Akut starke und erfolgreiche Massenangriffe auf osCommerce-Shops

Von: | 28. Juli 2011
VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)

AchtungBesitzer von osCommerce-Shops sollten diese dringend aktuell überprüfen und besonders gut im Auge behalten: Über eine Lücke, für die es noch keinen Patch gibt – laufen seit zwei Tagen starke Angriffe auf osCommerce-Shops. Gestern Mittag waren nach Angaben von iBusiness bereits mindestens 294 deutsche Onlineshops infiziert und verbreiteten in der Folge Malware. Eventuell sind auch andere Shopsysteme wie Zen-Cart betroffen.

Klick vergrößert

Klick vergrößert

Die Infizierung ist hier genau beschrieben: Infizierte Shopsysteme enthalten entweder einen eingebetteten iframe mit URL auf willysy.com oder direkt am TITLE-Tag eine Script -Einbettung mit URL von exero.eu (Abbildung von blog.armorize.com):

Bei erfolgreicher Infektion verbreiten die Seiten die Malware (‘update.exe’) eines russischen Servers, wie dieses Video von Armorize.com zeigt:

Klick vergrößert

Klick vergrößert

Bei nicht erfolgreicher Infektion per Script-Einbettung taucht dessen Code im Title der Shops auf (Abbildung von blog.armorize.com, dort sind noch weitere Beispiele zu sehen).

Aktuell findet Google 90.000 Seiten auf DE-Domains, die den iframe enthalten und 622, die den Script-Link enthalten! Wie ein befallener Shop gesäubert werden kann, ist leider nicht befriedigend beschrieben. Der Tipp in den Kommentaren, den Eintrag im STORE_NAME Schlüssel der Konfigurationstabelle zu korrigieren, scheint nicht bei allen befallenen Systemen zu helfen.

Herzlich aus Hürth
Nicola Straub

Autorenfoto widmet sich 1998 beruflich dem E-Commerce. Seit 2004 arbeitet sie freiberuflich als Beraterin für Webkonzepte und Onlinemarketing sowie Autorin für Artikel und Ratgeber (auch Ghostwriting) und Pressetexte. Besonders gern betreut sie Websites ganzheitlich von der Planung über die Realisierung bis zur fortlaufenden Content-Pflege und gibt Ihre Erfahrung in regelmäßigen Workshops zu Marketingthemen weiter.
Newsletter abonnieren
Ähnliche Artikel zum Thema

Jetzt unseren kostenlosen Newsletter abonnieren und frei Haus wöchentlich alle neuen Artikel, Tipps und Links für Ihr Onlinegeschäft erhalten. Gleichzeitig erhalten Sie Zugang zu unserem Download-Bereich mit wertvollen Ratgebern, Praxisleitfäden und Fachartikeln!

Keine Datenweitergabe!

Thematisch passende Anbieter und Dienstleister

9 Kommentare »

  1. Die vermutlich genutzte Sicherheitslücke ist seit zwei Jahren bekannt und veröffentlicht.

    http://forums.oscommerce.de/index.php?showtopic=70425

    Leider gibt es viele Shopbetreiber, die solche Diskussionen nicht verfolgen bzw Ihre Systeme nicht aktualisieren.

    nicola Antwort vom Juli 28th, 2011 23:53:

    Guten Abend!
    Ich halte es generell für eine SEHR gute Idee, das Standardverzeichnis des Adminbereiches umzubenennen und einen doppelten Passwortschutz einzusetzen. Und tatsächlich wird ja vermutet (von den Spezialisten hinter armorize), dass die Angriffe über den Adminbereich laufen. Welche Lücke aber genau genutzt wird, scheint derzeit noch nicht wirklich belegt zu sein.
    (Übrigens: In einem Kommentar auf armorize beschreibt ein Nutzer, dass er zusätzlich den Zugriff auf den Adminbereich nur für wenige (seine) IPs freigegeben hat – auch dies wäre eine (weitere) Maßnahme, es Angriffen schwerer zu machen, die über Zugriffe auf den Adminbereich laufen.)
    Herzlich, Nicola Straub

    Kommentar by ska — 28. Juli 2011 @ 15:51

  2. [...] Akut starke und erfolgreiche Massenangriffe auf OS-Commerce-Shops – shopanbieter.de [...]

    Pingback by OS Commerce: Hunderte Shops schon durch Sicherheitslücke infiziert » t3n News — 28. Juli 2011 @ 16:27

  3. [...] osCommerce betreibt, sollte diesen aktuell besonders gut im Auge behalten. Wie verschiedene Medien berichten, sind in Deutschland bereits fast 300 und international mehr als 3000 OS-Commerce Shops [...]

    Pingback by Take me to auction » Aktuell: Massive Angriffe auf OS-Commerce Shops — 28. Juli 2011 @ 17:52

  4. Hatte die Probleme bereits seit 14 Tagen. Konnte sie mit Massnahmen (eben Admin Bereich 100% sichern) vollkommen eliminieren.
    Meine Shops sind nun seit 10 Tagen frei von Schadstoffen obgleich ich in den Zugrifflogs sehe dass immer wieder versucht wird.
    Viel Glück
    Gruss Erich

    Kommentar by Erich — 1. August 2011 @ 11:13

  5. So unangenehm die Sache auch ist, ich kann mit den wenigsten osC-Nutzern mitfühlen. Nicht nur, dass viele Anwender denken, nach der erfolgreichen Inbetriebnahme brauche man sich nicht mehr um den Shop zu kümmern, auch die “Community”, so es sie denn überhaupt noch gibt, ist weitgehend paralysiert. Man sollte halt keine Software benutzen,deren Wurzeln im vorigen Jahrtausend liegen und die seit nunmehr gut 8 Jahren keine vernünftige Pflege mehr erfährt.

    Kommentar by Arthur W. Borens — 2. August 2011 @ 09:09

  6. Die Sicherheitslücke im Admin ist doch schon seit 2009 hinreichend bekannt. Über diese können halt Dateien hochgeladen/manipuliert werden oder auch beliebig Daten wie Kundendaten etc. ausgelesen werden. Wer Unterstützung sucht kann sich gern bei mir melden.

    MfG

    Kommentar by M. Otto — 2. August 2011 @ 10:48

  7. [...]  OS Commerce: Hunderte Shops schon durch Sicherheitslücke infiziert t3n.de 28.07.2011 Akut starke und erfolgreiche Massenangriffe auf OS-Commerce-Shops shopanbieter.de 03.08.2011 osCommerce-Shops im Visier von Hackern [...]

    Pingback by » osCommerce oder die Folgen unwissender Shopbetreiber tech and commerce — 4. August 2011 @ 17:11

  8. [...] Noch immer sind so viele osCommerce-Shops mit Schädlingen verseucht, dass sich mittlerweile sogar das BSI sich genötigt sah, osCommerce-Shopbetreiber zum Handeln aufzufordern sowie Kunden vor verseuchten Shops zu warnen. Kein Wunder, Google-Suchen ergeben heute noch viel erschreckendere Zahlen manipulierter Shopseiten als bei unserer kürzlichen Warnung vor den Angriffen! [...]

    Pingback by Hilfestellung für osCommerce-Admins: Notfallmaßnahmen vor Update auf 2.3.1 » Shopsysteme » Blog für den Onlinehandel — 17. August 2011 @ 16:17

RSS-Feed für Kommentare zu diesem Artikel. TrackBack URL


Hinterlasse einen Kommentar