Модули для PrestaShop - 2 часть

duke1999 · 24 Авг 2014

Butch написал(а):
На Хабре есть прекрасная статья про уязвимости модулей и шаблонов, в том числе платных. Там есть описание и примеры наиболее популярных сигнатур шеллов.

это не вирус - отсылает информацию о регистрации на сайт
if( !function_exists("curl_init") &&
!function_exists("curl_setopt") &&
!function_exists("curl_exec") &&
!function_exists("curl_close") )
$this->_errors[] = $this->l('CURL functions not available for registration module.', $this->name_file);
else{
$email = Tools::getValue('email');
$seller = Tools::getValue('seller');
$number_order = Tools::getValue('number_order');

if (!empty($email) && !empty($seller) && !empty($number_order)){
$response = $this->registerModule($email, $seller, $number_order); //Position 0: Code, Position 1: Type Message (error, conf), Position 2: Message

if (sizeof($response)){
if ($response[1] == 'error'){
$this->_errors[] = $response[2];
}elseif ($response[1] == 'conf'){
Configuration::updateValue('OPC_DOMAIN', str_ireplace("www.", "", strtolower($_SERVER['SERVER_NAME'])));

$this->_html .= $this->displayConfirmation($response[2]);
}
}
}
}

if( !function_exists("curl_init") &&
!function_exists("curl_setopt") &&
!function_exists("curl_exec") &&
!function_exists("curl_close") )
$this->_errors[] = $this->l('CURL functions not available to validate your module.', $this->name_file);
else{
$license_number = Tools::getValue('license_number');

if (!empty($license_number)){
$response = $this->validateLicenseModule($license_number); //Position 0: Code, Position 1: Type Message (error, conf), Position 2: Message

if (sizeof($response)){
if ($response[0] == '6'){
Configuration::updateValue('OPC_RM', '1');

$this->configVars = $this->getConfigMultiple();
$this->configVars['OPC_RM'] = Configuration::get('OPC_RM');
}

if ($response[1] == 'error'){
$this->_errors[] = $response[2];
}elseif ($response[1] == 'conf'){
$this->_html .= $this->displayConfirmation($response[2]);
}
}
}
}

27NataRUS · 24 Авг 2014

Butch написал(а):
На Хабре есть прекрасная статья про уязвимости модулей и шаблонов, в том числе платных. Там есть описание и примеры наиболее популярных сигнатур шеллов.

То, что уязвимости есть, я в курсе. А чем именно опасен php.siggen.19?
Нашла ещё такой файл C:\Users\Natalia\Desktop\onepagecheckoutps\js\lib\script.base64.js

27NataRUS · 24 Авг 2014

duke1999 написал(а):
это не вирус - отсылает информацию о регистрации на сайт
if( !function_exists("curl_init") &&
!function_exists("curl_setopt") &&
!function_exists("curl_exec") &&
!function_exists("curl_close") )
$this->_errors[] = $this->l('CURL functions not available for registration module.', $this->name_file);
else{
$email = Tools::getValue('email');
$seller = Tools::getValue('seller');
$number_order = Tools::getValue('number_order');

if (!empty($email) && !empty($seller) && !empty($number_order)){
$response = $this->registerModule($email, $seller, $number_order); //Position 0: Code, Position 1: Type Message (error, conf), Position 2: Message

if (sizeof($response)){
if ($response[1] == 'error'){
$this->_errors[] = $response[2];
}elseif ($response[1] == 'conf'){
Configuration::updateValue('OPC_DOMAIN', str_ireplace("www.", "", strtolower($_SERVER['SERVER_NAME'])));

$this->_html .= $this->displayConfirmation($response[2]);
}
}
}
}

if( !function_exists("curl_init") &&
!function_exists("curl_setopt") &&
!function_exists("curl_exec") &&
!function_exists("curl_close") )
$this->_errors[] = $this->l('CURL functions not available to validate your module.', $this->name_file);
else{
$license_number = Tools::getValue('license_number');

if (!empty($license_number)){
$response = $this->validateLicenseModule($license_number); //Position 0: Code, Position 1: Type Message (error, conf), Position 2: Message

if (sizeof($response)){
if ($response[0] == '6'){
Configuration::updateValue('OPC_RM', '1');

$this->configVars = $this->getConfigMultiple();
$this->configVars['OPC_RM'] = Configuration::get('OPC_RM');
}

if ($response[1] == 'error'){
$this->_errors[] = $response[2];
}elseif ($response[1] == 'conf'){
$this->_html .= $this->displayConfirmation($response[2]);
}
}
}
}

АВ распознал как вирус... И куда, стесняюсь спросить, он отправляет данные о зарегистрировавшихся пользователях?

