Vulnerabilità phpunit Prestashop 1.7.5.1 hackerato

[Markobboy]

Questa mattina ricevo un messaggio dal nostro hosting che mi informa che il nostro sito ha subito un attacco.

Di seguito troverà i risultati della nostra analisi.
Affinchè il Suo spazio web torni a funzionare correttamente dopo aver effettuato le operazioni di pulizia dovrà reimpostare i permessi dei files sostituiti a 604.

I seguenti files sono stati caricati molto probabilmente da terzi.
La preghiamo di analizzare tali files ed eliminarli se necessario.
~/nostrosito/Xsam_Xadoo.html
~/nostrosito/modules/ps_facetedsearch/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
~/nostrosito/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php

I seguenti files sono stati modificati molto probabilmente da terzi.
Per favore verifichi  tali files nel Suo spazio web ed eventualmente li sostituisca con una copia di backup non infetta.
~/nostrosito/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
~/nostrosito/Xsam_Xadoo.html

Da una prima analisi sembra che abbiano usato una vulnerabilità in phpunit.

I due moduli interessati sono entrambi di base di prestashop: la ricerca per filtri e l'autoaggiornamento.

[selectshop.at]

Non è ancora chiaro come si adatti XsamXado, ma nel forum Prestashop francese si consiglia di eliminare le seguenti sottocartelle / vendor nelle seguenti cartelle del modulo:

- modulo autoupgrade (versione 4)

- modulo pscartabandonmentpro; Versione v2.0.1 e 2.0.2 - se installata, perché non si tratta di un modulo nativo.

- modulo ps_checkout; Versioni v1.0.8 e v1.0.9 - se installate, perché questo non è un modulo nativo.

- modulo ps_facetedsearch; Versione v3.0.0 e v2.2.1

- modulo gamification

Puoi trovare il post originale qui: https://www.prestashop.com/forums/topic/1012095-hack-prestashop-avec-xsamxadoo-bot/

 

[selectshop.at]

@okom3pom - è lo stesso che ho collegato un post prima. (c'est la même chose que j'ai lié un post avant.)

[selectshop.at]

4 minutes ago, okom3pom said:

Click your link he is broken 

Link working now. Strange thing.... But I've translated that link into Italian, it was only linked as reference. So all good.

Link funzionante ora. Cosa strana .... Ma ho tradotto quel link in italiano, era collegato solo come riferimento. Quindi tutto bene.

[selectshop.at]

Piccola correzione e istruzioni più precise: dovresti, per precauzione, eliminare tutte le sottocartelle / phpunit / che si trovano nella cartella / modules / xxxx.

Questo vale per PS 1.5, PS 1.6. e anche per PS 1.7.

Questi sono i seguenti:

/ modules / autoupgrade / vendor / phpunit

/ modules / ps_facetedsearch / vendor / phpunit - se disponibile, poiché questa cartella non esiste nelle versioni più recenti del modulo

/ modules / gamification / vendor / phpunit - se disponibile, poiché questa cartella non esiste nelle versioni più recenti del modulo

 

Oltre a eventuali moduli di terze parti come:

/ modules / pscartabandonmentpro / vendor / phpunit

/ modules / ps_checkout / vendor / phpunit

L'elenco qui può essere ampliato se necessario.

[immagine123]

Buongiorno a tutti,

a seguito delle segnalazione delle vulnerabilità in oggetto ho effettuato una ricerca su un sito con prestashop v. 1.6.1.7.

con questa ricerca ho rilevato i seguenti files nelle directory di vari moduli:

 

/phpunit.xml

/phpunit.no_autoload.xml

/phpunit

in directory diverse da /phpunit/ solitamente in directory denominate con il nome del programmatore o /test/

sono sintomo di vulnerabilità?

Si possono cancellare senza problemi?

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Goodmorning everyone,

following the reporting of the vulnerabilities in question, I carried out a search on a site with prestashop v. 1.6.1.7.

with this search I found the following files in the directories of various modules:

/phpunit.xml

/phpunit.no_autoload.xml

/ phpunit

in directories other than / phpunit / usually in directories named by the programmer's name or / test /

are they a symptom of vulnerability?

Can they be canceled without problems?

