Press "Enter" to skip to content

Usunięcie podatności na włamanie do sklepu PrestaShop 1.6 poprzez moduł jmsslider

Admin 0

Artykuł dotyczy przede wszystkim modułu jmsslider do wersji Prestashop 1.6. Chociaż łaty na moduł jmsslider do PrestaShop 1.7 też autor dodatku udostępnia.

Jeśli posiadasz szablon sklepu internetowego kupiony od popularnego dość autora joommasters.com możesz posiadać dostarczony z nim moduł jmsslider. Czyli po prostu slider zdjęć na stronę główną. Niestety moduł w wersji jmsslider-1.6.0 posiada  niebezpieczną lukę bezpieczeństwa. Jest źle napisany i pozwala na niekontrolowany upload praktycznie każdego pliku do sklepu internetowego. Np. pliku PHP, który przejmuje kontrolę nad serwerem (tzw. exploit).

Należy tutaj podkreślić, że nie jest to dziura samego sklepu internetowego PrestaShop. Skrypt jest przemyślanie napisany i w trakcie naszej wieloletniej praktyki na tym oprogramowaniu praktycznie nie spotkaliśmy się z podatnościami na włam jak np. w przypadku innych darmowych CMS. Tutaj „dziurę” stanowi źle napisany dodatek do skryptu (moduł)

Piszę to na podstawie własnych doświadczeń naszego zespołu. Istotnie w przypadku paru sklepów internetowych, które obsługujemy obserwowalismy wykorzystanie tego dodatku przez hakerów. Były tam wgrywane złośliwe pliki PHP, nastepnie taki serwer był wykorzystywany do masowej wysyłki SPAM.

Przeważnie w folderze:

modules/jmsslider/views/img/layers

Pojawiały się złośliwe pliki PHP, które infekowały cały serwer.

Na szczęście wydawca dostarczył łatę: https://www.joommasters.com/index.php/blog/tutorials-and-case-studies/how-to-fix-security-bug-of-slider-security-breach-of-theme.html

Jak widać pod spodem wpisu autora są gotowe pliki naprawiające działanie modułu.

Jeśli strona jest już niedostępna przygotowaliśmy mirror z tej strony ze spakowanymi wszystkimi plikami: https://www.dropbox.com/s/yb1g5730dkwthwo/jmsslider_laty.zip?dl=1 [MD5sum: 7e45a536f77c8c241bbcdb1263833f1e]

Jeśli posiadasz moduł jmsslider w swoim sklepie internetowym koniecznie sprawdź jego kod pod kątem takich zagrożeń. Czyli porównaj kod źródłowy z łaty z tymi co są na Twoim serwerze.

Uwaga mogą być konieczne dodatkowe prace sprawdzające zagrożenia na Twoim sklepie. Skorzystaj z naszej oferty:

 

 

 

grafika: wallpaperaccess.com

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Zobacz także !
Błąd Prestashop przy logowaniu: "CData section non finished" jak sobie…