Sicherungsmaßnahmen gegen osCommerce Hacking

Kurz ein Bericht aus der Praxis zu einem dreisten Fall von osCommerce Hacking. Ein osCommerce 2.2 Shop wies merkwürdiges Verhalten auf und war – wie sich herausstellte – auch wirklich von einem Angreifer gehacked worden. Auf allen Seiten wurden über die index.php unerwünschte Links im Footer-Bereich angezeigt. Diese wurden über ein obfuscated Javascript erzeugt, das seinen Zweck verschleiern wollte. Die Veränderungen in den betroffenen Dateien ließen sich nicht ohne weiteres entfernen und erschienen immer wieder. Denn wurden dynamisch über verschiedene andere Files erzeugt, die auf dem System in verschiedenen Ordnern versteckt waren. Bei diesem Hack fand keine SQL-Injection als Angriff auf die Datenbank statt, der Angreifer wollte Zugang zu den Files auf dem Server erlangen.

Folgende schadhafte Files wurden angelegt:
/other/off.php
/temp/links.db
thumbs.php

Dazu wurden dynamisch mehrere Dateien im Format goog1e2a3e15b295645a.php im root Folder generiert, in denen eine Art Browser-Konsole für den FTP-Zugriff lag. Im Header befand sich übrigens der Kommentar „# Web Shell by boff“ (danach lässt sich nach einem Hack lokal in den Files suchen).

Die erste und wichtigste Maßnahme zum Schließen dieser osCommerce Sicherheitslücke besteht im Absichern des Backends mit einem Passwortschutz über .htaccess. Eine Anleitung mit verschiedenen Möglichkeiten dafür findet sich unter http://www.oscommerce.info/confluence/pages/viewpage.action?pageId=1576797 Denn in einem ungesicherten Backend gibt es eine Fülle von Dateien, die in der Vergangenheit bereits in massenhaften Hacks attackiert wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.