Jump to content

Recommended Posts

Attention aux possesseurs de ce module (version 1.6.0) les hackers téléchargent directement leurs pfm dpuis l'ajax et infectent votre site.

Ce fichier ne contrôle rien concernant le type de fichier envoyé.

Exemple de requête:

35.242.236.93 site.fr - [08/Sep/2019:22:36:25 +0200] "POST /modules/jmsslider/ajax_jmsslider.php?action=addLayer&id_slide=attari&data_type=image HTTP/1.1" 200 25 "-" "python-requests/2.22.0"

Le hack fonctionne même si le module n'est pas installé, il suffit qu'il soit présent sur votre ftp dans le répertoire /modules

Ca fait juste peur en fait de voir de tels codes...

$context = Context::getContext();
$slides = array();
if (Tools::getValue('action') == 'addLayer' && Tools::getValue('id_slide')) {
    $data_type = Tools::getValue('data_type');
    if ($data_type == 'text') {
...
    } elseif ($data_type=='image') {
        $path = dirname(__FILE__).'/views/img/layers/';
        if ($_FILES['data_image']['name']) {
            $st_name = preg_replace('/[^A-Za-z0-9\._\-]/', '', $_FILES['data_image']['name']);
            $name = str_replace(' ', '-', $st_name);
            $img_extend = array('png', 'jpg', 'gif', 'jpeg');
            $type = Tools::strtolower(Tools::substr(strrchr($_FILES['data_image']['name'], '.'), 1));
            $path = dirname(__FILE__).'/views/img/layers/';
            if (!file_exists($path.$name)) {
                move_uploaded_file($_FILES['data_image']['tmp_name'], $path.$name);
            }
            $data_image = $name;
        } else {
            $data_image = Tools::getValue('data_s_image');
        }
...

 

  • Like 2
  • Thanks 2

Share this post


Link to post
Share on other sites

Depuis 2015, il y en a qui ne veulent pas apprendre

Share this post


Link to post
Share on other sites

Merci pour ces détails, mon site utilise justement jmsslider et a été infecté il y a 2 jours. J'ai eu à défaire la merde que ça l'a foutu.

Effectivement, des fichiers php avec des codes encryptés avec des instructions eval ont été détectés dans le module. 

Auriez-vous une solution simple pour que ceci ne se reproduise plus ? à moins que je me trompe, le module ne semble pas vérifier si la requête post est fait par un utilisateur autorisé.

 

 

Share this post


Link to post
Share on other sites

demandez une mise à jour à son auteur.

Par contre attention, cette infection permet au hackeur de déposer des fichiers un peu partout sur votre ftp pour pouvoir revenir ensuite.

Share this post


Link to post
Share on other sites

Effectivement, je me suis hâté de contacter l'auteur. J'ai reçu la nouvelle version, bien heureusement.

C'est ce que j'ai fait, bref... Un petit grep -rnw '.' -e 'base64' --include=*.php et grep -rnw '.' -e 'eval' --include=*.php pour voir les parcelles de codes suspicieuses. 

 

Dans un cas comme celui là, il n'y a pas de solution miracle pour trouver l'étendue des dégats. Et voilà, quelques heures d'analyses et beaucoup de café à boire afin de m'assurer que ma boutique est saine. 

Au moins, je peux me rassurer que les droits sont tenus assez serrées, donc, pas vraiment de fuite possible en dehors du répertoire de prestashop. 

 

Merci d'avoir signalé il y a quelques jours, ça m'a mis sur une piste et merci pour le conseil :)

 

Edited by hydromel2008 (see edit history)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More