modified eCommerce Shopsoftware Shops auch anfällig für diese Angriffe?

[Bcoola]

Hallo,

ich habe heute morgen hier Shopanbieter Artikel gelesen, dass osCommerce Shops derzeit massiv angegeriffen werden.
Hier>>>Link entfernt<<<(Blog Amorize com Beitrag) wird die Vorgehensweise beschrieben.

Nachdem ich davon nicht ausreichend genug Ahnung habe, kann sich das evtl. mal jemand ansehen, der das besser beurteilen kann.

[EDIT franky_n 02.08.2011: Link entfernt wegen möglichem Virus.]



Linkback: https://www.modified-shop.org/forum/index.php?topic=14299.0

[franky_n]

Hallo Ben,

der Angriff wurde bei uns im Team bereits vor 2 Tagen diskutiert.
Die Codeinschleusung der ersten Codezeile ist nicht beschrieben, lediglich die darauf folgenden Umleitungen die dann zwar die eigentliche Schadcode Webseite verschleiern aber nicht die Ursache bilden.

Es handelt sich wahrscheinlich um eine Codeeinschleusung von verseuchten FTP Clients.
Leider scheint der FileZilla, da er wohl die Passwörter im Klartext abspeichert, hauptsächlich davon betroffen zu sein.

Das Szenario stellt sich so dar das bei Änderungen an Dateien auf dem Webserver zusätzlicher Schadcode vom FTP Client eingefügt und mitgeschickt wird. Meistens sind index Dateien betroffen.

Bedeutet für den Anwender:
Wenn das auftritt ist der eigene lokale Rechner von Viren befallen oder der FTP Client verseucht.

In dem Fall hilft nur:
- Virus ausfindig machen
- alle Passwörter ändern
- Grundsätzlich keine Passwörter automatisiert vom System speichern lassen sondern selber eingeben

Dann kann weder das Passwort ausgespäht werden, noch bei virenfreien System zusätzlicher Schadcode an den Webserver mitgeschickt werden.

Logischerweise sind solche Angriffe Shopunabhängig, bedeutet kann in jedem Shop passieren da die Ursache der FTP Client ist.

Vielleicht kann ja jemand vom Team noch was ergänzen falls ich was vergessen habe...

Um auch andere Angriffe wie SQL-Injection, CrossSiteSCripting (XSS) etc. noch besser ab zu wehren wird zur Zeit ja das SP1 zusammengestellt was in Kürze erscheinen soll...

Viele Grüße

Franky

[kyhn]

Hallo,

zur Info: der obige Link "Blog Amorize com Beitrag" scheint auch auf ne "unsaubere Seite" zu führn.

Website gesperrt!
G Data AntiVirus 2010 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: JS:Redirector-HV [Trj].

Virus: JS:Redirector-HV [Trj]

Virus beim Laden von Web-Inhalten gefunden.

Adresse: blog.armorize.com

Oder ist da GDATA AntiVirus einfach nur zu "fleißig"?

Grüße

[Ceciro]

@kyhn

kann ich bestätigen... auch AVG springt darauf an und blockiert die Seite. Hoffentlich erfolgt durch die erhöhte Besuchsfrequenz der Seite jetzt nicht noch eine stärkere Verbreitung irgendwelcher Geschichten...

Gruß

[Tomcraft]

Der Link zur Seite wurde aus Sicherheitsgründen von franky_n entfernt.

Grüße

Torsten

[jannemann]

Hi,

welche gute Alternative gibt es denn zu "FileZilla" ?

Schöne Grüße,
Jan

[GTB]

CrossFTP

[frangulus]

[...]
welche gute Alternative gibt es denn zu "FileZilla" ?
[...]

Das aktuelle Problem hatte aber nicht mit dem FileZilla zu tun, sondern mit Bugs in osCommerce 2.2.

Bericht auf heise (Letzter Abstaz): Massenweise osCommerce-Shops gehackt

[kyhn]

Ich wusste doch, dass ich heute was vergessen hatte.
Danke für den Link. Ich hol mir schnell noch meinen Dosis heise.de ab.

Grüße kyhn

[itsme]

[...]
Das Szenario stellt sich so dar das bei Änderungen an Dateien auf dem Webserver zusätzlicher Schadcode vom FTP Client eingefügt und mitgeschickt wird. Meistens sind index Dateien betroffen.
[...]

Bei mir wurde die ".htaccess" verändert so dass an jede aufgerufene Bilddatei eine "thumbs.db" gehängt wurde und ein zusätzliches Verzeichnis mit ~3500 Dateien wurde erstellt. Inhalt: Von blauen Pillen bis zu Rolex war alles dabei.

PW Schutz hatte ich übrigens...

In den "thumbs.db" Dateien ist verschlüsselter Code, wenn's jemand interessiert ich hab noch eine hier liegen.

[frangulus]

Hallo,
ich habe mir mal den Bericht im Amorize Blog angesehen. (Auf heise ist der Link ja noch)
Auf meinem Linux Laptop habe ich keine Virenscanner der mich verunsichert. Im Blog sind die eingebauten schädlichen Iframes im Quelltext enthalten, das bringt natürlich manch übereifrigen Virenscanner zum Anschlagen.

Nun zum Thema:
Ausgenutzt wurden einige Bugs in osCommerce, davon konnte ich keinen mehr im modified eCommerce Shopsoftware und xt:Commerce 3.0.4 mehr nachvollziehen.
Die Bugs sind in neuen osCommerce Versionen beseitigt, teilweise seit einem Jahr.

Mein Fazit:
1. Wer noch osCommerce verwendet sollte zu modified eCommerce Shopsoftware umsteigen, es ist eindeutig die bessere Wahl.
2. Vorhandene Updates (Nicht nur der Shop-Software) nicht auf die lange Bank schieben, sondern baldmöglichst umsetzten, die bösen Buben warten auch nicht ewig.
Also Leute ran an das SP1 für modified eCommerce Shopsoftware 1.05 und danke an das modified eCommerce Shopsoftware-Team!

[Tomcraft]

Grüße

Torsten

[DokuMan]

[...]
In den "thumbs.db" Dateien ist verschlüsselter Code, wenn's jemand interessiert ich hab noch eine hier liegen.

Magst du mir so eine Datei mal an dokuman{at}modified eCommerce Shopsoftware.org schicken?

[franky_n]

Hallo frangulus,

man könnte die ja mal nennen...  

[...]
Ausgenutzt wurden einige Bugs in osCommerce, davon konnte ich keinen mehr im modified eCommerce Shopsoftware und xt:Commerce 3.0.4 mehr nachvollziehen.
[...]

Viele Grüße

Franky

[itsme]

DokuMan...

Schick ich dir heute Abend. Ein Teil ist Base64 encoded danach kam ich aber nicht mehr weiter. osCommerce hat mir schon eine Weile nicht mehr gefallen also hab ich kurzen Prozess gemacht und alles gelöscht.

Bei mir scheint er aber was falsch gemacht zu haben denn die komplette Seite war nicht aufrufbar. Ich finde auch bei Google keine Spuren.