xt:Commerce: Sicherheitslücke, oder Hackerangriff!?

[medienpirat]

Hallo, und erstmal schön hier im Forum zu sein, auch wenn es gleich ein schlechter Grund ist.

Wir haben gerade Problem, dass sich ein Phishing Programm in unserem Shop festgesetzt hat. Der Provider hat darauf hin die Seite aus dem Netz genommen und stellt sie auch nicht wieder online da in der Stunde ca. 70.000 Mails verschickt werden.

Der Übeltäter heisst anscheinden KunleWizzy.php und hat es sich im Image Ordner bequem gemacht.
Image/Content/...dort hat er mehrere Dateien angelegt install Ordner usw.

Kennt jemand das Problem und hat vielleicht eine Lösung?
Das wäre sehr hilfreich.

Vielen Dank



Linkback: https://www.modified-shop.org/forum/index.php?topic=12359.0

[Tomcraft]

Solche Hacks kamen bisher immer vom PC des Kunden aus, also würde ich in erster Linie mal den PC scannen, von dem aus auf den FTP zugegriffen wird.

Welche Shopversion setzt du ein?

Grüße

Torsten

[medienpirat]

Am Montag war es die xt:Commerce v3.0.4 SP2.1 danach hab ich es vom Server gelöscht und die letzte XTC Version aufgespielt und heute kam das selbe Problem. Mein Rechner ist sauber... hab's zweimal geprüft.

Wir haben noch was interessantes gefunden... wie hacke ich einen XT Shop!? nachdem Teil sieht es auch aus!? Gibt's dazu vielleicht einen Tipp?

Code: PHP  [Auswählen]

=============================================================
xt:Commerce Shopsoftware (fckeditor) File Upload Vulnerability
=============================================================
###################################################
#
# Exploit Title: xt:Commerce Shopsoftware (fckeditor)
# Date: 08/11/2010
# Author: Net.Edit0r
# Software Link: www.(( Wir dulden keine kommerziellen Werbelinks - Bitte <a href="index.php?topic=3013.0">Forenregeln</a> beachten! ))/

# Version: 3 & 4
# Tested on: Linux Ubuntu 9.04
# dork : "eCommerce Engine © 2006 xt:Commerce Shopsoftware"
# Contact: Net.Edit0r@att.net ~ Black.hat.tm@gmail.com

#
####################################################

    exploit # admin/includes/modules/fckeditor/editor/filemanager/connectors/uploadtest.html

first go to # http://site.com/[shop]

       then #http://site.com/[shop]/admin/includes/modules/fckeditor/editor/filemanager/connectors/uploadtest.html

     select # Select the "File Uploader"> php ... upload to : Uploaded
File URL:      

Demo :http://www.site.com/admin/includes/modules/fckeditor/editor/filemanager/connectors/uploadtest.html

Demo :http://www.site.com/admin/includes/modules/fckeditor/editor/filemanager/connectors/uploadtest.html

#######################################################

Home : datacoders.org ~ ajaxtm.com #Iranian HackerZ

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

[guensi]

Am Montag war es die xt:Commerce v3.0.4 SP2.1 danach hab ich es vom Server gelöscht und die letzte XTC Version aufgespielt und heute kam das selbe Problem. Mein Rechner ist sauber... hab's zweimal geprüft.

Wir haben noch was interessantes gefunden... wie hacke ich einen XT Shop!? nachdem Teil sieht es auch aus!? Gibt's dazu vielleicht einen Tipp?
[...]

Ja, auf modified eCommerce Shopsoftware 1.05 migrieren. Zu einer Lösung für einen original XTC-Shop kann ich nix sagen. Dazu wärste hier auch im falschen Forum.

Würde mich wundern, wenn diese Sicherheitslücke in der modified eCommerce Shopsoftware 1.05 nicht schon geschlossen wäre. Lasse mich aber gerne eines Besseren belehren und warte dann ungeduldig auf das Update.

[mizzy]

Wobei mir das doch eher wie ein eingeschleuster Freund via FTP ausschaut. Nicht jeder Virenscanner findet immer alles.

[...]
Image/Content/...dort hat er mehrere Dateien angelegt install Ordner usw.
[...]

Gerade diese Aussage macht mich ein wenig stutzig, das ich fast nicht glaube das es vom Shop kommt. Wir hatten sowas auch schon mal.

Wir dort nur eine der angelegten Dateien vergessen oder auf den Rechner nicht gefunden und per FTP was neues hochgeladen geht das Spiel von vorne los, egal welcher Shop.

