 heures, couillaler a dit :

Hello,

La formule est rude, mais il est vrai qu'il ne faut pas oublier le but de tout cela, vendre ses biens ou ses services.

il y a 32 minutes, doekia a dit :

Je n'ai rien vendu et vu le nombre de vues/download sur area51 soit sûr que j'aurais fait un paquet. 

Hello,

euh, non, désolé doekia je me suis mal exprimé, je ne parlais pas de toi, je voulais dire que le but de monter une boutique PS était de vendre des biens ou des services, pas que c'était ton but à toi.

Je voulais dire qu'en tant que gestionnaire de société, l'idée n'était peut-être pas de se perdre dans des codes, mais de vendre, principalement.

En ce qui te concerne, tu as bien raison de t'écouter et de ne surtout pas laisser les gens dans leurs problèmes, et je trouve que c'est super d'aider autant que tu le fais, ainsi que tous les autres qui ont choisi d'aider aussi.

Le fait que les utilisateurs de ce forums l'utilisent aussi comme de simples consommateurs, sans être acteurs, se retrouve, hélas, de manière plus générale, dans notre société tout court. C'est aussi la même chose dans le monde associatif qui manque de plus en plus de bénévoles, mais qui ne manque pas de demandes de citoyens. Citoyens consommateurs qui n'ont pas toujours envie de participer activement. On vient, on profite, on récupère l'info et on disparaît avec ou sans merci. Ça se retrouve aussi sur ce forum.

Merci donc aux quelques supers bénévoles actifs comme toi, et merci aux autres de réaliser que ces aidants ont aussi une vie bien remplie, comme nous tous.:)

Antoine

 

[La vie en Rose]

Il y a 14 heures, passicool a dit :

Pour ma part sur les 2 boutiques qui vendent uniquement en France j'ai changé dans les préférence>type de processus d'enregistrement>création de compte et adresse.
Et les spams clients ont stoppé, rien depuis lundi.
J'ai donc patché que ma boutique internationale.

Si ça peut aider certains.

@passicool

Par curiosité j'ai testé, mais soit t'as beaucoup de chance soit ma boutique est pourrie, en tout cas j'ai laissé le type de création de compte avec l'option compte et adresse toute la nuit, et résultat, quelques vingtaines d'inscriptions bidon du même type, et plus bizarre encore, inscription sans adresses...

Bref, je pense que dans tous les cas il vaut mieux prévenir que guérir, et prendre 5 minutes pour appliquer la solution si gentiment donné.

Edit : J'allais remettre le type d'enregistrement sur simple, et je viens de m'apercevoir en virant les clients bidons que si, ils ont entrés une adresse.. bidon, forcément

Edited April 25, 2019 by La vie en Rose
Rectification (see edit history)

[webbax]

Bonjour,

Merci pour cette précieuse contribution, j'ai profité de l'occasion de montrer l'application de ce processus en vidéo : 
https://www.webbax.ch/2019/04/25/prestashop-1-7-spam-compte-client-ep-75/

A bientôt !

[Jean André]

Bon je reviens j'ai tenté sur 2 boutiques d'appliquer l'ajout de fonction et le remplacement du post 1 dans le code original et j'ai sur les 2 boutiques des pages blanches j'ai vérifié que j'ai:

que j'ai collé la fonction dans validate.php avant la dernière parenthèse qui ferme 

 

et dans customer.php j'ai vérifié caractère après caractère je n'avais pas de caractère parasites

il y a t il autre chose a faire? je n'ai pas fait d'override les 2 boutiques sont en 1.6.18 et . 20 pour l'autre

 

les caracteres BOM sont visibles j'imagine dans notepad++?  j'ai bien l'option encoder en ANSI de coché 

 

J'ai raté quelque chose? 

[Laurine_srd]

Merci beaucoup @doekia et @Eolia pour ce patch, ça marche à la perfection.

N'oubliez pas de supprimer le fichier cache, ça a fonctionné pour nous après la suppression du fichier cache/class_index.php !

 

[ttoine]

Latest news:
http://build.prestashop.com/news/fighting-against-spamming-again/

[Eolia]

Je vous conseille aussi de patcher le module sendinblue hein^^

[doekia]

lol

https://github.com/PrestaShop/PrestaShop/pull/13549/files

est-ce que c'est possible de ne pas faire de remarque désobligeante en lisant ce patch ?

