Jump to content
Markobboy

Vulnerabilità phpunit Prestashop 1.7.5.1 hackerato

Recommended Posts

Questa mattina ricevo un messaggio dal nostro hosting che mi informa che il nostro sito ha subito un attacco.

Di seguito troverà i risultati della nostra analisi.
Affinchè il Suo spazio web torni a funzionare correttamente dopo aver effettuato le operazioni di pulizia dovrà reimpostare i permessi dei files sostituiti a 604.

I seguenti files sono stati caricati molto probabilmente da terzi.
La preghiamo di analizzare tali files ed eliminarli se necessario.
~/nostrosito/Xsam_Xadoo.html
~/nostrosito/modules/ps_facetedsearch/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
~/nostrosito/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php

I seguenti files sono stati modificati molto probabilmente da terzi.
Per favore verifichi  tali files nel Suo spazio web ed eventualmente li sostituisca con una copia di backup non infetta.
~/nostrosito/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
~/nostrosito/Xsam_Xadoo.html

Da una prima analisi sembra che abbiano usato una vulnerabilità in phpunit.

I due moduli interessati sono entrambi di base di prestashop: la ricerca per filtri e l'autoaggiornamento.

Share this post


Link to post
Share on other sites

Non è ancora chiaro come si adatti XsamXado, ma nel forum Prestashop francese si consiglia di eliminare le seguenti sottocartelle / vendor nelle seguenti cartelle del modulo:

- modulo autoupgrade (versione 4)

- modulo pscartabandonmentpro; Versione v2.0.1 e 2.0.2 - se installata, perché non si tratta di un modulo nativo.

- modulo ps_checkout; Versioni v1.0.8 e v1.0.9 - se installate, perché questo non è un modulo nativo.

- modulo ps_facetedsearch; Versione v3.0.0 e v2.2.1

- modulo gamification

Puoi trovare il post originale qui: https://www.prestashop.com/forums/topic/1012095-hack-prestashop-avec-xsamxadoo-bot/

 

Share this post


Link to post
Share on other sites
4 minutes ago, okom3pom said:

Click your link he is broken 

Link working now. Strange thing.... But I've translated that link into Italian, it was only linked as reference. So all good.

Link funzionante ora. Cosa strana .... Ma ho tradotto quel link in italiano, era collegato solo come riferimento. Quindi tutto bene.

Share this post


Link to post
Share on other sites

Piccola correzione e istruzioni più precise: dovresti, per precauzione, eliminare tutte le sottocartelle / phpunit / che si trovano nella cartella / modules / xxxx.

Questo vale per PS 1.5, PS 1.6. e anche per PS 1.7.

Questi sono i seguenti:

/ modules / autoupgrade / vendor / phpunit

/ modules / ps_facetedsearch / vendor / phpunit - se disponibile, poiché questa cartella non esiste nelle versioni più recenti del modulo

/ modules / gamification / vendor / phpunit - se disponibile, poiché questa cartella non esiste nelle versioni più recenti del modulo

 

Oltre a eventuali moduli di terze parti come:

/ modules / pscartabandonmentpro / vendor / phpunit

/ modules / ps_checkout / vendor / phpunit

L'elenco qui può essere ampliato se necessario.

Share this post


Link to post
Share on other sites

Buongiorno a tutti,

a seguito delle segnalazione delle vulnerabilità in oggetto ho effettuato una ricerca su un sito con prestashop v. 1.6.1.7.

con questa ricerca ho rilevato i seguenti files nelle directory di vari moduli:

 

/phpunit.xml

/phpunit.no_autoload.xml

/phpunit

in directory diverse da /phpunit/ solitamente in directory denominate con il nome del programmatore o /test/

sono sintomo di vulnerabilità?

Si possono cancellare senza problemi?

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Goodmorning everyone,

following the reporting of the vulnerabilities in question, I carried out a search on a site with prestashop v. 1.6.1.7.

with this search I found the following files in the directories of various modules:


/phpunit.xml

/phpunit.no_autoload.xml

/ phpunit

in directories other than / phpunit / usually in directories named by the programmer's name or / test /

are they a symptom of vulnerability?

