Prestashop ramt af malware / hackere / virus

Igår den 23 august er et stort antal prestashop’s rundt om i verden blevet ramt af malware / hacker / virus, hvad der ligger bag er stadigvæk ret uklart. Lad os bare kalde dem hackere for nemhedensskyld, og de har jo sådan set også formået at hacke sig ind i diverse shops rundt omkring.

Når de har adgang til shoppen så placere de en fil i modules mappen der hedder her.php filen sletter en masse mapper i shoppen og placere nogen andre filer i shoppen, samtidigt så sender den en email, til dem der har lavet filen formoder jeg, med en masse informationer omkring butikken.

Fx. tager den bruger data til databasen og til login til backoffice. Yderligere så ændre den i themet footer.tpl, hvor der bliver lagt en javascript som er noget phising eller malware noget – mit antivirus program gav udslag med det samme.

Hvordan ved man så om man er ramt?
Angrebet ligger filer følgende steder:
/download/langtsærtnavn.php
/upload/langtsærtnavn.php
/modules/her.php (som sletter sig selv igen)

Yderligere så ligger den et script i footer.tpl.

Så sletter det følgende mapper:
/tools/smarty/compile/ 
/tools/smarty/cache/  
/tools/smarty_v2/  
/tools/smarty_v2/

Det rammer indtil videre kun prestashop version 1.4.x og den officielle udmelding fra prestashop er at de har stoppet spredningen af det, som skete ved login i BO, hvor min egen teori er at det kommer fra de ting der hentes fra prestashop.com, så det altså er selv prestashop der har stået for at få spredt denne virus.

Indtil videre så afventer jeg dog en officielle udmelding på hvordan det har spredt sig, og jeg må sige at jeg var noget version igår da jeg fik en henvendelse fra www.santoku.dk som var blevet ramt af virusen / hackerne.

Her er prestashop officielle udmelding: http://www.prestashop.com/blog/article/please_read_security_procedure/ og fix / patch.

4 tanker om “Prestashop ramt af malware / hackere / virus”

    1. Hej Linda.

      Tak for linket, jeg har netop gået og spekuleret på at jeg skulle have opdateret artiklen så den indholder de seneste fakta i sagen, men nu knytter jeg blot en kommentar til det her. Prestashop.com har efter min mening været imponerende hurtigte til at lave et fix og få lukket kilden, som var det nyhedsfeed der i Back office når man logger ind der. Jeg har fjernet dit link i denne her omgang af hensyn google, de ser ikke så pænt på at man linker til “bad standing” sider, og da du har haft malware på siden så er der en chance for at det kan give lidt ballade. Jeg kunne iøvrigt fint besøge den, men ellers ville jeg da prøve og finde en email adresse man kunne skrive til og forklare dem der har sparet jeres siden at problemet er løst.

      Og dit link giver iøvrigt mulighed for at download en lille php fil som løser problemer når man kører den på serveren. Kan du siger noget om hvor vidt det er gået smerte frit?

      Tim

  1. Hejsa,
    Jeg må sige at jeg var imponeret over at prestashop.com var så hurtige.

    Jeg opdage gudskelov selv fejlen med det samme, hvorefter jeg fik slettet ALLE filer, og lave min 10 timer gamle backup på siden og fik iøvrigt opdateret til nyeste 1.4 version.

    Jeg opdage faktisk kun felen ved at jeg gik ind i BO, og pludselig da jeg reloadede siden, var den blank….

    /Kristian

Skriv et svar