Version imprimable du sujet

Cliquez ici pour voir ce sujet dans son format original

Forum osCommerce-fr _ Sécurité - Mises à jour _ problème mail confirmation de commande

Écrit par : microp 13 Nov 2014, 12:19

Bonjour, mon site a été piraté ce week end.
J'ai effacé ce que le pirate avait mis sur mon site.
J'ai remis ma boutique os commerce en ligne correctement (vive les sauvegardes régulières).
Mais j'ai un souci avec les mails de confirmation de commande et de mise à jour de l'état de la commande.
Ils n'arrivent pas dans ma boite mail ni dans celle du client.
Par contre si j'envoie une demande via la page contact, ça marche. Je reçois bien le mail.
Je suis hébergé chez ovh (90plan).
J'ai vérifié le suivi des mails automatisés, ils ne sont pas bloqués et j'ai même fait une purge au cas où.
J'ai aussi un problème avec thunderbird, dès que j'envoie un mail (qui ne part pas d'ailleurs), j'ai ceci :
"Une erreur est survenue lors de l'envoi du courrier. Le serveur a répondu : 5.7.1 Spam Detected - Mail Rejected. Please see our policy at: http://postmaster.free.fr/#spam_detected. Veuillez vérifier le message et essayer à nouveau."
Pas sur que ce soit lié, mais je préfère le préciser.
Si j'envoie un mail depuis le webmail, ça fonctionne.

Y a t'il une erreur sur mon site où est-ce du uniquement à un blocage externe.
Mon accès internet est chez free.
Mon ip n'est apparemment pas bloquée.

Cordialement.

Stéphan

Écrit par : chti_poupon 15 Nov 2014, 12:06

Bonjour
Pour l'envoi des mails, comme le dit la référence que tu as donnée, il doit y avoir une erreur de syntaxe ou de protocole dans catalog/checkout_process.php (et, s'il y a lieu catalog/cmcic_response.php).
Les fonctions et classes ne semblent pas en cause, puisque les autres mails fonctionnent, non plus que le serveur.
Revois donc le code de checkout_process, en le comparant à celui de la version MS2.2 vierge de toute contrib.

Par contre, si piraté tu as été, piraté tu seras de nouveau, si tu ne respectes pas les consignes de sécurité de base:
.htaccess pour l'admin
admin renommée
fichiers configure.pbp et autres au bon chmod (voir la FAQ http://www.oscommerce-fr.info/faq/qa_info.php?qID=126)
Suppression dans l'admin des fichiers comme define_language.php et file_manager.php.
Voir aussi les différentes interventions du forum, comme http://www.oscommerce-fr.info/forum/index.php?showtopic=70960&pid=369353&st=0&#entry369353 ou de nombreux fils (recherche simple avec comme clef: file_manager)

Belle journée !

Chti poupon


Écrit par : microp 17 Nov 2014, 11:02

Bonjour, merci de ta réponse. J'ai contrôlé checkout_process.php et je n'ai rien trouvé.
Je l'ai remplacé par le fichier d'origine, c'est pareil.
Je n'ai pas de fichier cmcic_response.php
Les 1ers fichiers insérés par le pirate l'ont été le 7-11-2014.
Le 6-11-2014 un client a passé une commande dont l'accusé est bien arrivé dans ma boite mail.
Je viens donc de faire une restauration de mon espace web au 3-11-2014 via la console OVH.
Je n'avais pas fait de modification depuis le mois d'octobre.
Ca remarche. Il y avait donc bien une erreur qui restait mais je ne l'ai pas trouvée.

Mon site avait déjà été piraté au mois de juin.
J'avais donc ajouté pas mal de sécurités (captcha sur les formulaires, chmod...) mais pas suffisantes.
J'ai remarqué qu'il n'a touché (ou pu toucher) que les répertoires en 705. Tous ceux en 505 n'ont pas été touchés.
Est-ce que ça l'a bloqué ?
Est-ce une bonne solution de mettre les répertoires en 505 (c'est chiant pour les modifs, mais si après je suis tranquille...) ?
Et puis je ne fais pas des modifs souvent (à part dans la BDD).