Ich würde empfehlen ein Backup des Shop einzuspielen von einer Zeit wo es sicher noch keinen Virenbefall gab, wenn man selbst keines hat, dann kann manchmal auch der Hoster helfen.

Und dann den Rechner mal grundlegend checken bzw. neu aufspielen.

V.G. Micha

[Tomcraft]

Am Montag war es die xt:Commerce v3.0.4 SP2.1 danach hab ich es vom Server gelöscht und die letzte XTC Version aufgespielt und heute kam das selbe Problem. [...]

Das tut mir wirklich sehr Leid für dich, aber du bist hier dann im falschen Forum. Wir kümmern uns nicht um die Sicherheitslücken, die xt:Commerce 3.04 SP2.1 noch enthält.

Daher verschoben nach "Off Topic" und das Shopsystem noch im Titel des Themas hinterlegt.

Vielleicht denkst du mal über ein Update deines Shopsystems nach.

Wobei mir das doch eher wie ein eingeschleuster Freund via FTP ausschaut. [...]

Ja, das Muster kommt mir auch bekannt vor, das hatten wir hier im Forum schon einige Male, dafür kann modified eCommerce Shopsoftware nichts.

Grüße

Torsten

[medienpirat]

Wie gesagt... der Fehler ist beim XTC das ich am Montag installiert habe genau so aufgetreten... per FTP kamen die Daten auch nicht auf den Server, da auf diesen Server seit ca. 2 Monaten nicht hochgeladen wurde.
Mein Rechner ist ebenso clean... neues Virusprogramm noch mal durch laufen lassen und alles nach entsprechenden Mustern abgesucht.

Leider hat das alles nicht gebracht... naja dann muss ich wohl doch wechseln.

[thecamillo]

@ Medienpriat:

Ist das das Uploadmodul zu xtc 3.2.1? Wenn ja Selbst schuld und wirklich sau-blöd gelöst. Nomarlerweise macht man sowas prinzipell über einen eigenen Server der erstens technisch vom Webshop getrennt ist und zweitens mittels iframe Integration in den Webshop. Auf dem Server zum Upload installierste "Uploadify" http://www.uploadify.com/ und bindest dieses kleine Fenster separat in die entsprechende Datei mit ein. Vielleicht solltest du dir überlegen die Werbeagentur, die dir das eingerichtet hat auf Schadensersatz zu verklagen. Auf jeden Fall würde ich die in Regress nehmen und mich in Zukunft von einer vernünftigen Agentur vertreten lassen.

Indem du dieses Modul benutzt übergibst du dem User, in der Zeitspanne des Uploads, volle administrative Zugriffsrechte, was einen Hack und das auch noch durch die Vordertür, zum absoluten Kinderspiel werden lässt.

[guensi]

[...]
Leider hat das alles nicht gebracht... naja dann muss ich wohl doch wechseln.

Falscher Ansatz - nach der Fehleranalyse muss das heissen - ja ich hab mich endlich aufgerafft zu wechseln   - es kann nur besser werden.   Attacke gegen alle bekannten Sicherheitslücken.

[olli1it]

@ Medienpriat:

Ist das das Uploadmodul zu xtc 3.2.1? Wenn ja Selbst schuld und wirklich sau-blöd gelöst. Nomarlerweise macht man sowas prinzipell über einen eigenen Server der erstens technisch vom Webshop getrennt ist und zweitens mittels iframe Integration in den Webshop. Auf dem Server zum Upload installierste "Uploadify" http://www.uploadify.com/ und bindest dieses kleine Fenster separat in die entsprechende Datei mit ein. Vielleicht solltest du dir überlegen die Werbeagentur, die dir das eingerichtet hat auf Schadensersatz zu verklagen. Auf jeden Fall würde ich die in Regress nehmen und mich in Zukunft von einer vernünftigen Agentur vertreten lassen.

Indem du dieses Modul benutzt übergibst du dem User, in der Zeitspanne des Uploads, volle administrative Zugriffsrechte, was einen Hack und das auch noch durch die Vordertür, zum absoluten Kinderspiel werden lässt.

Hallo The Camillo ich suche auch ein Uploadmodul für eien XTC-M Shop So wie du das beschrieben hat scheint es recht  toll, ich kann das aber nicht selbst machen kannst du mir ein Angbot für die Erstellung eines Shops mit UPLOADmöglichkeit machen? Gibt es ev. einen Link wo ma sich deine Lösung anschauen kann?

Viele Grüße
Olli