atak Moduł od Fieldthemes podatny na SQL Injection

[nwalczak]

Witajcie,

Zamieszczam tę informację, ponieważ w ostatnim czasie mój sklep został zaatakowany.

Namęczyłem się, ale w końcu się udało przywrócić "stan normalny".

Źródłem 1 ataku był moduł Smartblog i jego komponenty. Wymagał aktualizacji, ale o tym już na tym forum było.

Zadowolony z siebie i szczęśliwy, że sklep już działa i jest bezpieczny otrzymałem e-mail od Google Search Console, że wykryto atak hakerski, a w mojej stronie są treści o charakterze inżynierii społecznej.

Jako przykład dostałem stronę: /css/ - po przejściu przekierowywało na spamerskie strony z możliwością zakupu iPhone po taniości

W plikach znalazłem też nowy katalog /icloud/ - zasada działania jak powyżej.

Skąd to się wzięło?

Przecież moduł bloga już aktualny, inne niebezpieczne moduły (nieużywane) usunięte! Jednak jest jeszcze jeden moduł, który należy zaktualizować lub wyłączyć i usunąć!

fieldvmegamenu

Jest to moduł instalowany wraz z szablonami od Fieldthemes. Polecam, każdemu, kto korzysta z ich szablonu sprawdzić czy nie ma dziwnych plików w źródle.

Zapis z logów serwera:

172.68.94.153 - - [19/Dec/2017:08:01:25 +0100] "POST /modules/fieldvmegamenu/uploads/secure.php? HTTP/1.1" 200 9364 - "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0"

Sprawdźcie logi serwera i poszukajcie wystąpień /modules/fieldvmegamenu/uploads/secure.php. Jeśli pojawiają się takie zapytania to najprawdopodobniej ktoś już robi Wam psikusa

[endriu107]

W jakiej wersji masz ten moduł?

[Krystian Podemski]

Mogę potwierdzić, że rzeczywiście ich moduł jest dziurawy, sam ostatnio czyściłem atak po akcji związanej z nim.

Problem polega na tym, że ten moduł pozwala uploadować zdalnie pliki, bez żadnej walidacji, czyli to samo co było elementem włamu w wielu innych sklepach na innych gotowych szablonach... Z tego co wiem to autor szablonów wie o całej sytuacji.

[endriu107]

Dlatego pytam o wersje ponieważ w wrześniu była poprawka dla tego modułu która miała załatać ten błąd.

[nwalczak]

Miałem wersję 1.0. We wrześniu nie aktualizowałem - nie dotarła do mnie informacja.

Napisałem do Fieldthemes - znają sytuację i wypuścili poprawkę.

Po aktualizacji temat powinien być rozwiązany, ale jeśli ktoś nie zaktualizował to proponuję zweryfikować oraz sprawdzić dodatkowo czy nie wrzucono kopii tego pliku. W moim przypadku do katalogu /js/vendor/ wrzucono plik indexx.php, który zawierał zakodowaną kopię /modules/fieldvmegamenu/uploads/secure.php i po usunięciu modułu i plików atak się ponowił.

W moim przypadku atak wyglądał tak:

- podmiana zawartości plików /js/index.php i /css/index.php

- usunięcie plików .htaccess z katalogów /js/ i /css/

- utworzenie dodatkowej furtki w /js/vendor/indexx.php

 

Haker okazał się żartownisiem i po usunięciu katalogu modułu fieldvmegamenu skorzystał z utworzonej furtki i usunął główny .htaccess wysypując mi sklep

[endriu107]

Wrześniowa poprawka to wersja 1.0.1 więc wygląda na to że wersja 1.0 jest podatna. Znam przypadki gdzie zostały zaatakowane inne pliki więc warto na spokojne sprawdzić wszystko w szczególności czy nie dokleiły się nowe pliki.

[hakeryk2]

Dzięki za info o smartblog - miałem go sobie wdrażać kilka miesięcy temu i miałem nieaktualny, ale poszło w pierony.

[Sensbit Polska]

Chciałbym dodać, że sama aktualizacja modułu może załatać dziury, które były w nim ale nie usunie plików utworzonych na serwerze przez złośliwca, które również mogą pozwalać na nieograniczony dostęp zdalny. 

Miałem kilka takich przypadków, żę pozbycie się źródła nie przyniosło rezultatów dopóki nie został wyczyszczony każdy plik utworzony w sposób niepożądany. Przydaje się wtedy backup z konkretnej daty i porównanie listy plików w kopii i aktualnym sklepie.

[limera1n]

Hej, również zostałem zaatakowany tą metodą z tym że nie mogę pobrać tej poprawionej wersji (pobiera się dalej 1.0) a twórca napisał że mają ferie i ogólnie mam pisać po 20 luego...

 

Może ktoś pomóc? Potrzebuje załatanego modułu fieldvmegamenu i informacji gdzie jeszcze szukać dorobionych backdorów 

[limera1n]

W załączniku pliki jakie znalazłem na serwerze. 

te z ZIPa były w fieldvmegamenu/uploads

bridge.php był w modules

 

To już drugi atak tego typu, za pierwszym razem nawet wgrali sobie jakąś fejkową sitemape. Jest jeszcze screen jak widzą stronę boty, tu edytowali index.php główny

Desktop.zip

bridge.php

[yabko]

Czy ma ktoś ten moduł Field Vertical Megamenu w wersji bezpiecznej?