PrestaShop - Malware - bezpečnostní díra v PHPUnit

Dnes rano jsem obdrze email od PS support:
"On January 2nd, we discovered a malware named XsamXadoo Bot. This malware can be used to have access to an online store and take control of it. We now believe that the bot used a known vulnerability of the PHP tool PHPUnit that has been reported as CVE-2017-9841."
Link na vice info o malwaru:
https://nvd.nist.gov/vuln/detail/CVE-2017-9841

Navod jak se ho zbavit :
You can now simply delete the “phpunit” folder and its content.

Moje dotazy:

1. existuje nejaka moznost jak dat vyhledavat soubor / adresar pomoci "search" , abych nemusel manualne prochazet jednotilve adresare a podadresare?

2.existuje nejaky zpusob jak zabranit nahrani tohoto nebo jineho adresare do meho shopu? Dnes tam nic neni , ale co zitra? Nemuzu to chodit kontrolovat kazdy den.

Dekuji.

Připravil jsem modul M4 Kontrola zranitelností, který tuto zranitelnost prověřuje. Větší náchylnost je u PrestaShopu 1.7 a už jsem několik zranitelných instalací viděl.

Modul je zdarma ke staýení bez registrace na https://www.presta-addons.com/free/m4check.zip.

Dobrý den,


ano, vyhledávání na FTP serveru je možné. Můžete použít například aplikaci Total Commander. Stačí v horním menu přejít na "Příkazy > Hledat" (příp. Alt+F7) a do pole "Hledat soubory zadat" zadat klíčové slovo, např. "phpunit".

Standardně Vám na web nemůže nikdo nic nahrát. Buď by musel znát heslo pro připojení na web, nebo zneužít nějaké bezpečnostní díry v aplikaci/skriptu (jako v tomto případě). A proto je důležité nepoužívat jednoduchá hesla, udržovat aplikace a jejich rozšíření aktuální a neinstalovat neověřené skripty.

V souvislosti s touto bezpečnostní chybou jsme hromadně všem zákazníkům přejmenovali název složky phpunit na tvar phpunit-(náhodný řetězec) - viz Aktuality. Naše zákazníky jsme o bezpečnostním zásahu informovali e-mailem. Na oficiálních stránkách aplikace PrestaShop je případně k dispozici detailní popis problému.



Děkujeme za uvedení modulu, určitě se bude hodit i ostatním uživatelům. Jelikož chybu obsahuje i modul Aktualizace kliknutím (1-Click Upgrade), hrozí velké riziko zneužití i u starší verze aplikace.

Fatal error in module:www......../modules/m4check/m4check.php:
Maximum execution time of 60 seconds exceeded

Dobrý den,

narazil jste na výchozí limit 60 sekund pro běh skriptu, takže si pro Váš web navyšte hodnotu PHP max_execution_time - viz Nastavení konfiguračních direktiv a knihoven.

Dekuji:



ATTENTION!


These directories have been found that pose a threat.

/modules/autoupgrade/vendor/phpunit-ba1ab21f-88c4-466c-b5ab-3d8751015853/phpunit


These files have been found that pose a threat.

/modules/autoupgrade/vendor/phpunit-ba1ab21f-88c4-466c-b5ab-3d8751015853/phpunit/src/Util/PHP/eval-stdin.php


The recommended action is to delete all these directories and files.

adresar "phpunit" jsem odstranil

Dobrý den,

ano, to je přesně ta problémová složka. Pro upřesnění se jednalo o složku phpunit-ba1ab21f-88c4-466c-b5ab-3d8751015853, která se původně jmenovala phpunit. Ale protože již došlo k zásahu z naší strany, tak došlo k jejímu přejmenování. Takže klidně můžete smazat i celou složku phpunit-ba1ab21f-88c4-466c-b5ab-3d8751015853, ale není to vyloženě nutné. V tomto případě je také řešením aktualizace problémového modulu Aktualizace kliknutím (1-Click Upgrade) na nejnovější verzi, která také obsahuje opravu.

Od dneška jsou evidovány nové typy útoků.

Popsal jsem to zde:


a zároveň jsem udělal modul, aby si každý mohl ověřit, zda-li je infikovaný. Modul zároveň případně doporučí, jaké podniknout kroky.