Jump to content
  • 0
eleazar 

[ACHTUNG] Sicherheitswarnung: Akute Gefahr durch Shellscript IndoXploit

Question

User sandy30j machte heute morgen darauf aufmerksam, dass sein PrestaShop 1.6.1.4 gehackt worden ist. Verantwortlich dafür ist ein Exploit-Skript einer Hackergruppe aus Indonesien, das in der Lage ist, die volle Kontrolle über den Server zu übernehmen. Betroffen ist hier nicht nur PrestaShop, sondern auch eine Reihe anderen Shopsysteme, außerdem Wordpress und eine beliebte Forensoftware:

  • PrestaShop
  • Drupal
  • Magento
  • Joomla
  • OpenCart
  • phpBB
  • und natürlich mal wieder: WordPress
Da für dieses Skript aktuell ausführliche Gebrauchsanleitungen im Internet kursieren, solltet ihr beobachten, ob in nächster Zeit ungewöhnlich viel Traffic auf Eurem Webspace ist.

 

Bekannt ist mittlerweile, dass das Skript über Sicherheitslücken bestimmter Templates eingeschleust werden kann. Betroffen ist z.B. das beliebte Responsive Theme Warehouse 3.1. Aber auch diejenigen, die auf dem gleichen Server einen Wordpress-Blog hosten, sollten vorsichtig sein.

 

Vermutlich ist es das gleiche Skript, das außerdem bestimmte von Themeforest vertriebene Module befällt. Dazu zählen:

simpleslideshow

columnadverts

homepageadvertise

productpageadverts

 

Diese sollten umgehend entfernt werden. Bloßes Deaktivieren reicht nicht aus. Wer sie unbedingt braucht, sollte sicherheitshalber folgendes Skript unter <irgendeinName>.php abspeichern, in sein Root-Verzeichnis hochladen und einmal aufrufen:

echo "php_flag engine Off" > www/modules/homepageadvertise/slides/.htaccess
echo "php_flag engine Off" > www/modules/homepageadvertise/thumbs/.htaccess

echo "php_flag engine Off" > www/modules/simpleslideshow/slides/.htaccess
echo "php_flag engine Off" > www/modules/simpleslideshow/thumbs/.htaccess
echo "php_flag engine Off" > www/modules/simpleslideshow/images/.htaccess

echo "php_flag engine Off" > www/modules/columnadverts/slides/.htaccess
echo "php_flag engine Off" > www/modules/columnadverts/thumbs/.htaccess

echo "php_flag engine Off" > www/modules/productpageadverts/slides/.htaccess
echo "php_flag engine Off" > www/modules/productpageadverts/thumbs/.htaccess
Bei Infektion des Servers müssen alle Verzeichnisse durchforstet werden, die beschreibbar sind. Ausschau halten nach unbekannten Dateien, die sich irgendwo in beschreibbaren Verzeichnissen befinden können und Namen tragen können wie z.B.

 

pler.php

is.php

m.php

22.php

x.htm

kentu.html

50.php

pocong.html

t.php

dya.php

z.php

 

Im Prinzip können aber auch vorhandene Modul- oder Template-Dateien, selbst die index.php beliebiger Verzeichnisse infiziert sein. Es ist also wirklich ernst!

 

Für Warehouse gibt es seit etwa einer Woche einen Security Fix: https://www.prestashop.com/forums/topic/332759-warehouse-31-responsive-bootstrap-based-prestashop-16-theme/page-3?do=findComment&comment=2350654, siehe dazu auch: http://themeforest.net/item/warehouse-responsive-prestashop-16-theme-blog/3178575

Ob der Patch ausreicht, ist umstritten.

 

Unsichere Module

Aus der Community kamen darüber hinaus Warnungen zu folgenden Modulen, von denen einige inzwischen wohl gefixt sind ( s. dazu Link unten):

 

Advancedslider

Attributewizardpro

Columnadverts

Homepageadvertise

Homepageadvertise2

Productpageadverts

Videostab

VTEM slidesshow

Abandoned Cart Reminder Pro module (mittlerweile von Addons bis auf weiteres entfernt)

 

Einen Security Patch von PrestaShop gibt es aktuell noch nicht, aber die Verantwortlichen wurden informiert und kümmern sich darum.

 

Diejenigen, die noch den Original-Topic von sandy30j gelesen haben, sollten sich nicht wundern. Sandy30j hatte es leider zu gut gemeint und gleich das komplette Skript gepostet. Da es Moderatoren aus technischen Gründen derzeit nicht möglich ist, den ersten Post eines Topics zu ändern oder gar zu löschen, musste daher der ganze Topic verschwinden. Ganz wichtig aber in diesem Zusammenhang: Der Hinweis der Moderatorin selectshop.at im gelöschten Topic, das Exploit-Skript würde nur WORDPRESS-Seiten befallen, ist definitiv falsch und sollte nicht beachtet werden.

 

Weitere Informationen jetzt auch im englischen Forum: https://www.prestashop.com/forums/topic/544579-major-security-issues-with-few-modules-and-themes/

Edited by eleazar 
Informationen ergänzt

Share this post


Link to post
Share on other sites

1 answer to this question

Recommended Posts

  • 0

Der Password-Patch von Github alleine hat nicht gereicht.

Mit .htaccess und dem Warehouse-Patch ist jetzt seit 3 Tagen Ruhe.

 

Das Bereinigen ist aber ohne Backup wirklich mühsam da der Exploit in Folge auch htaccess und phps ersetzt bzw infiziert

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More