Franchement je me retiens

[doekia]

1 hour ago, webbax said:

Bonjour,

Merci pour cette précieuse contribution, j'ai profité de l'occasion de montrer l'application de ce processus en vidéo : 
https://www.webbax.ch/2019/04/25/prestashop-1-7-spam-compte-client-ep-75/

A bientôt !

De rien

[Jean André]

14 minutes ago, doekia said:

lol

https://github.com/PrestaShop/PrestaShop/pull/13549/files

est-ce que c'est possible de ne pas faire de remarque désobligeante en lisant ce patch ?

Franchement je me retiens

en gros ils ont rien fait faut faire leur maj complète comme ci de rien n'était... avec tout les risques de bug que ça peut représenter. 

 

Sinon j'ai suivi la procédure du 1er post et j'ai des pages blanches, y a t'il d'autres étapes à voir?

Edited April 25, 2019 by Jean André (see edit history)

[doekia]

7 minutes ago, Jean André said:

en gros ils ont rien fait faut faire leur maj complète comme ci de rien n'était... avec tout les risques de bug que ça peut représenter. 

Ce patch est juste une blague tel quel. Après c'est tout a fait normal qu'ils le déploient en version révision.

8 minutes ago, Jean André said:

Sinon j'ai suivi la procédure du 1er post et j'ai des pages blanches, y a t'il d'autres étapes à voir?

Tu as du rater quelque chose. PM moi tes FTP. Je penche pour problème de BOM ou mauvais positionnement de la fonction

[Cloud Nine]

Merci @Eolia et @doekia Les overrides fonctionnent très bien. J'a pu testé la création d'un compte sans url et la création bloquée d'un compte avec URL.

Pour info, ça prend max 15mn la mise en place du patch (en manuel) + les tests

Edited April 25, 2019 by Cloud Nine (see edit history)

[passicool]

4 hours ago, La vie en Rose said:

@passicool

Par curiosité j'ai testé, mais soit t'as beaucoup de chance soit ma boutique est pourrie, en tout cas j'ai laissé le type de création de compte avec l'option compte et adresse toute la nuit, et résultat, quelques vingtaines d'inscriptions bidon du même type, et plus bizarre encore, inscription sans adresses...

Bref, je pense que dans tous les cas il vaut mieux prévenir que guérir, et prendre 5 minutes pour appliquer la solution si gentiment donné.

Edit : J'allais remettre le type d'enregistrement sur simple, et je viens de m'apercevoir en virant les clients bidons que si, ils ont entrés une adresse.. bidon, forcément

Bonjour,

Oui des adresses bidon sont entré mais pays=Royaume unis, si ton prestashop est limité à la France comme moi bin les adresses dans les autres pays passent pas et du coup l'inscription est invalide. C'est pas de la chance j'ai bien précisé pour ceux qui vendent uniquement en France dans le sens qui est limité à la France.

[Jpc_des_dombes]

Petit retour d'expérience . J'ai patché le module Sendinblue comme expliqué par @Eolia et depuis maintenant 9h, je n'ai plus de spam dans ma liste de contact Sendinblue.

Grand grand merci @Eolia 👍

Je suis sous prestashop 1.6.1.18 et mon module SendinBlue v2.7.8

[AlexiaG]

8 hours ago, Eolia said:

Rajoutez ceci

Petit retour par rapport à cette ligne de code : MERCI !

Depuis qu'elle est installée, plus d'inscriptions de fake contact dans ma base de mailing SendInBlue.

Donc un très grand merci à toi @Eolia

[Gu1llaume]

Merci pour le patch, appliqué avec succès en automatique sur un 1.6.1.20

[doekia]

1 hour ago, passicool said:

Bonjour,

Oui des adresses bidon sont entré mais pays=Royaume unis, si ton prestashop est limité à la France comme moi bin les adresses dans les autres pays passent pas et du coup l'inscription est invalide. C'est pas de la chance j'ai bien précisé pour ceux qui vendent uniquement en France dans le sens qui est limité à la France.

Ce que je ne comprends pas c'est pourquoi mettre du sparadrap sur une fuite de gaz. ça tiens peut-être un moment mais ça va finir par te péter à la figure.

Vous prennez vraiment les hacker pour des enfants de coeur doublé d'imbécile? Ils ont réussit a réunir un catalogue de boutique prestashop qui couvre le monde entier mais seraient incapable d'ajuster un bot sur la liste des pays? c'est vraiment ridicule