Shop gehackt/Sicherheitslücke?

dr.mawuse · #1 (**permalink**) 21.04.2009, 11:29

Hi Leute,

ich habe Kenntnis von einem Shop, der sehr wahrscheinlich gehakt worden ist.
Es handelt sich um xt:Commerce v3.0.4 SP2.

Was ist passiert?

Im Titel der Site steht nun H@cked by H@patit und zwar vor dem eigentlichen Titel.
Weiterhin wurde dies eingetragen in die Felder Name des Shops, Inhaber und Telefon, was über das Backend einsehbar war, soll heißen, es stand definitiv in der Datenbank und nicht etwa in einer Cache-Datei des Frontends (was allerdings etwas angenehmer gewesen wäre).

Wenn man danach googelt, bekommt man lediglich gehakte Shops aufgelistet, auch viele Shops der Version v3.0.4 SP2.1.

Es gibt kaum(derzeit keinen) Eintrag zur Nennung/Behandlung des Problems in einem Forum oder so. Vielleicht ist dies erst die Tage aufgetreten?

Hat jemand Kenntnis hiervon, Tipps, Tricks, Hinweise oder gar selbst festgestellt?

xt:mzanier · #2 (**permalink**) 21.04.2009, 11:36

Dies betrifft derzeit nur ungepatchte SP1 und Sp2.1 Versionen.

Fälle von aktuellen Sp2.1 Versionen mit Sicherheitspatches sind uns derzeit nicht bekannt.

Wir empfehlen (schon seit über einem Jahr) dringende Updates auf aktuelle Versionen.

DavidHustlehoff · #3 (**permalink**) 22.04.2009, 10:37

Unser Shop und weit mehr als 1000 wurden weltweit gehacked...

Hier die Meldung:
http://www.cytracon.net/2009/04/20/hacked-by-keremhan/

Hier eine Liste der Shops:
http://www.zone-h.org/archive/defacer=KEREMHAN

Ich kann bisher noch keine schädliche Datei auf unserem Server finden, wäre über Hilfe mehr als erfreut...

Shopsystem ist v3.0.4 SP2.1

redmedia · #4 (**permalink**) 22.04.2009, 11:41

Habe das selbe Problem mit einem Kundeshop. Hat wer eine Lösung bzw. weiss jemand was genau gehackt wurde bzw. welche Dateien Betroffen sind?

DavidHustlehoff · #5 (**permalink**) 22.04.2009, 11:43

Hier ist auch einiges erklärt:

http://www.*************************...op-systeme.php

Leider oder Gott sei Dank kann ich keinen Shell Zugriff feststellen und bei mir war nur die Index Seite geändert. Trotzdem muss KEREMHAN Adminzugriff gehabt haben?!

Bloß wie...? Jedenfalls nicht wie oben beschrieben?!

redmedia · #6 (**permalink**) 22.04.2009, 12:35

habt ihr evtl. amicron installiert? das script wurde auf unserem server extrem aof aufgerufen?

DavidHustlehoff · #7 (**permalink**) 22.04.2009, 13:02

Nein nichts dergleichen. Ich hab mal das Sicherheitsupdate vom 20.11.2008 aufgespielt evtl lag es daran?

xt:mzanier · #8 (**permalink**) 22.04.2009, 13:25

Zitat:

Zitat von DavidHustlehoff

Nein nichts dergleichen. Ich hab mal das Sicherheitsupdate vom 20.11.2008 aufgespielt evtl lag es daran?

ja, ohne sicherheitspatch ist klar das eine lücke ausgenutzt werden konnte.

Dafür gibt es schließlich Sicherheitsupdates.

DavidHustlehoff · #9 (**permalink**) 22.04.2009, 13:29

Zitat:

Zitat von mzanier

ja, ohne sicherheitspatch ist klar das eine lücke ausgenutzt werden konnte.

Dafür gibt es schließlich Sicherheitsupdates.

War diese Sicherheitslücke für den Angriff und die Änderung der Index Seite verantwortlich? Bzw. ist es damit möglich gewesen?

xt:mzanier · #10 (**permalink**) 22.04.2009, 13:31

Zitat:

Zitat von DavidHustlehoff

War diese Sicherheitslücke für den Angriff und die Änderung der Index Seite verantwortlich? Bzw. ist es damit möglich gewesen?

war damit möglich ja. (sqj injection).

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Einsprachiger Shop - nur Deutsch bzw. eigentlich englisch	nomad	Allgemeine Diskussionen	5	02.11.2006 16:35
Kopierter Shop mit neuer Sprache	thomas78	Installation und Konfiguration	0	21.09.2006 12:13