Wir betreiben einen 1.6er Prestashop, auch wir haben die besagte Mail von 1&1 am 29.12 erhalten. Bei uns wurde ebenfalls die XsamXadoo_deface.php über die eval-stdin.php aus dem phpunit Framework im Autoupgrade Modul hochgeladen. Laut meinen recherchen ist das wohl aber phpunit 5.7 in dieser wohl die oft genannte CVE-2017-9841 bereits geschlossen ist. Das Autoupgrade Modul sowie alle anderen werden immer brav natürlich in regelmäßigen Abständen aktualisiert. Wir haben im August 2018 das Autoupgrade Modul 4.0 installiert. Seit dem befand sich das phpunit Framework nachweislich mit im modules Ordner. Selbst bei einem update bleibt dieses bestehen, auch wenn das Modul deinstalliert wird. Es muss daher immer manuell gelöscht werden. Die Frage ist nun, welche Schwachstelle nutzen die Angreifer mittlerweile bzw. seit kurzem massiv aus? Ich würde jedem so lange empfehlen das komplette Prestashop Verzeichnis nach phpunit Ordner zu durchsuchen und diese anschließend zu löschen.
Edit History
Wir betreiben einen 1.6er Prestashop, auch wir haben die besagte Mail von 1&1 am 29.12 erhalten. Bei uns wurde ebenfalls die XsamXadoo_deface.php über die eval-stdin.php aus dem phpunit Framework im Autoupgrade Modul hochgeladen. Laut meinen recherchen ist das wohl aber phpunit 5.7 in dieser wohl die oft genannte CVE-2017-9841 bereits geschlossen ist. Das Autoupgrade Modul sowie alle anderen werden immer brav natürlich in regelmäßigen Abständen aktualisiert. Wir haben im August 2018 das Autoupgrade Modul 4.0 installiert. Seit dem befand sich das phpunit Framework nachweislich mit im modules Ordner. Selbst bei einem update bleibt dieses bestehen, auch wenn das Modul deinstalliert wird. Es muss daher immer manuell gelöscht werden. Die Frage ist nun, welche Schwachstelle nutzen die Angreifer mittlerweile bzw. seit kurzem massiv aus? Ich würde jedem so lange empfehlen das komplette Prestashop Verzeichnis zu nach phpunit zu durchsuchen und dieses löschen.