 

 

[tony1616]

1 hour ago, selectshop.at said:

Piccola correzione e istruzioni più precise: dovresti, per precauzione, eliminare tutte le sottocartelle / phpunit / che si trovano nella cartella / modules / xxxx.

Questo vale per PS 1.5, PS 1.6. e anche per PS 1.7.

Questi sono i seguenti:

/ modules / autoupgrade / vendor / phpunit

/ modules / ps_facetedsearch / vendor / phpunit - se disponibile, poiché questa cartella non esiste nelle versioni più recenti del modulo

/ modules / gamification / vendor / phpunit - se disponibile, poiché questa cartella non esiste nelle versioni più recenti del modulo

 

Oltre a eventuali moduli di terze parti come:

/ modules / pscartabandonmentpro / vendor / phpunit

/ modules / ps_checkout / vendor / phpunit

L'elenco qui può essere ampliato se necessario.

eliminare le cartelle comporta qualche malfunzionamento?

[selectshop.at]

No, perché phpunit non è una parte di cui ha bisogno prestashop. Questo è un framework di terze parti per testare la conformità php per alcuni moduli. Ma per favore cancella solo la sottocartella e il suo contenuto / phpunit / non la cartella prima di nominare / vendor /

[tony1616]

perfetto grazie

[selectshop.at]

Se ci si trova su un server Linux root, la procedura di pulizia per riparare un negozio vulnerabile può essere eseguita usando la seguente riga di comando bash dai cartella /modules:

find . -type d -name "phpunit" -exec rm -rf {} \;

Questo comando richiede i diritti utente pertinenti.

[Gian Luca]

Ciao a tutti, da un primo check non sembra siano stati hackerati i vari siti e questo è positivo!
.....però ho trovato in questo modulo "gamification" la famigerata cartella: "..../modules/gamification/vendor/Phpunit"

Che ho prontamente cancellato!

Ho però trovato anche uno dei file apparentemente incriminati "f.php" e l'ho trovato qui:
"...vendor/symfony/symfony/src/Symfony/Component/ClassLoader/Tests/Fixtures/ClassesWithParents/F.php"

In ultimo ho trovato altre cartelle Phpunit, qui:

modules/gamification/vendor/mockery/mockery/library/Mockery/Adapter/Phpunit/
modules/gamification/vendor/mockery/mockery/tests/Mockery/Adapter/Phpunit/
modules/gamification/vendor/friendsofphp/php-cs-fixer/src/Fixer/PhpUnit/
vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit/

Sinceramente non so se farà collassare il sistema, come prima provo le rinomino, riavvio apache e se tutto va le cancello

[ppelleg2003]

Salve a tutti.

Ho da poco ricevuto mail di segnalazione da Prestashop e stavo facendo qualche controllo.

Da quel che leggo circa la vulnerabilità (nota almeno dall'aprile 2018!!! https://fortiguard.com/encyclopedia/ips/45765/phpunit-eval-stdin-php-remote-code-execution ) le versioni di phpunit colpite sono quelle precedenti la 4.8.28 e, per la 5.x , quelle precedenti la 5.6.3

Sembrerebbe essere sufficiente eliminare il file eval-stdin.php nella sottocartella \vendor\phpunit\phpunit\src\Util\PHP e corrispondenti (se presenti) nei moduli.

Da breve ricerca su Google la versione di PHPUtil può essere ricavata da \vendor\phpunit\phpunit\src\Runner\Version.php e corrispondenti (se presenti) nei moduli (Vanno controllate singolarmente perchè ovviamente ogni modulo potrebbe portarsi dietro una versione diversa di PHPUtil)

Ritengo quindi che si possa semplicemente verificare la versione di la e quindi capire se vulnerabili o no!

Qualcuno più addentro mi dica se mi sbaglio.

Edited January 8, 2020 by ppelleg2003 (see edit history)

[Massimo333]

L'assistenza Prestashop consiglia di eliminare tutte le cartelle "vendor/phpunit" presenti nei moduli: è possibile lanciare una ricerca nel server o nel database per verificare la presenza nei moduli istallati di cartelle "vendor/phpunit", in modo da non dover fare tutto manualmente ?

