Les attaquants utilisent une vulnérabilité dans une dépendance populaire utilisée par les modules pour prendre le contrôle des sites PrestaShop. Pour plus de détails, veuillez lire l'intégralité de l'article.
L'équipe Prestashop nous a informé que des attaquants exploitent actuellement une vulnérabilité dans PHPUnit pour exécuter du code arbitraire sur des serveurs exécutant des sites Web Prestashop. Le problème est résolu dans la dernière version de PHPUnit 7.5.19 et 8.5.1. En revanche, toutes les versions précédentes sont vulnérables. Ce qui veut dire aussi que certains modules non mis à jour peuvent compromettre toute votre activité et vos données. (vol de données).
Connectez-vous à votre boutique via un accès FTP ou shell, et regardez le répertoire «vendor» dans le dossier principal de prestashop et à l'intérieur de chacun de vos modules:
S'il y a un répertoire appelé "phpunit" à l'intérieur des répertoires susmentionnés, votre boutique peut être vulnérable.
commande sous linux : "find ./"votre dossier web"/ -name "phpunit"
vous aurez ainsi tous les répertoires concernés et vous pourrez les traiter via la commande :
find . -type d -name "phpunit" -exec rm -rf {} \;
Cette commande nécessite les droits d'utilisateur appropriés.
Vous pouvez également supprimer manuellement les dossiers «phpunit» via FTP.
Sachez que même si vous effectuez ce nettoyage, votre boutique peut déjà avoir été compromise.
Selon notre analyse, la plupart des attaquants placent de nouveaux fichiers dans le système de fichiers ou modifient des fichiers existants, comme AdminLoginController.php.
Voici une liste non exhaustive des fichiers malveillants connus qui peuvent indiquer une boutique compromise:
fichier : XsamXadoo_Bot.php
fichier : XsamXadoo_deface.php
fichier : 0x666.php
fichier : f.php
Vous pouvez vérifier si les fichiers Core PrestaShop ont été modifiés en consultant la section "Liste des fichiers modifiés" au bas de la page "Paramètres avancés> Informations" de votre Back Office. Cependant, cette vérification peut ne pas être suffisante car votre site peut avoir été compromis autrement.
Si votre boutique a été compromise ou si vous pensez qu'elle a été compromise:
Si vous pensez que votre site a été piraté, contactez -nous !
Certains modules sont impactés:
Nous avons publié des versions mises à jour pour ces modules qui suppriment complètement la bibliothèque associée de leurs propres dépendances:
Sachez que si vous avez installé dans le passé une version impactée de ces modules, les fichiers PHPUnit peuvent toujours être présents sur votre serveur. Seules ces versions nouvellement publiées s'assurent que PHPUnit n'est plus présent dans leur propre répertoire de fournisseurs.
Les modules et les thèmes d'autres fournisseurs peuvent également être vulnérables. Attendez-vous à des mises à jour à suivre bientôt.
Si vous pensez que votre site a été piraté, contactez -nous !