W dniu wczorajszym (7.01.2020) dostaliśmy informację z Paryża o pojawieniu się potencjalnego zagrożenia dla sklepów PrestaShop. Złośliwe oprogramowanie nazywa się XsamXadoo Bot i może być wykorzystane do przejęcia kontroli nad sklepem.
Informujemy, że wszyscy nasi klienci są obecnie powiadamiani o problemie i są podejmowane stosowne działania naprawcze. W celu samodzielnego sprawdzenia i naprawienia problemu, zalecane są poniższe działania. Uwaga: wszystkie opisane poniżej akcje wykonujesz na własną odpowiedzialność. Jeśli masz jakiekolwiek wątpliwości, to lepiej zgłoś się o pomoc specjalisty.
Bot XsamXadoo wgrywa niechciane pliki w dwóch lokalizacjach:
-/vendor
-/modules/<jakiś_moduł>/vendor
Pierwszą (szybszą) metodą usunięcia plików jest wykonanie poniższej komendy w katalogu sklepu (bash):
find . -type d -name "phpunit" -exec rm -rf {} \;
Komenda wyszukuje katalogi z nazwą 'phpunit' oraz usuwa je wraz z zawartością z serwera.
Alternatywnym i prostszym rozwiązaniem jest ręczne sprawdzenie ww. katalogów. W tym celu należy zalogować się przez klienta ftp, a następnie trzeba przeglądnąć ww katalogi (należy przejrzeć każdy katalog modułu oddzielnie).
Jeśli w katalogach 'vendor' znajdują się podkatalogi 'phpunit' to należy je usunąć.
Uwaga, w sieci pojawiają się moduły wykonujące ww czynności automatycznie. Można z nich korzystać, ale i tak warto sprawdzić ww. katalogi przez klienta ftp / basha.
Należy również zaktualizować moduły do najnowszej wersji.
Jeśli masz podejrzenia, że Twój sklep PrestaShop padł ofiarą ataku, to wstępnej diagnozy można dokonać w panelu administracyjnym sklepu w lokalizacji: Zaawansowane → Informacja → Lista zmienionych plików (na dole ekranu). Niestety nie ma stuprocentowej pewności, że lista jest kompletna. Dlatego, w przypadku wątpliwości należy dokładnie przepatrzeć katalogi sklepu, oraz podejrzany kod.
Jeśli pojawią się nowe, ważna informacje, to będziemy o tym informować. Więcej informacji w języku angielskim znajdziesz: tutaj.