Akut starke und erfolgreiche Massenangriffe auf osCommerce-Shops

Besitzer von osCommerce-Shops sollten diese dringend aktuell überprüfen und besonders gut im Auge behalten: Über eine Lücke, für die es noch keinen Patch gibt – laufen seit zwei Tagen starke Angriffe auf osCommerce-Shops. Gestern Mittag waren nach Angaben von iBusiness bereits mindestens 294 deutsche Onlineshops infiziert und verbreiteten in der Folge Malware. Eventuell sind auch andere Shopsysteme wie Zen-Cart betroffen.

Die Infizierung ist hier genau beschrieben: Infizierte Shopsysteme enthalten entweder einen eingebetteten iframe mit URL auf willysy.com oder direkt am TITLE-Tag eine Script -Einbettung mit URL von exero.eu (Abbildung von blog.armorize.com):

Bei erfolgreicher Infektion verbreiten die Seiten die Malware (‚update.exe‘) eines russischen Servers, wie dieses Video von Armorize.com zeigt:

Bei nicht erfolgreicher Infektion per Script-Einbettung taucht dessen Code im Title der Shops auf (Abbildung von blog.armorize.com, dort sind noch weitere Beispiele zu sehen).

Aktuell findet Google 90.000 Seiten auf DE-Domains, die den iframe enthalten und 622, die den Script-Link enthalten! Wie ein befallener Shop gesäubert werden kann, ist leider nicht befriedigend beschrieben. Der Tipp in den Kommentaren, den Eintrag im STORE_NAME Schlüssel der Konfigurationstabelle zu korrigieren, scheint nicht bei allen befallenen Systemen zu helfen.

Herzlich aus Hürth
Nicola Straub