Attempted hack on your site? (type: Intrusion dete

[Logelheim]

Ich habe das Mail 5000 Mal (in 10 Minuten ungef?hr) bekommen.

Attention site admin of Le portail du nain de jardin. Tubes peinture acrylique, On DATE_FORMAT_LONG at DATE_TIME_FORMAT_SHORT the xt:C System has detected that somebody tried to send information to your site that may have been intended as a hack. Do not panic, it may be harmless: maybe this detection was triggered by something you did! Anyway, it was detected and blocked. The suspicious activity was recognized in /var/alternc/html/k/k6/www/xt/inc/xtc_Security.inc.php on line 116, and is of the type xt:C Security Alert. Additional information given by the code which detected this: Intrusion detection. Below you will find a lot of information obtained about this attempt, that may help you to find what happened and maybe who did it.

Ist es schlim ?
Was kann ich tun ?
Danke.

[kchris]

Wie interpretiert man das am besten? Hat da jemand eine Ahnung? Es tritt vermehrt in letzter Zeit bei unseren 3.0.3 Shops auf, jedoch bei 3.0.4 Shops haben wir die Probleme nicht.

MFG

kchris

[John Steed]

Moin kchris,

hast Du Google Analytics im Shop laufen? Seitdem wir GA benutzen, haben wir nämlich das gleiche Problem - immer wieder "Intrusion Detection" im Cookie-Block der xtc_security.inc.php (so um Zeile 115 rum). Schau mal ob in den Mails bei "Information in the $_COOKIE array" so was ähnliches steht:

Zitat:

utmccn=(organic)|utmcsr=google|utmctr=irgendeinsuc hwort|utmcmd=organic

In einem PostNuke-Forum (PN benutzt die gleichen Security-Funktionen) hab' ich was interessantes dazu gefunden: http://support.pn-cms.de/module-CMS_...opic-19558.htm

Was da genau das Problem im Cookie verursacht (auf jeden Fall Google, nur was genau...), versuche ich noch rauszufinden. Es scheint aber zu helfen, Google Analytics erstmal aus dem Shop zu entfernen.

Cheers,
J

EDIT: Falls es wirklich *nur* Google ist, könnte folgende Änderung in der xtc_security.inc.php (so um Zeile 100 rum) hilfreich sein:

Code:

foreach ($_COOKIE as $secvalue) {
            if (!is_array($secvalue) ) {

ändern in

Code:

foreach ($_COOKIE as $secvalue) {
            if (!is_array($secvalue) && !strpos($secvalue, "utmccn=(organic)|utmcsr=google") ) {

Dann springt die Intrusion Detection nur noch an, wenn im Cookie *nicht* Google steht... Das ist zwar absolut dirty, ich probier's aber trotzdem grad aus. Generell sollte hier Google was ändern, nicht wir den Shop!!!

[John Steed]

Achtung, die von mit gestern vorgeschlagene Änderung bewirkt ein Sicherheitsleck, da sie die Intrusion Detection für alle Cookies mit den Inhalt google ausser Kraft setzt! Und Cookies lassen sich recht einfach fälschen...

Ich habe das ganze nochmal verbessert, so dass die Intrusion Detection wieder läuft, bei Google-Cookies lediglich keine Mail mehr verschickt wird (nochmals, die Intrusion Detection funktioniert trotzdem!):

Original-Code

Code:

//        Lets now sanitize the COOKIE vars
    if ( count($_COOKIE) > 0) {
        foreach ($_COOKIE as $secvalue) {
            if (!is_array($secvalue)) {
                if ((eregi("<[^>]*script.*\"?[^>]*>", $secvalue)) ||
                        (eregi(".*[[:space:]](or|and)[[:space:]].*(=|like).*", $secvalue)) ||
                        (eregi("<[^>]*object.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*iframe.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*applet.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*meta.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*style.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*form.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*window.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*alert.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*document.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*cookie.*\"?[^>]*>", $secvalue)) ||
                        (eregi("<[^>]*img.*\"?[^>]*>", $secvalue))
                        ) {

                        xtcMailHackAttempt(__FILE__,__LINE__,'xt:C Security Alert','Intrusion detection.');
                        xtc_redirect(FILENAME_DEFAULT);
                }
            }
        }
    }

ändern in

Code:

//        Lets now sanitize the COOKIE vars
    // added google mail filter - intrusion detection is still working
    if ( count($_COOKIE) > 0) {
        $ga = FALSE; // init google analytics flag
        foreach ($_COOKIE as $secvalue) {
            if (!is_array($secvalue)) {

                // check for google in cookie var
                if(strpos($secvalue, "utmccn=(organic)|utmcsr=google")){
                   $ga = TRUE; // set ga flag
                }
                // end check

                if ((eregi("<[^>]*script.*\"?[^>]*>", $secvalue)) ||
                    (eregi(".*[[:space:]](or|and)[[:space:]].*(=|like).*", $secvalue)) ||
                    (eregi("<[^>]*object.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*iframe.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*applet.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*meta.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*style.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*form.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*window.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*alert.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*document.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*cookie.*\"?[^>]*>", $secvalue)) ||
                    (eregi("<[^>]*img.*\"?[^>]*>", $secvalue))
                   ) {

                      if(!$ga){ // prevents mails being sent if cookie is google analytics
                         xtcMailHackAttempt(__FILE__,__LINE__,'xt:C Security Alert','COOKIE Intrusion detection.');
                      }
                      xtc_redirect(FILENAME_DEFAULT);
                }
            }
        }
    }

Das ist und bleibt aber dirty, da ich nicht einsehe, den Shop an Google anpassen zu müssen. Eher sollte sich Google bestehenden Webseiten anpassen...

[kchris]

Na das Problem hatte ich jetzt bei einem Shop wieder, danke für deine Lösung. Eventuell gibt es das Problem mit dem neuen Google Analytics ja nicht mehr.

bye, kchris