Napadnutie Prestashopu malwarom XsamXadoo

Prestashop začal všetkým zaregistrovaným užívateľom rozposielať email o možnej zraniteľnosti  Vášho obchodu.

Čo sa vlastne stalo?

2.januára sa objavil škodlivý softvér s názvom XsamXadoo Bot. Tento malware sa dá použiť na prístup do internetového obchodu a jeho kontrolu. Robot by mal používal známu zraniteľnosť nástroja PHPUnit, ktorý bol označený ako CVE-2017-9841. Toto nie je ale chyba nejakého zlého naprogramovania Prestashopu. Je to časť bežnej architektúry systému využívanej pri tvorbe webstránok a eshopov. Robot dokáže využiť túto zraniteľnosť a ovládnuť váš eshop a ukradnúť napr. osobné údaje.

 

Ako zistiť či je váš eshop zraniteľný na tento malware?

Ak chcete vedieť, či je váš obchod náchylný na útok tohto malweru, potrebujete sa pozrieť na adresáre a súbory na vašom FTP. Ak máte problémy so správou súborov na serveri, obráťte sa na prosím na nás, alebo na akéhokoľvek programátora, či kolegu, ktorý vie aspoň čo je to FTP.

Postup ako na XsamXadoo:

  1. Na serveri sa pozrite do priečinka „Vendor“ v koreňovej úrovni svojej webovej stránky / eshopu.
  2. Ak priečinok „Vendor“ obsahuje priečinok „phpunit“, môžete byť zraniteľní voči vonkajšiemu útočníkovi.
  3. Priečinok môžete jednoducho odstrániť priečinok „phpunit“ a jeho obsah. Odporúčam si tento priečinom pre istou zálohovať do PC, ale jeho vymazaním by ste nemali funkčnosť eshopu nijako poškodiť.
  4. Po skontrolovaní hlavnej zložky eshopu zopakujte rovnaké kroky, ale v každej zložke modulu. V každom priečinku modulu skontrolujte, či existuje priečinok Vendor. Vo vnútri priečinka Vendor každého modulu skontrolujte, či existuje priečinok s názvom „phpunit“.
  5. Môžete priečinok „phpunit“ jednoducho zmazať, ale ako je napísané v bode 3 odporúčam pre istotu zálohovať tento priečinok.

Tento jednoduchý krok ochráni váš internetový obchod pred touto chybou zabezpečenia, nezabudnite však, že váš web už mohol byť napadnutý.

A teda: 

  • Ak ste nenašli žiadny priečinok phpunit, váš obchod nie je zraniteľný voči tomuto malwaru.
  • Ak ste našli niekde adresár „phpunit“ váš eshop mohol ale nemusel byť napadnutý. Ideálne je po vymazaní priečinku/priečinkov skontrolovať  eshop cez nejaký antivírový program prostredníctvom webového providera.
  • Ak sa domnievate, že váš web už bol napadnutý, dôrazne vám odporúčame obrátiť sa vášho webmastra a riešiť možnú hrozbu čím skôr.

S touto informáciou prišiel hlavne Prestashop  7.1.2020. Prestashop prechádza všetky svoje moduly a aj moduly ponúkané cez addons. Vydávajú sa aktualizácie, aby sa tento zraniteľný priečinok v systéme nikde nenachádzal.

Čiže pre bezpečie vašich eshopov si prosím skontrolujte adresáre Vášho  eshopu alebo poproste problematiky znalejšie osoby, aby tak spravili.