ВНИМАНИЕ: пару недель как как возникают проблемы безопасности с взломом сайта на Prestashop. Залит был шелл и спамер. Выловить смог, но пока обнаружил натворил много бед. Оказалось что я не один и хочу предупредить всех об этом. Проблема касается всех у кого установлена тема Warehouse, она очень популярна. Проблемные модули в теме: Simpleslideshow, Columnadverts, Homepageadvertise, Productpageadverts. Немедленно обновите тему, автор выпустил 3,8 версию и говорит там все нормально. Так же проблема касается модулей: Advancedslider, Attributewizardpro, Columnadverts, Homepageadvertise, Homepageadvertise2, Productpageadverts, Videostab, vtermslidesshow. Лечение пока не смог найти, так что если установлен какой либо из перечисленных отключите быстрее и проверьте сайт Айболитом (положить файлы сайта в подпапку программы Site, запустить start.bat и после отработки скрипта посмотреть файл с отчетом в браузере AI-BOLIT-REPORT.html)
Про другие модули ничего не могу сказать, про vtermslidesshow могу посоветовать, после того как закачали картинки сразу меняем права на папку slides и ставим 555, шелл заливается именно там. После этого и сами не сможете картинки менять или удалять но смена прав минутное дело. Если обнаружили что то подозрительное, обязательно меняйте пароли для всего, хостинг, админка, БД, почта..... Надеюсь не опоздал с предупреждением. Всем удачи.

Попрошу Админа вывести тему в более удобное место так как уязвимость касается всех версии Prestashop 1.4-1.5- 1,6

уязвимость в Attributewizardpro лечится просто.

в файле file_upload.php

после строки



добавляем

если уязвимость с файлом file_upload.php решается проверкой, авторизован ли сотрудник, то сделать проверку можно намного проще:

а из приведенного списка модулей есть бесплатные? их можно выложить сюда, чтобы можно было посмотреть в них?

каждый раз менять права папки, чтобы изменить слайды?

проблема решается, созданием файла .htaccess (с точкой) в директории со слайдами, а внутри файла нужно прописать команды для веб-сервера apache, чтобы он не обрабатывал исполняемые файлы. т.е. примерно так:



запуск вредоносного скрипта по url приведет к отображению его содержимого, как обычного текста, т.е. обработки скрипта не будет.

Я не пользуюсь не одним из перечисленных модулей так же как и темой Warehouse кроме модуля vtermslidesshow. Я предложил свой вариант по нему и совсем не обязательно сделать так же. Так как это слайдер,картинки не так часто надо менять. Интересно на сколько часто Вы меняете картинки в слайдере что возникла такое удивление?

ваш вариант не плох, как временное решение.

Дело в том что upload.php разрешает загрузку любого файла с любым разрешением, не только php. Жаль не сохранил копию зараженного сайта. По памяти там файлы были izo или uzo или azo, так что .htaccess тоже не выход по моему. Поддержка vtermslidesshow тоже молчит. А для остальных модулей от части фиксы находил, так же как и саму тему Warehouse 3 .8.1 от 11.07.2016 c исправленным блогом и небольшими фиксами.

если скрипт позволяет загружать файлы php, то шифроваться под типами файлов "izo или uzo или azo" нет смысла )

Вспомнил, что как-то было обсуждение тут на форуме неожиданного всплеска дыр и, вот, нашел...
В общем, я недавно разработал скрипт для проверки PrestaShop на известные уязвимости.
Скрипт бесплатный, дает советы по возможным решениям проблем безопасности. В общем, на сайте все написано. Буду рад отзывам.
Если есть желающие программисты поучаствовать и реализовать свои идеи, добро пожаловать на GitHub скрипта