Shop gehackt/Sicherheitslücke?

[dr.mawuse]

Hi Leute,

ich habe Kenntnis von einem Shop, der sehr wahrscheinlich gehakt worden ist.

Es handelt sich um xt:Commerce v3.0.4 SP2.

Was ist passiert?

Im Titel der Site steht nun H@cked by H@patit und zwar vor dem eigentlichen Titel.

Weiterhin wurde dies eingetragen in die Felder Name des Shops, Inhaber und Telefon, was über das Backend einsehbar war, soll heißen, es stand definitiv in der Datenbank und nicht etwa in einer Cache-Datei des Frontends (was allerdings etwas angenehmer gewesen wäre).

Wenn man danach googelt, bekommt man lediglich gehakte Shops aufgelistet, auch viele Shops der Version v3.0.4 SP2.1.

Es gibt kaum(derzeit keinen) Eintrag zur Nennung/Behandlung des Problems in einem Forum oder so. Vielleicht ist dies erst die Tage aufgetreten?

Hat jemand Kenntnis hiervon, Tipps, Tricks, Hinweise oder gar selbst festgestellt?

[mzanier]

Dies betrifft derzeit nur ungepatchte SP1 und Sp2.1 Versionen.

Fälle von aktuellen Sp2.1 Versionen mit Sicherheitspatches sind uns derzeit nicht bekannt.

Wir empfehlen (schon seit über einem Jahr) dringende Updates auf aktuelle Versionen.

[DavidHustlehoff]

Unser Shop und weit mehr als 1000 wurden weltweit gehacked...

Hier die Meldung:

http://www.cytracon.net/2009/04/20/hacked-by-keremhan/

Hier eine Liste der Shops:

http://www.zone-h.org/archive/defacer=KEREMHAN

Ich kann bisher noch keine schädliche Datei auf unserem Server finden, wäre über Hilfe mehr als erfreut...

Shopsystem ist v3.0.4 SP2.1

[redmedia]

Habe das selbe Problem mit einem Kundeshop. Hat wer eine Lösung bzw. weiss jemand was genau gehackt wurde bzw. welche Dateien Betroffen sind?

[DavidHustlehoff]

Hier ist auch einiges erklärt:

http://www.********************************************************.de/r57.php.c99shellC-Virus-Hack-SQL-Injections.Angriffe-auf-xt-commerce-shop-systeme.php

Leider oder Gott sei Dank kann ich keinen Shell Zugriff feststellen und bei mir war nur die Index Seite geändert. Trotzdem muss KEREMHAN Adminzugriff gehabt haben?!

Bloß wie...? Jedenfalls nicht wie oben beschrieben?!

[redmedia]

habt ihr evtl. amicron installiert? das script wurde auf unserem server extrem aof aufgerufen?

[DavidHustlehoff]

Nein nichts dergleichen. Ich hab mal das Sicherheitsupdate vom 20.11.2008 aufgespielt evtl lag es daran?

[mzanier]

Nein nichts dergleichen. Ich hab mal das Sicherheitsupdate vom 20.11.2008 aufgespielt evtl lag es daran?

ja, ohne sicherheitspatch ist klar das eine lücke ausgenutzt werden konnte.

Dafür gibt es schließlich Sicherheitsupdates.

[DavidHustlehoff]

ja, ohne sicherheitspatch ist klar das eine lücke ausgenutzt werden konnte.

Dafür gibt es schließlich Sicherheitsupdates.

War diese Sicherheitslücke für den Angriff und die Änderung der Index Seite verantwortlich? Bzw. ist es damit möglich gewesen?

[mzanier]

War diese Sicherheitslücke für den Angriff und die Änderung der Index Seite verantwortlich? Bzw. ist es damit möglich gewesen?

war damit möglich ja. (sqj injection).

[DavidHustlehoff]

Kurzer Nachtrag der Warenkorb war auch betroffen, shopping_cart.php - Weiter auf Fehlersuche...

Thx an Mzanier

[willi1234]

Hallo zusammen,

ich leese gerade mit erschrecken den Beitrag, wie kann ich denn feststellen ob die Patches in meinen Shop installiert sind.

Unter den Credits bekomme ich die Version xt:Commerce v3.0.4 SP2.1 angezeigt, heist das jetzt der Patch ist installiert oder muss ich hier noch was nachholen?

[DavidHustlehoff]

Vergleiche die Patch Dateien mit denen auf deinem Server, z.B. mit Winmerge. Dann weißt du ziemlich sicher ob du das Sicherheitsupdate schonmal eingespielt hast

Ich war mir auch nicht sicher^^ hatte es aber tatsächlich versäumt.