Edited January 8, 2020 by Massimo333 (see edit history)

[ppelleg2003]

Come scrive qualche post piú su Selectshop.at, potresti usare il comando Linux 

find . -type d -name "phpunit" -exec rm -rf {} \;

Però hai bisogno di avere accesso alla console del server e di avere privilegi sufficienti. 

Molti hosting mettono anche a disposizione dei file manager avanzati con cui potresti fare ricerca e cancellazione

[Gian Luca]

Ciao, per comodità mi sono fatto uno scrippettino PHP..

1. Create una pagina php es. "bug_phpunit_scandir.php"
2. caricatela nella root del sito
3. richiamatela es. www.miosito.com/bug_phpunit_scandir.php
4. il risultato saranno tutte le cartelle / sotto cartelle / file in grigio chiaro...
5. evidenziato in rosso dove c'è contenuto la parola "phpunit"

Da ricordarsi:

• NON vuol dire che devono essere cancellati quei file o cartelle
• Serve solo per evidenziare con più comodità
• Cerca solo all'interno della cartella "/modules"
• Ogni modifica è a vostro rischio
• Ricordatevi di rimuove il file "bug_phpunit_scandir.php"

Ciao

<html>
<body style="color:#e6e6e6;">
<style>

body{
	font-family:arial;
	}
h2{ color: ff6600; }
.evidenzia{
	padding:5px;
	color:#ff0000;
	background:#f3f3f3;
	}
	
</style>
<?php

$varPath       = "modules/";

echo "<h2>Cerco nella cartella \"$varPath\"</h2>";

listFolderFiles($varPath);

function listFolderFiles($dir){
    $ffs = scandir($dir);

    unset($ffs[array_search('.', $ffs, true)]);
    unset($ffs[array_search('..', $ffs, true)]);

    // prevent empty ordered elements
    if (count($ffs) < 1)
        return;

    echo '<ol>';
    foreach($ffs as $ff){
        echo '<li>';
			if (strpos($ff, "phpunit") !== false){
				echo "<span class='evidenzia'>" . $ff . "</span>";
			}else{
				echo $ff ;
			}	
		if(is_dir($dir.'/'.$ff)){
			echo listFolderFiles($dir.'/'.$ff);
		}
        echo '</li>';
    }
    echo '</ol>';
}

?>
</body>
</html>

 

 

 

 

 

Edited January 8, 2020 by gianjj (see edit history)

[tuk66]

Puoi controllare tutte le directory da questo modulo gratuito

 

 

[Prestashop Addict]

Free module for ps 1.6 and 1.7 to remove phpunit folders and infected files.

[immagine123]

On 1/6/2020 at 11:44 AM, immagine123 said:

Buongiorno a tutti,

a seguito delle segnalazione delle vulnerabilità in oggetto ho effettuato una ricerca su un sito con prestashop v. 1.6.1.7.

con questa ricerca ho rilevato i seguenti files nelle directory di vari moduli:

 

/phpunit.xml

/phpunit.no_autoload.xml

/phpunit

in directory diverse da /phpunit/ solitamente in directory denominate con il nome del programmatore o /test/

sono sintomo di vulnerabilità?

Si possono cancellare senza problemi?

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Goodmorning everyone,

following the reporting of the vulnerabilities in question, I carried out a search on a site with prestashop v. 1.6.1.7.

with this search I found the following files in the directories of various modules:

/phpunit.xml

/phpunit.no_autoload.xml

/ phpunit

in directories other than / phpunit / usually in directories named by the programmer's name or / test /

are they a symptom of vulnerability?

Can they be canceled without problems?

 

 

Nessuno ha una risposta al quesito?

[tuk66]

Cerca il file eval-stdin.php che è il vero problema.

[Costantini]

On 1/8/2020 at 1:30 PM, tuk66 said:

Puoi controllare tutte le directory da questo modulo gratuito

 

 

buongiorno,

ho installato il modulo, visto che questo problema mi sta facendo impazzire. Sono 10 volte che ripulisco tutto il sito per colpa di questa vulnerabilità. Comunque il module mi restituisce solamente un messaggio con scritto:

OK

Minacce trovato. con sfondo celeste. 

E' un problema di traduzione o ha trovato qualcosa?

[micelio]

Buonasera, 

credo di avere il sito compromesso, i primi di Febbraio ho ricevuto una notifica dal server per traffico anomalo nel sito. Ho verificato che in alcune directory cera la cartella phpunit.

