В январе 2020 года командой Prestashop была обнаружена уязвимость в PHPUnit, которую использует вредоносное ПО под названием XsamXadoo Bot. Проблема была исправлена в PHPUnit 7.5.19 и 8.5.1. Но предыдущие версии остаются уязвимыми, по крайней мере, при определенных конфигурациях сервера, и сейчас.
Этот инструмент представляет собой платформу, которая используется для модульного тестирования при разработке приложений. Хотя его использование не является распространенным в Prestashop, существуют модули Prestashop, разработанные третьими сторонами, которые используют этот Framework. Вот почему масштабы этого нарушения безопасности могут быть довольно большими.
Действия вредоносного ПО XsamXadoo Bot заключается в основном в получении доступа к магазину через уязвимый код инструмента PHPUnit и последующей вставке некоторых файлов с вредоносным кодом в каталог магазина. Код внутри этих файлов позволяет злоумышленникам управлять магазином и красть данные.
Согласно анализу команды PrestaShop, большинство вирусов либо помещают новые файлы в файловую систему, либо изменяют существующие файлы, такие как AdminLoginController.php.
На данный момент известно, что вредоносное ПО создает следующие файлы:
Вы должны знать, что если магазин уязвим, это не значит, что он заражен. Но если вирус атакует магазин, он получит доступ и, следовательно, заразит его вредоносным кодом через вышеупомянутые файлы.
Подключитесь к вашему магазину через FTP или через панель веб-хостинга и проверьте каталог vendor в основной папке prestashop и внутри каждого из ваших модулей:
Если внутри вышеупомянутых каталогов есть каталог под названием «phpunit», ваш магазин может быть уязвим.
Предупреждение: не трогайте больше ничего, иначе вы можете сломать свой магазин. Другие файлы и папки (например, /vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit/ или файлы .xml) безопасны, не удаляйте их.
Так как PHPUnit – это библиотека разработки, которая не требуется для нормальной работы вашего сайта, вы можете просто удалить все каталоги «phpunit», обнаруженные в указанных папках. Это должно помочь предотвратить атаку вируса.
Имейте в виду, что даже если вы выполните эту очистку, возможно, ваш магазин уже был взломан.
Вы можете проверить, были ли изменены основные файлы PrestaShop, просмотрев раздел «Список измененных файлов» в вашем бэк-офисе: «Дополнительные параметры> Информация». Однако этой проверки может быть недостаточно, поскольку ваш сайт уже мог быть взломан.
Если ваш магазин был взломан или вы считаете, что он был взломан:
Если вы считаете, что ваш сайт был взломан, обратитесь к специалисту по безопасности.
Затронуто несколько модулей:
PrestaShop выпустили обновленные версии для этих модулей, в которых удалена связанная библиотека:
Обратите внимание, что если вы установили ранее уязвимую версию этих модулей, файлы PHPUnit все еще могут присутствовать на вашем сервере. Только эти недавно выпущенные версии гарантируют, что PHPUnit больше не присутствует в каталоге поставщика. Модули и темы других производителей также могут быть уязвимы.
Дополнительную информацию можно узнать здесь.
Якщо Ви життєрадісна, талановита і цілеспрямована людина, будемо раді бачити Вас у нашій команді. Дивіться наші вакансії і відправляйте резюме.
Коментарі