Информация Уязвимость шаблона Warehouse для Presta

[hitbaby]

нашел в корне сайта файл id.htm с таким содержимым, качаю айболита посмотрим

<html><head>
...
</script>
</body></html>

Это просто html страница - визитка хакера UnknownYmouz с Indonesian Code Party. С доброжелательной фразой: Kindly Patch Your System Immediately !!!
(Просьба исправить Вашу систему Немедленно!!!). Файл в архиве - открываем в браузере и смотрим или на скрине.
Искать надо php файлы.

 

[hitbaby]

да
меня уже успели трусануть - шелл вроде выловил - наблюдаем...


в первую очередь сайты с варехаузом европейские поплыли у многих

спам не-подетски с сайта начали слать - причём фишинговый с PayPal связанный - не... я уже с Интерполом разговаривал.. хватит...




UPD:

аффтар темы мамой клянётся, что в 3.7.9 уже всё что нужно пофиксено
Для просмотра ссылки Войди или Зарегистрируйся

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[hitbaby]

Всем кто использовал security hotfix без предварительной проверки модулей - проверьте папки уязвимых модулей еще раз на наличие
сторонних php файлов с похожими названиями, сравните содержимое с исходниками. Обнаружил случаи переименования файлов.

 

[sergp]

да - в папку slides закачали заразу
значит в любом случае "индус" тут был - нужно смотреть внимательнее
Посмотреть вложение 73938

Удалил эти файлы. Запущу ещё раз весь сайт на проверку.
Подскажите, а базу данных как проверить? Там ведь тоже может "индус" что-нибудь подсунуть или нет?
И ещё все остальные файлы на сервере тоже нужно проверять или только в папке сайта?

 

[_sashok]

Удалил эти файлы. Запущу ещё раз весь сайт на проверку.
Подскажите, а базу данных как проверить? Там ведь тоже может "индус" что-нибудь подсунуть или нет?
И ещё все остальные файлы на сервере тоже нужно проверять или только в папке сайта?

имея доступ можно всё что угодно - в силу своей распущенности и совести
пароль к базе данных также известен легко стал

так как никто ничего не гарантирует, разработчик "советовал" с бекапа восстанавливать чистую версию...

в итоге нужно каждый конкретный случай копать/разбираться, возможно поможет сравнение пофайлово/потаблично с заведомо чистой системой...

 

[marvinz]

проверка на зараженность (простая) зайти на сайт в папки

modules/simpleslideshow/slides
modules/homepageadvertise/slides
modules/homepageadvertis2/slides
modules/productpageadverts/slides
modules/columnadverts/slides

Если кроме картинок или index.php есть другие ПХП-файлы - вы заражены.

 

[Jame]

проверка на зараженность (простая) зайти на сайт в папки

В этих папках у меня порядок, но

Спойлер: Скрин отчета

Не заглядывал на форум пару недель и все было хорошо, а тут ... эх пойду разгребать.

Буду благодарен если кто то посмотрит мой Для просмотра ссылки Войди или Зарегистрируйся и подскажет если там ложные срабатывания. Как по мне так все 3 найденные вредоносные коды вполне безобидны точно так же как и ложное указание на фишинговую страницу.

bridge_QyGqzluA.php:

Это файл store_manager.

 

[_sashok]

В этих папках у меня порядок, но

Спойлер: Скрин отчета

Посмотреть вложение 74034

Не заглядывал на форум пару недель и все было хорошо, а тут ... эх пойду разгребать.

Буду благодарен если кто то посмотрит мой Для просмотра ссылки Войди или Зарегистрируйся и подскажет если там ложные срабатывания. Как по мне так все 3 найденные вредоносные коды вполне безобидны точно так же как и ложное указание на фишинговую страницу.

да - всё норм

только с єтим файлов моста bridge_QyGqzluA.php:
если єто не вы ставили - то лучше нужно разобраться

 

[Pirate]

Влетел и я под этот замес ) Но по логам думал, что угнали пароль от фтп. А тут вон оно что ))) Хотя sinpleslideshow по логам вызвал подозрение и был аннигилирован.

 

[_sashok]

Влетел и я под этот замес ) Но по логам думал, что угнали пароль от фтп. А тут вон оно что ))) Хотя sinpleslideshow по логам вызвал подозрение и был аннигилирован.

там семь модулей дырявых как оказалось