In modules mi trovo una cartella con un nome strano, come fosse un codice lungo 0cf577frt456hy67...... (che per errore ho rinominato 0cf577) al suo interno vendor/phpunit ho eliminato l'intera cartella phpunit

Poi nel BO di Prestashop in Parametri Avanzati / Informazioni è segnato che 4 file sono stati modificati

VERIFICA LA TUA CONFIGURAZIONE
Parametri richiesti: OK
Parametri opzionali: Per favore correggi i seguenti errori

LISTA DEI FILES CAMBIATI
Sono stati rilevati file mancanti/cambiati .
Files aggiornati (4)
admin_xxxxx/autoupgrade/index.php
admin_xxxxx/autoupgrade/backup/index.php
controllers/admin/AdminOrdersController.php
controllers/front/MyAccountController.php

 

I file ci sono tutti e quattro, ma probabilmente il malware li avrà modificati per il suo scopo. 

Domanda da profano, c'è un modo per trovare cosa è stato modificato o se si possono sostituire questi file? pensate che si possa fare qualcosa, anche un suggerimento è gradito, Grazie!

 

Allego screeshot di  Parametri Avanzati / Informazioni

Edited February 11, 2021 by micelio (see edit history)

[ballashop]

On 2/11/2021 at 10:16 PM, micelio said:

Domanda da profano, c'è un modo per trovare cosa è stato modificato o se si possono sostituire questi file? pensate che si possa fare qualcosa, anche un suggerimento è gradito, Grazie!

Ciao, l'unica cosa che mi viene in mente è quella di verificare con un backup precedente i file e usare un software per la comparazione del contenuto. Spero di aver capito la questione, se così non fosse mi scuso. 

Ciao

[Prestashop Addict]

il y a 39 minutes, ballashop a dit :

Ciao, l'unica cosa che mi viene in mente è quella di verificare con un backup precedente i file e usare un software per la comparazione del contenuto. Spero di aver capito la questione, se così non fosse mi scuso. 

Ciao

Com'onSoft ha sviluppato uno script PHP check4change molto semplice per rilevare eventuali modifiche o creazione di file. Questo script PHP Open Source viene utilizzato dalla riga di comando, non richiede alcuna libreria o database particolare. È disponibile gratuitamente su Github. Viene utilizzato come cron job, per rilevare file o directory che sono stati modificati o creati dalla precedente esecuzione dello script. Sarai avvisato via e-mail con un rapporto su tutte le modifiche rilevate. Comodo e utile per rilevare l'hacking di siti Web, modifiche non autorizzate di file, violazioni di accesso ...

[ballashop]

2 hours ago, Prestashop Addict said:

Com'onSoft ha sviluppato uno script PHP check4change molto semplice per rilevare eventuali modifiche o creazione di file. Questo script PHP Open Source viene utilizzato dalla riga di comando, non richiede alcuna libreria o database particolare. È disponibile gratuitamente su Github. Viene utilizzato come cron job, per rilevare file o directory che sono stati modificati o creati dalla precedente esecuzione dello script. Sarai avvisato via e-mail con un rapporto su tutte le modifiche rilevate. Comodo e utile per rilevare l'hacking di siti Web, modifiche non autorizzate di file, violazioni di accesso ...

Molto utile grazie, però in questo caso la modifica potrebbe essere già stata effettuata. Un saluto ciao.

[El Patron]

On 7/21/2021 at 4:45 AM, Prestashop Addict said:

Com'onSoft has developed a very simple check4change PHP script to detect any changes or creation of files. This Open Source PHP script is used from the command line, it does not require any particular library or database. It is available for free on Github . It is used as a cron job, to detect files or directories that have been modified or created since the previous execution of the script. You will be notified by email with a report of all changes detected. Convenient and useful to detect website hacking, unauthorized modification of files, access violations...

Il nostro modulo non solo rileva i file nuovi/modificati/cancellati, ma può anche ripristinare i file non attendibili nel tuo file system. Ci auguriamo che apprezziate il nostro lavoro nella protezione dei file system critici.

https://prestaheroes.com/collections/all-modules/products/prestavault-malware-trojan-virus-protection?variant=40653346603215