@Admin: Wäre mehr als nett, wenn man sich in eine Security Mailingliste eintragen könnte. Um immer auf neuie Sicherheitslücken hingewiesen zu werden.

[willi1234]

wo ist denn der Link bzw. wo finde ich die updates?

[nanu]

also ne mailingliste ist nicht notwendig. Im Adminberich gibt es schliesslich die News, und wenn Sicherheitspatches rauskommen, steht das da gross drin, mit dem entsprechenden Link zum Download!! Steht uebriegens noch immer drin !!

Fuer alle, die sich unsicher sind. Wer seinen Shop hier nach dem 27.9. runtergladen hat hat einen gepatchten shop, und muss sich keine Sorgen machen.

Wer allerdings davor installiert hat oder seinen Shop aus andern Quellen hat der muss tatsaechlich forschen.

Den patch gibt hier:

http://xt-commerce.com/forum/showthread.php?p=260691#post260691

[piru]

also ne mailingliste ist nicht notwendig. Im Adminberich gibt es schliesslich die News, und wenn Sicherheitspatches rauskommen, steht das da gross drin, mit dem entsprechenden Link zum Download!! Steht uebriegens noch immer drin !!

Fuer alle, die sich unsicher sind. Wer seinen Shop hier nach dem 27.9. runtergladen hat hat einen gepatchten shop, und muss sich keine Sorgen machen.

Wer allerdings davor installiert hat oder seinen Shop aus andern Quellen hat der muss tatsaechlich forschen.

Den patch gibt hier:

http://xt-commerce.com/forum/showthread.php?p=260691#post260691

über den Patch von 2007 der du meinst wüsste ich nicht, ich wüsste nur von dem 20.11.08: Sicherheitsrisiko: Hoch (bei aktivierten SEO Urls und aktivierten magic_quotes)

Ich dachte support Kunden bekommen die Patchs per Email (den Hinweiß), so wie das letzte Mal am 20.11.08.....

[kschfr]

Hallo,

mein Shop, Vers. 304SP2.1, vom 6/2008 ist noch nicht online, daher keine derartigen Probleme.

Nun wollte ich mir das Sicherheitsupdate downloaden, erhalte aber hier nur einen

gezipten, leeren Ordner.

Kann mir jemand helfen??

Karlheinz

[pettidi1]

Habe versucht Sicherheitspatch für Version 3.0.4 Sp2.1 von hier:

http://www.xt-commerce.com/blog/xtcommerce-news/sicherheitspatch-fuer-version-304-sp21.html

herunterzuladen. Das File scheint korrupt zu sein. Gibt es hierzu eine Lösung?

Danke und Gruss

Marco

[Der_Wolfjrs]

Hallo Leute,

ein Shop den ich betreue wurde auch gehackt.

Die IP des Hackers kommt aus der Türkei und der Täter hat per SQL Injection die Passwörter der User ausgelesen, sich dann als Admin eingeloggt und in den Ordner import die Dateien c100.php, c99.php, 2.6.24=2009 abgelegt.

Mit den Dateien c100 und c99 hatte der dann direkten Zugriff auf den Server.

Vielleicht helfen euch diese Informationen.

Grüße Jens

[pettidi1]

Hallo Jens

bin extra nochmal aufgestanden, nachdem ich Deine Nachricht aufs Handy geliefert bekam. Diese Dateien sind bei mir nicht vorhanden. Es wurde scheinbar "nur" die Startseite verändert:

This System Hacked By Gray_Wolf

Turkish Hacker

war das bei Dir auch der? Was war in den Files genau drin?

Ein Download der Patchfiles wäre sehr hilfreich.

Hoffe, dass sich morgen früh was tut.

Grüsse und gute Nacht

[Der_Wolfjrs]

Hallo pettidi1,

ja, bei mir wurde auch nur die Startseite geändert.

Die Dateien c99.php und c100.php enthalten laut Virenscanner das Erkennungsmuster des PHP-Virus C99Shell.B . Die Datei 2.6.24=2008 ist eine Binärdatei – keine Ahnung was die macht.

Gefunden habe ich die Dateien nachdem ich den kompletten Shop per FTP runtergeladen habe und mit einem Virenscanner durchleuchtet habe.

Danach war es relativ einfach in den Logfiles des Servers die Einträge des Hackers zu finden.