Can they be canceled without problems?

 

 

Share this post


Link to post
Share on other sites
1 hour ago, selectshop.at said:

Piccola correzione e istruzioni più precise: dovresti, per precauzione, eliminare tutte le sottocartelle / phpunit / che si trovano nella cartella / modules / xxxx.

Questo vale per PS 1.5, PS 1.6. e anche per PS 1.7.

Questi sono i seguenti:

/ modules / autoupgrade / vendor / phpunit

/ modules / ps_facetedsearch / vendor / phpunit - se disponibile, poiché questa cartella non esiste nelle versioni più recenti del modulo

/ modules / gamification / vendor / phpunit - se disponibile, poiché questa cartella non esiste nelle versioni più recenti del modulo

 

Oltre a eventuali moduli di terze parti come:

/ modules / pscartabandonmentpro / vendor / phpunit

/ modules / ps_checkout / vendor / phpunit

L'elenco qui può essere ampliato se necessario.

eliminare le cartelle comporta qualche malfunzionamento?

Share this post


Link to post
Share on other sites

No, perché phpunit non è una parte di cui ha bisogno prestashop. Questo è un framework di terze parti per testare la conformità php per alcuni moduli. Ma per favore cancella solo la sottocartella e il suo contenuto / phpunit / non la cartella prima di nominare / vendor /

Share this post


Link to post
Share on other sites

Se ci si trova su un server Linux root, la procedura di pulizia per riparare un negozio vulnerabile può essere eseguita usando la seguente riga di comando bash dai cartella /modules:

find . -type d -name "phpunit" -exec rm -rf {} \;

Questo comando richiede i diritti utente pertinenti.

Share this post


Link to post
Share on other sites

Ciao a tutti, da un primo check non sembra siano stati hackerati i vari siti e questo è positivo!
.....però ho trovato in questo modulo "gamification" la famigerata cartella: "..../modules/gamification/vendor/Phpunit"

Che ho prontamente cancellato!

Ho però trovato anche uno dei file apparentemente incriminati "f.php" e l'ho trovato qui:
"...vendor/symfony/symfony/src/Symfony/Component/ClassLoader/Tests/Fixtures/ClassesWithParents/F.php"

In ultimo ho trovato altre cartelle Phpunit, qui:

modules/gamification/vendor/mockery/mockery/library/Mockery/Adapter/Phpunit/
modules/gamification/vendor/mockery/mockery/tests/Mockery/Adapter/Phpunit/
modules/gamification/vendor/friendsofphp/php-cs-fixer/src/Fixer/PhpUnit/
vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit/

Sinceramente non so se farà collassare il sistema, come prima provo le rinomino, riavvio apache e se tutto va le cancello

Share this post


Link to post
Share on other sites
Posted (edited)

Salve a tutti.

Ho da poco ricevuto mail di segnalazione da Prestashop e stavo facendo qualche controllo.

Da quel che leggo circa la vulnerabilità (nota almeno dall'aprile 2018!!! https://fortiguard.com/encyclopedia/ips/45765/phpunit-eval-stdin-php-remote-code-execution ) le versioni di phpunit colpite sono quelle precedenti la 4.8.28 e, per la 5.x , quelle precedenti la 5.6.3

Sembrerebbe essere sufficiente eliminare il file eval-stdin.php nella sottocartella \vendor\phpunit\phpunit\src\Util\PHP e corrispondenti (se presenti) nei moduli.

Da breve ricerca su Google la versione di PHPUtil può essere ricavata da \vendor\phpunit\phpunit\src\Runner\Version.php e corrispondenti (se presenti) nei moduli (Vanno controllate singolarmente perchè ovviamente ogni modulo potrebbe portarsi dietro una versione diversa di PHPUtil)

Ritengo quindi che si possa semplicemente verificare la versione di la e quindi capire se vulnerabili o no!

Qualcuno più addentro mi dica se mi sbaglio.

