Sicherheitslücke entdeckt in allen Presta 1.4.x bis 1.4.4.0 Versionen

[guest*]

Wie bereits durch Prestashop heute an allen Usern mitgeteilt, wurde die Seite von prestashop.com gehackt und es wurde ein Trojaner eingeschleust.

 

Es werden daher alle User angehalten, die folgende Prestaversionen nutzen:

 

1.4/1.4.1/1.4.2/1.4.3/1.4.4

 

den in der Mail genannten Fix, um die Sicherheitslücke zu schliessen, durchzuführen.

 

Was muss ich machen ?

 

1) Das Password der Datenbank ändern. Wenn das nicht selbst geändert werden kann, dann den Provider kontaktieren. Nachdem das Password geändert wurde dies auch in der Datei /config/settings.inc.php gegen das neue austauschen.

2) folgenden Fix DOWNLOADEN.

3) Die Datei entpacken und mittels FTP auf den Server in den root des Prestashops laden.

4) Im browser die Datei wie folgt aufrufen: www.meinshop/herfix.php

5) Nachdem der Fix durchgelaufen ist kommt im Browser eine Bestätigungsseite mit OK.

6) Den Ordner /admin auf dem Server umbenennen.

7) Alle Passwörter für Mitarbeiter mit Adminrechte ändern.

 

Wie erkenne ich, dass mein Shop bereits den Trojaner enthält. Pauschal kann man sagen, dass alle Shops wo plötzlich JS wie Warenkorb, Kategoriebaum, Slideshows nicht mehr funktionieren oder ein komisches Verhalten zeigen, sowie auch Footers mit komischen Bildern, Zeichen oder Links, sind bereits infiziert.

 

Eine genaue Analyse am Server zeigt folgende Merkmale:

 

1) Eine her.php Datei wurde im root des Ordners /modules angelegt

2) Eine andere Datei, als index.php ist im Ornder /uploads angelegt worden

3) Die Datei footer.tpl wurde geändert

4) Der Ordner /tools/smartyv2 fehlt

 

Wie wurde ich infiziert ?

 

Prestashop enthält auf der Home/Startseite des Back Office eine Funktion die jeden Prestashop anpingt und die Version des Shops checkt, um dann evtl. Upgrades anzuzeigen. Diese Funktion wurde gehackt und infiziert dann weitere Systeme, sobald die Seite aufgerufen wird.

 

Es sind alle unter Apache laufende Systeme betroffen. Mein Windows IIS wurde, z.B. nicht infiziert. Kann aber auch an den verschiedenen Firewalls liegen. Der Exploit sucht sich primär eine .htaccess und schreibt diese um. Ein IIS besitzt keine .htaccess, so dass auch das eine Möglichkeit ist, warum dieses System nicht infiziert wurde.