Butch · 24 Авг 2014

27NataRUS написал(а):
То, что уязвимости есть, я в курсе. А чем именно опасен php.siggen.19?
Нашла ещё такой файл C:\Users\Natalia\Desktop\onepagecheckoutps\js\lib\script.base64.js

В шаблонах часто можно встретить и статические ссылки на чужие сайты. Но они будут также изначально закодированы с помощью base64 или функции str_rot13.

Я бы отказался от этого модуля. Почитайте приведенную мной статью.

Kosstas · 24 Авг 2014

Butch написал(а):
Я бы отказался от этого модуля. Почитайте приведенную мной статью.

То есть вы, заходя на инфицированный сайт подвергаетесь атаки, эксплуатируется уязвимость и на ваш компьютер попадает вирус JS.Siggen.192. Затем этот вирус посредством FTP данных (логин, пароль, адрес сервера)- которые сохранены в вашем FTP клиенте (если не сохранены, то хорошо) загружает своё тело вируса на ваш сайт. А именно вирус JS.Siggen.192 инфицирует JS файлы. Какая наблюдается активность? Да собственно никакой. Простой полиморфный вирус, но это на первый взгляд..почему то я догадываюсь что он ещё что-то делает. Так же вирус может инфицировать JS файлы на вашем веб-сервере посредством вашей открытой админ-панели, поэтому настоятельно рекомендую сразу же завершить сессию, как обнаружили этот вирус.
Не экономте на платёжных модулях - Не подвергайте своих клиентов и себя опасности. 30% обсуждений здесь об One page checkout - Хотя в 1,6 это уже стандартная опция - Забудьте про это глючное шайсэ

27NataRUS · 24 Авг 2014

Butch написал(а):
Я бы отказался от этого модуля. Почитайте приведенную мной статью.

Прочитала, конечно. Ничего нового для себя не открыла.
Не открывала этот архив до сегодняшнего дня, не использовала на сайтах. Но все же решила сюда предупредить, вдруг кто-то пользуется, а он данные пользователей налево сливает. Мало ли...

Butch · 24 Авг 2014

Kosstas написал(а):
30% обсуждений здесь об One page checkout - Хотя в 1,6 это уже стандартная опция - Забудьте про это глючное шайсэ

Один лишь вопрос: что вы имеете ввиду? Процедура заказа по сравнению с 1.5 не поменялась ведь...

27NataRUS · 24 Авг 2014

Не JS.Siggen.192, а PHP.Siggen.19. По нему только такое описание нашла:

PHP.Siggen.19
Новый вирус в нашей базе данных.

Имя файла: vt-upload-AEn8u.php
SHA256: 4c6183e858aad39f8d5619e881b6c606d6c445142a10705e6ecb1e549706b554
AntiVir: HTML/Obfusc.K
Avast: VBS:Malware-gen
Comodo: UnclassifiedMalware
DrWeb: PHP.Siggen.19
ESET-NOD32: PHP/Obfuscated.F
GData: Script.Trojan.Agent.HFP76O
Ikarus: VBS.Malware
Sophos: Troj/PHPDoor-G
TrendMicro-HouseCall: TROJ_GEN.F47V0209

Kosstas · 24 Авг 2014

Butch написал(а):
Один лишь вопрос: что вы имеете ввиду? Процедура заказа по сравнению с 1.5 не поменялась ведь...

В 1.5 я ещё пользовал 5-степ, Сейчас в 1,6 включил выход на одной странице, но принуждаю клиента регистрироватся и искать существенные скидки на сайте, увеличился бродёжь, люди стремятся провести больше времени на сайте в поисках халявных добавок.

Kosstas · 24 Авг 2014

27NataRUS написал(а):
Не JS.Siggen.192, а PHP.Siggen.19. По нему только такое описание нашла:

PHP.Siggen.19
Новый вирус в нашей базе данных.

Имя файла: vt-upload-AEn8u.php

SHA256: 4c6183e858aad39f8d5619e881b6c606d6c445142a10705e6ecb1e549706b554

AntiVir: HTML/Obfusc.K

Avast: VBS:Malware-gen

Comodo: UnclassifiedMalware

DrWeb: PHP.Siggen.19

ESET-NOD32: PHP/Obfuscated.F

GData: Script.Trojan.Agent.HFP76O

Ikarus: VBS.Malware

Sophos: Troj/PHPDoor-G

TrendMicro-HouseCall: TROJ_GEN.F47V0209

Free Website Malware and Security Scanner
Для просмотра ссылки Войди или Зарегистрируйся

Модули для PrestaShop - 2 часть

duke1999

Постоялец

27NataRUS

Гуру форума

Вложения

27NataRUS

Гуру форума

Butch

Полезный

Kosstas

Хранитель порядка

27NataRUS

Гуру форума

Butch

Полезный

27NataRUS

Гуру форума

Kosstas

Хранитель порядка

Kosstas

Хранитель порядка