Shop gehackt (Basayev & Co.) - kennt jemand die Lücke?

Kneumi · #1 (**permalink**) 02.06.2009, 18:44

Hallo!

Mein Shop wurde jetzt leider schon mehrmals gehackt. Einmal von "Basayev", wobei dei Startseite ersetzt wurde. Diese Sicherheitslücke hatte offensichtlich irgendwas mit einem Bildupload-Script zu tun:

78.190.70.39 - - [14/Dec/2008:23:01:44 +0100] "GET /images/manufacturers/catalog.php?act=ls&d=%2Fhome%2Fwww%2Fdoc%2F11679%2 FMEINEDOMAIN2.com%2Flogs&sort=0a HTTP/1.1" 200 5297 "http://www.MEINEDOMAIN1.de/images/manufacturers/catalog.php?act=ls&d=%2Fhome%2Fwww%2Fdoc%2F11679%2 FMEINEDOMAIN1.com&sort=0a" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)"

Beim jüngsten Hackangriff wurden in mehrere Verzeichnisse php-Dateien hochgeladen, die dann Spam verschicken sollten. Außerdem war im Hauptverzeichnis die shop_content.php verändert. Mein Provider hat mir zur Sicherheitslücke im Shop folgendes geschrieben:

das von Ihnen eingesetzte OSCommerce enthält eine Sicherheitslücke. Über diese wurde mehrere PHP-Shells und SPAM-Scripte auf den Account hochgeladen.

In folgendem Logfile-Auszug können Sie sehen, inwiefern die Sicherheitslücke ausgenutzt wurde:

dial-pool39.lg.starcomms.net - - [30/May/2009:20:25:58 +0200] "POST /shop_content.php/language/en/coID/0?act=ls&d=%2Fhome%2Fwww%2Fdoc%2F11679%2FMEINEDOMA IN.de%2Fwww%2FVERZEICHNIS%2FfUNTERVERZEICHNIS&sort =0a HTTP/1.0" 200 29719 "http://www.MEINEDOMAIN.de/shop_content.php/language/en/coID/0?act=ls&d=%2Fhome%2Fwww%2Fdoc%2F11679%2Fdreadlock s.de%2Fwww%2FVERZEICHNIS%2FUNTERVERZEICHNIS&sort=0 a" "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10"

Kann ein schlauer Mensch daraus etwas herauslesen, wo die Sicherheitslücke liegt und/oder weiß sogar, was zu tun ist?

Wäre für jeden Hinweis dankbar!

Klaus

xt:mzanier · #2 (**permalink**) 02.06.2009, 18:52

Hier wird eine alte Version eingesetzt ohne Sicherheitspatches.

Im Adminbereich von xt:Commerce wurde mehrmals darauf hingewiesen das Updates vorliegen.

-> System evtl neu aufsetzen mit aktuellster Version bzw Agentur beauftragen Sicherheitsüberprüfung durchzuführen und aktuellste Version einzuspielen.

Kneumi · #3 (**permalink**) 02.06.2009, 19:01

Danke für die schnelle Antwort. Hatte vergessen zu sagen, dass ich die xt:Commerce v3.0.4 SP2.1 benutze. Installiert wurde das Ganze ca 10/2007.

Im Admin Bereich unter "News" steht als Patch nur ein "xtc_currency_exists.inc.php.zip", den ich eingespielt hatte.

Gab es seitdem weitere Patches und wenn ja wo/welche?

Vielen Dank!

PS: Perspektivisch möchte ich auf Veyton umsteigen, allerdings noch etwas warten, bis für Veyton mehr Module zur Verfügung stehen.

Kneumi · #4 (**permalink**) 02.06.2009, 20:38

Habe das Forum durchsucht und folgende Patches gefunden, die ich noch nicht hatte:

1. Sicherheitspatch Inputfilter:
http://www.xt-commerce.info/index.ph...emid=3&nav=0,3

4. Security Update banktransfer.php
[xt:Commerce - Security Update - all Versions ]

3. Security Patch für 3.0.4 SP2.1:
http://www.xt-commerce.info/index.ph...d=19&nav=0,3,4

(wobei bei mir die includes/application_top komischerweise aktuell war, die includes/modules/metatags.php aber nicht)

Bereist installiert hatte ich:

5. Security Update xtc_currency_exists.inc.php:
http://www.xt-commerce.com/forum/sho...691#post260691

Nicht installiert, da ich ipayment nicht benutze habe ich:

2. iPayment Patch:
http://www.xt-commerce.info/index.ph...id=2&nav=0,3,4

Hoffentlich haben sich meine Probleme damit erledigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Hilfe, ich glaube, mein Shop ist gehackt worden!	Renana (RSP)	Sandkasten	7	22.05.2007 20:43