Cordialement.

Stéphan

Écrit par : chti_poupon 17 Nov 2014, 12:35

mmh !
La seule différence entre les chmod ovh 705 et 505 est qu'en 505, personne n'a le droit d'écrire, même toi ! :D
(Il semble qu'ovh ne permette pas tous les chmod recommandés par la FAQ http://www.oscommerce-fr.info/faq/qa_info.php?qID=126: voir leurs informations http://guides.ovh.net/DroitUnix)
La source du piratage ne doit pas être du côté du clavier que tu crois (je répète ici une recommandation de FoxP2): Où sont notés tes logins et mots de passe ? Qui a accès à ton clavier, ton réseau,...?
Tu as déjà été piraté: ton admin s'appelle-elle toujours admin ou adminmicrop ou micropadmin ou quelque chose de similaire ou bien plutôt TfRGLCEawQ "un peu" plus difficile à trouver?
Si tu adores être piraté, ne fais rien de plus !! :D
A te lire !
Chti poupon

Écrit par : chti_poupon 17 Nov 2014, 12:35

mmh !
La seule différence entre les chmod ovh 705 et 505 est qu'en 505, personne n'a le droit d'écrire, même toi ! :D
(Il semble qu'ovh ne permette pas tous les chmod recommandés par la FAQ http://www.oscommerce-fr.info/faq/qa_info.php?qID=126: voir leurs informations http://guides.ovh.net/DroitUnix)
La source du piratage ne doit pas être du côté du clavier que tu crois (je répète ici une recommandation de FoxP2): Où sont notés tes logins et mots de passe ? Qui a accès à ton clavier, ton réseau,...?
Tu as déjà été piraté: ton admin s'appelle-elle toujours admin ou adminmicrop ou micropadmin ou quelque chose de similaire ou bien plutôt TfRGLCEawQ "un peu" plus difficile à trouver?
Si tu adores être piraté, ne fais rien de plus !! :D
A te lire !
Chti poupon

Écrit par : microp 17 Nov 2014, 13:28

Nous sommes 2 dans l'entreprise : mon père et moi. Son niveau internet est tellement faible, que ce n'est pas lui.
L'accès internet se fait par une freebox en mode routeur.
Je ne sais pas trop comment analyser les logs pour voir comment le pirate à fait.
C'est vrai l'admin s'appelle toujours admin. C'est pas bien.
Je vais tâcher de suivre un peu plus la FAQ.
7 ans sans problème. Et paf maintenant que ça a commencé, ça ne s'arrête plus.
La 1ere fois au mois de juin, puis 4 ou 5 fois pendant juillet août. Début septembre j'ai pu trouver le temps de faire des modifs (captcha...)
et j'ai été tranquille 2 mois !!!
Faut vraiment que je fasse quelque chose de sérieux maintenant.

Merci pour tout.

Cordialement

Stéphan

Écrit par : chti_poupon 17 Nov 2014, 15:17

Citation
Et paf maintenant que ça a commencé, ça ne s'arrête plus.

Ben oui, comme dans tout, le bouche à oreille est une publicité efficace ! huh.gif

Citation
Je vais tâcher de suivre un peu plus la FAQ.

C'est peu de chose à faire...

pour l'admin, un nom quelconque suffit
le changer aussi dans .htaccess et configure.php (de l'admin)
Vois aussi ce forum, il y a une discussion sur les mots de passe trop faciles.
Belle journée !
Chti poupon
PS mrgreen.gif J'ai p'tête ben l'âge de ton père et j'en connais qui accrochent bien après un stage à 80 ans...
Souviens-t'en en 2050...!!! wub.gif

Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)