Problème avec bot qui fait la création de comtpe

[arnaudbh59]

Bonjour,

 

J'ai un problème avec un bot qui crée des comptes je vous joins une exemple, avec à chaque fois une adresse email à chaque fois différente.

 

Le problème c'est que l'ip du bot change tout le temps et il va créer des comptes jusqu'à faire sauter mon serveur.

 

Il fait sauter ma ram une fois par jour en moyenne, j'ai 500mo de ram sur mon sql privé.

 

Voici le nom que j'ai à chaque fois, le bot chanque le prénom et le nom avec toujours waiting et cutt.us/xxppo.

 

Es que l'attaque peut venir d'un concurrent.

 

Alexandra and Patti waiting

www.cutt.us/xkPPo

[Eolia]

Oui surement un méchant concurrent qui vous en veut à vous et à la terre entière des Prestashop^^

 

[arnaudbh59]

Prestashop était mon premier site, je ne fais plus grand chose.

Donc avec le code c'est bon?

 

Depuis 2 ans, je travaille plus sur wordpress et woocommerce. Et je n'ai jamais vu en 2 ans cette chose.

[Eolia]

Ben normal, ca vient de sortir^^

[arnaudbh59]

Autant pour moi. je vais mettre le code, merci

[Johan06]

Bonjour,

J'ai constaté la même chose sur 3 prestashop 1.5 et 1.6

spam sur la création du compte depuis la semaine dernière. cela semble à une attack coordonnée

[Eolia]

lol, ca c'est un scoop^^

[Johan06]

Il n'y a aucun scoop.

j'appuie les faits sur ce topic pour ceux qui ne le savent pas.

[ahcheval]

j'ai utilisé le patch122 mais avec prestahsop 1.6.0 les http sont bloqués mais pas les www

Ca doit se passer dans ce bout de code du patch mais je ne vois ce qu'il faut changer pour que les www soient bloqué aussi:

if (preg_match(Tools::cleanNonUnicodeSupport('/www|http/ui'), $name)) {
            return false;

[P i l o u]

https://www.prestashop.com/forums/topic/981158-securite-spam-compte-client-solution-13-17/

[ahcheval]

merci j'ai vu ce post et j'ai appliqué le patch122 qui est sensé tout réglé à partir de là. Le problème reste entier pour les www.

 

Edited April 23, 2019 by ahcheval (see edit history)

[Eolia]

C'est à dire ? Le inscriptions en www sont toujours possible ?

Le fichier Validate.php est bien présent dans /overrides/classes avec la fonction isCustomerName ?

[ahcheval]

oui c'est ça après installation du patch les inscriptions en www sont toujours possible mais ça bloque bien les http.

Effectivement il n'y a pas de fichier validate.php dans /overrides/classes

Faut-il l'ajouter en plus du patch ?

Edited April 23, 2019 by ahcheval (see edit history)

[mandrake]

Négatif, le patch fonctionne également avec les "www". Ce qui induit en erreur c'est que lorsqu'on tape "www.xxxx.com, l'encadré du chamlp se met en vert comme si c'était ok, mais une fois que l'on veut enregistrer, le message en rouge qui indique que le nom est erroné s'affiche.

Edited April 23, 2019 by mandrake (see edit history)

[ahcheval]

J'ai toujours ce genre de nouveaux clients qui s'inscrivent donc pour moi ça ne marche qu'à moitié.  www.cutt.us/hJfnA     Hot Shirley Waiting For You     [email protected]

[Eolia]

Donc vous avez raté quelque chose^^

Soit les overrides ne sont pas copiées

soit le fichier /cache/class_index.php n'a pas été effacé

Soit les overrides sont désactivées sur votre boutique dans l'onglet "Performances"

[ahcheval]

Merci pour votre réponse Eolia, effectivement j'ai surement raté quelque chose :

"Soit les overrides ne sont pas copiées" comment je peux vérifier ou corriger ?

Le fichier cache/class_index.php est daté d'aujourd'hui, mais je ne l'ai pas effacé manuellement, est ce que je dois le faire? J'ai effacé le cache via performance.

Dans l'onglet Performance, on ne parle pas d'overrides dans le version presta 1.6.0

 

[Eolia]

et regarder sur votre ftp dans le répertoire /overrides/classes si les fichiers Customer.php et Validate.php sont présent et non vides

[ahcheval]

Incroyable mais prestashop refuse de désactiver toutes les surchages, je met sur "non" j'enregistre et il se remet "oui". J'ai essayé plusieurs fois et rien à faire il se remet sur "oui" à chaque fois.

[Eolia]

Vous êtes en multiboutique ?

Autrement allez dans la base de données, table configuration, passez la variable PS_DISABLE_OVERRIDES à 0

[ahcheval]

"/overrides/classes si les fichiers Customer.php et Validate.php sont présent et non vides " les fichiers n'y sont pas.

Je ne suis plus en multiboutique

Je me demande si je n'ai pas raté l'installation du patch122 depuis le début.

J'ai copié le contenu du patch dans le bloc note et j'ai enregistré le fichier sous patch1222.php, je l'ai ensuite mis sous /admin8xx3

j'ai effacé tous les caches.

Fallait-il faire autre chose ?

 

[Eolia]

Bloc notes ca démarre mal...

N'utilisez que Notepad++ et pas autre chose, les logiciels Windows rajoutent des BOM.

Ensuite il faut appeler ce fichier depuis: https://votresite.com/votreadmin/patch122.php 

patch122.php

[ahcheval]

Merci beaucoup cette fois on dirait que ça marche.

J'ai enregistré votre fichier directement et j'ai l'ai mis sous admin.

J'ai appelé le fichier comme on appelle une tache cron (c'est clairement cette étape que j'avais râtée). et cette fois tout semble ok.

Adieu les spammeurs, merci beaucoup Eolia.

[doekia]

Pour ceux qui ont la possibilité d''uoload depuis une url il suffit de saisir comme via github http://area51.enter-solutions.com/snippets/122/raw