Besitzer von osCommerce-Shops sollten diese dringend aktuell überprüfen und besonders gut im Auge behalten: Über eine Lücke, für die es noch keinen Patch gibt – laufen seit zwei Tagen starke Angriffe auf osCommerce-Shops. Gestern Mittag waren nach Angaben von iBusiness bereits mindestens 294 deutsche Onlineshops infiziert und verbreiteten in der Folge Malware. Eventuell sind auch andere Shopsysteme wie Zen-Cart betroffen.
Die Infizierung ist hier genau beschrieben: Infizierte Shopsysteme enthalten entweder einen eingebetteten iframe mit URL auf willysy.com oder direkt am TITLE-Tag eine Script -Einbettung mit URL von exero.eu (Abbildung von blog.armorize.com):
Bei erfolgreicher Infektion verbreiten die Seiten die Malware (‚update.exe‘) eines russischen Servers, wie dieses Video von Armorize.com zeigt:
Bei nicht erfolgreicher Infektion per Script-Einbettung taucht dessen Code im Title der Shops auf (Abbildung von blog.armorize.com, dort sind noch weitere Beispiele zu sehen).
Aktuell findet Google 90.000 Seiten auf DE-Domains, die den iframe enthalten und 622, die den Script-Link enthalten! Wie ein befallener Shop gesäubert werden kann, ist leider nicht befriedigend beschrieben. Der Tipp in den Kommentaren, den Eintrag im STORE_NAME Schlüssel der Konfigurationstabelle zu korrigieren, scheint nicht bei allen befallenen Systemen zu helfen.
Herzlich aus Hürth
Nicola Straub
ska meint
Die vermutlich genutzte Sicherheitslücke ist seit zwei Jahren bekannt und veröffentlicht.
http://forums.oscommerce.de/index.php?showtopic=70425
Leider gibt es viele Shopbetreiber, die solche Diskussionen nicht verfolgen bzw Ihre Systeme nicht aktualisieren.
nicola meint
Guten Abend!
Ich halte es generell für eine SEHR gute Idee, das Standardverzeichnis des Adminbereiches umzubenennen und einen doppelten Passwortschutz einzusetzen. Und tatsächlich wird ja vermutet (von den Spezialisten hinter armorize), dass die Angriffe über den Adminbereich laufen. Welche Lücke aber genau genutzt wird, scheint derzeit noch nicht wirklich belegt zu sein.
(Übrigens: In einem Kommentar auf armorize beschreibt ein Nutzer, dass er zusätzlich den Zugriff auf den Adminbereich nur für wenige (seine) IPs freigegeben hat – auch dies wäre eine (weitere) Maßnahme, es Angriffen schwerer zu machen, die über Zugriffe auf den Adminbereich laufen.)
Herzlich, Nicola Straub
Erich meint
Hatte die Probleme bereits seit 14 Tagen. Konnte sie mit Massnahmen (eben Admin Bereich 100% sichern) vollkommen eliminieren.
Meine Shops sind nun seit 10 Tagen frei von Schadstoffen obgleich ich in den Zugrifflogs sehe dass immer wieder versucht wird.
Viel Glück
Gruss Erich
Arthur W. Borens meint
So unangenehm die Sache auch ist, ich kann mit den wenigsten osC-Nutzern mitfühlen. Nicht nur, dass viele Anwender denken, nach der erfolgreichen Inbetriebnahme brauche man sich nicht mehr um den Shop zu kümmern, auch die „Community“, so es sie denn überhaupt noch gibt, ist weitgehend paralysiert. Man sollte halt keine Software benutzen,deren Wurzeln im vorigen Jahrtausend liegen und die seit nunmehr gut 8 Jahren keine vernünftige Pflege mehr erfährt.
M. Otto meint
Die Sicherheitslücke im Admin ist doch schon seit 2009 hinreichend bekannt. Über diese können halt Dateien hochgeladen/manipuliert werden oder auch beliebig Daten wie Kundendaten etc. ausgelesen werden. Wer Unterstützung sucht kann sich gern bei mir melden.
MfG