Edited by ppelleg2003 (see edit history)

Share this post


Link to post
Share on other sites
Posted (edited)

L'assistenza Prestashop consiglia di eliminare tutte le cartelle "vendor/phpunit" presenti nei moduli: è possibile lanciare una ricerca nel server o nel database per verificare la presenza nei moduli istallati di cartelle "vendor/phpunit", in modo da non dover fare tutto manualmente ?

Edited by Massimo333 (see edit history)

Share this post


Link to post
Share on other sites

Come scrive qualche post piú su Selectshop.at, potresti usare il comando Linux 

find . -type d -name "phpunit" -exec rm -rf {} \;

Però hai bisogno di avere accesso alla console del server e di avere privilegi sufficienti. 

Molti hosting mettono anche a disposizione dei file manager avanzati con cui potresti fare ricerca e cancellazione

Share this post


Link to post
Share on other sites
Posted (edited)

Ciao, per comodità mi sono fatto uno scrippettino PHP..

  1. Create una pagina php es. "bug_phpunit_scandir.php"
  2. caricatela nella root del sito
  3. richiamatela es. www.miosito.com/bug_phpunit_scandir.php
  4. il risultato saranno tutte le cartelle / sotto cartelle / file in grigio chiaro...
  5. evidenziato in rosso dove c'è contenuto la parola "phpunit"

Da ricordarsi:

  • NON vuol dire che devono essere cancellati quei file o cartelle
  • Serve solo per evidenziare con più comodità
  • Cerca solo all'interno della cartella "/modules"
  • Ogni modifica è a vostro rischio
  • Ricordatevi di rimuove il file "bug_phpunit_scandir.php"

Ciao

<html>
<body style="color:#e6e6e6;">
<style>

body{
	font-family:arial;
	}
h2{ color: ff6600; }
.evidenzia{
	padding:5px;
	color:#ff0000;
	background:#f3f3f3;
	}
	
</style>
<?php

$varPath       = "modules/";

echo "<h2>Cerco nella cartella \"$varPath\"</h2>";

listFolderFiles($varPath);

function listFolderFiles($dir){
    $ffs = scandir($dir);

    unset($ffs[array_search('.', $ffs, true)]);
    unset($ffs[array_search('..', $ffs, true)]);

    // prevent empty ordered elements
    if (count($ffs) < 1)
        return;

    echo '<ol>';
    foreach($ffs as $ff){
        echo '<li>';
			if (strpos($ff, "phpunit") !== false){
				echo "<span class='evidenzia'>" . $ff . "</span>";
			}else{
				echo $ff ;
			}	
		if(is_dir($dir.'/'.$ff)){
			echo listFolderFiles($dir.'/'.$ff);
		}
        echo '</li>';
    }
    echo '</ol>';
}

?>
</body>
</html>

 

 

 

 

 

Edited by gianjj (see edit history)

Share this post


Link to post
Share on other sites

Puoi controllare tutte le directory da questo modulo gratuito

 

 

Share this post


Link to post
Share on other sites
On 1/6/2020 at 11:44 AM, immagine123 said:

Buongiorno a tutti,

a seguito delle segnalazione delle vulnerabilità in oggetto ho effettuato una ricerca su un sito con prestashop v. 1.6.1.7.

con questa ricerca ho rilevato i seguenti files nelle directory di vari moduli:

 

/phpunit.xml

/phpunit.no_autoload.xml

/phpunit

in directory diverse da /phpunit/ solitamente in directory denominate con il nome del programmatore o /test/

sono sintomo di vulnerabilità?

Si possono cancellare senza problemi?

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Goodmorning everyone,

following the reporting of the vulnerabilities in question, I carried out a search on a site with prestashop v. 1.6.1.7.

with this search I found the following files in the directories of various modules:


/phpunit.xml

/phpunit.no_autoload.xml

/ phpunit

in directories other than / phpunit / usually in directories named by the programmer's name or / test /

are they a symptom of vulnerability?

Can they be canceled without problems?

 

 

Nessuno ha una risposta al quesito?

Share this post


Link to post
Share on other sites

Cerca il file eval-stdin.php che è il vero problema.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More