Achtet beim Suchen auf ausführbare Dateien an ungewöhnlichen Orten und bedenkt, wenn der Hacker wie bei mir das Admin-Passwort herausgefunden hat, ist eine geänderte Startseite das geringste Problem.

Grüße Jens

[schuele2]

hallo,

ich hatte vor einiger zeit auch das problem der injektion.

nachdem ich nun hier im forum die berichte über gehackte shops gelesen habe, habe ich mich auch mal wieder auf die suche begeben. dabei habe ich in meinem importverzeichnis folgende 2 dateien gefunden:

order99.php und offers57.php

kennt die schon jemand und haben die etwas mit hacking zu tun, oder gehören die einfach dort hin? ist mir bisher nicht aufgefallen...

grüße.

[John Steed]

@my-dogshop.de:

Das Problem dabei ist das niemand wissen kann welches System hinter der Page steckt.

Bei einem Shopsystem mit bekannten Sicherheitslücken ist mir klar das daß System gehackt werden kann, aber bei einer Homepage finde ich ist das mal was ganz neues.

Steht doch da: Site Assistant! Hätte man auch so rausbekommen, die Cracker sind ja nicht doof...

Kurze Recherche (Allgemein: Gurgel-Suche nach "Anwendungsname exploit") ergibt diverse Möglichkeiten, bzw. "bekannte Sicherheitslücken", mit denen dieses System angegriffen werden kann.

@schuele2:

order99.php und offers57.php

kennt die schon jemand und haben die etwas mit hacking zu tun, oder gehören die einfach dort hin?

Die gehören da definitiv *NICHT* hin, im Ordner /import/ ist normalerweise (wenn man nie was importiert) nur eine index.html und sonst nichts! Sind (wie auch die anderen genannten Files) sog. PHP-Shells. Vereinfacht gesagt: Dateimanager für den Server, mit denen man u.U. vollen Zugriff aufs Dateisystem des Servers bekommt...

Eine gehärtete PHP-Konfiguration lässt solche Angriffe allerdings ins Leere laufen:

http://www.heise.de/security/Grundsicherung-fuer-PHP-Software--/artikel/96564/1

Wichtig ist als Schutz, register_globals und allow_url_fopen bzw. bei neueren Versionen allow_url_include auf off zu stellen! Der aktuelle xt:C hat mit so einer Konfiguration überhaupt keine Probleme.

Daneben natürlich ebenso wichtig: Immer die aktuellsten Versionen der verwendeten Systeme benutzen und sich über Patches und Updates auf dem Laufenden zu halten! Und natürlich ein sauberes Backup zuhaus auf dem Rechner zu haben, so dass man im Falle eines Falles wenigstens die Anwendungen ohne grosse Mühe wiederherstellen kann!

Sichere und alle paar Tage/Wochen mal geänderte Passwörter mit mindestens 10, besser 12 Zeichen für Shop-Admin, Datenbank und FTP-Zugang (natürlich *nicht* immer dasselbe!!!!!) helfen auch.

Und glaubt ja nicht, das Euch sowas nicht passieren kann nach dem Motto "Wer will denn schon meine Seite cracken?" - Solche Angriffe passieren ständig, grösstenteils automatisiert und in ganz grossem Stil! Gerade SQL-Injections und Remote File Inclusions sind zurzeit modern - ich kann z.B. die Versuche, über das seit längerem bekannte xt:C-Leck im Suchformular (schon längst gepatcht!) die User-Datenbank auszulesen, schon gar nicht mehr zählen...

Cheers,

IaN

[Vio]

Hallo,

das mit den zu verändernden Passwörtern scheitert ja meistens an dem inneren "Schweinehund". Und man fängt erst damit an, wenn ein Schaden eingetreten ist.

Ganz gut und hilfreich dafür finde ich Keepass Passwortsafe. http://keepass.info/index.html ist open source und läuft auch in beta Version stabil.

Grüße

Vio

[Power-Modding]

Ich hab seit heute ebenfalls die Meldung das der Shop von grey_wolf gehackt wurde.

Ich bin auf dem Gebiet ziemlicher Leihe. Was muss ich machen um schlimmeres zu verhindern? Könnt Ihr das Schritt für Schritt erklären? Ich weiß noch nichtmal wie ich die Version vom Shop rausfinden kann geschweige denn welche Updates eingespielt wurden.

Dateien wie c100.php, c99.php, order99.php oder offers57.php konnte ich nicht finden auf dem System. Ich hab über den FTP alles runtergeladen und durch Antivir gejagt aber auch hier findet er nichts verdächtiges.

Danke & Gruß Peter