Drucken

Bitte loggen sie sich ein oder registrieren sie sich.
1 Stunde 1 Tag 1 Woche 1 Monat Immer
Einloggen mit Benutzername, Passwort und Sitzungslänge

[adrach]

Hallöle, guten Tag und nachträglich noch ein frohes Fest.

Ich möchte ein kleines Problemchen schildern, wo ich leider keinen richtigen Ansatzpunkt finde.

Ich bekam heute von der Technik meines Anbieters eine Mail mit der Info,
das auf meinem Webspace sicherheitskritische Skripte in folgendem Ordner festgestellt wurden:
html/images/banner

Enthalten war darin ein kleines PHP-Script.

Die entsprechenden Dateien habe ich bis auf die index.html gelöscht und den Ordner banner auf 444 gesetzt.

Installiert wurde die Version xt:Commerce v3.0.4 SP1.

Leider wurde mir nicht mitgeteilt, was da nun so sicherheitskritisch gewesen sein soll.

Muss ich nun das ganze System deinstallieren und noch einmal neu aufsetzen?
Es wurde durch den Anbieter noch mitgeteilt, das die betroffene Software gelöscht oder durch eine fehlerbereinigte Version ersetzt werden muss.

Vielen Dank für Eure Mühe.

Viele Grüße - Erwin

[Bierbaron]

Hallo Erwin,

das mit dem 444 ist schonmal gut 

Seit einiger Zeit (bei mir gings im September 2011 los) laufen recht groß angelegte Angriffsversuche auf osCommerce-Systeme und alle deren Abkömmlinge, die versuchen, über die admin/banner_manager.php quasi durch die Hintertür Scripte auf den angegriffenen Servern zu installieren.

Hast Du eine "originale" 3.04 oder hast Du immer brav alle Sicherheitsupdates (die es hier im Forum ja gibt) eingespielt? Im letzten Fall sollte eigentlich nichts passieren, da die Updates vor Allem das Reinigen von per GET übergebenen Variablen betreffen.

Egal wie, wenn Du den Banner-Manager gar nicht benutzt, kannst Du die Datei auch einfach löschen und hast ein potentielles Sicherheitsleck weniger.

Cheers,
IaN

[genndus]

Hallo,

ist das noch ein Originales xtc 304sp2.1 ?
Wenn ja sollten da unbedingt die Sicherheitspatches rein.

Vermute das da nicht nur 1 Datei von betroffen ist, es sei den das wäre schon gleich am Anfang aufgefallen.
Meistens wird nach und nach immer fieseres Zeug nachgeladen.
Im Anhang ist eine PHP Datei die kannst Du auf den Webspace laden und aufrufen, die findet nicht alles aber so manches schon.
In Joomla hat’s allerdings in ein paar Java scripts falschen Alarm gegeben.
Wenn Du einen guten Virenscanner hast kannst Du mal Dein gesamtes html Verzeichnis per FTP auf den PC laden.
Da verschwindet beim runterladen wahrscheinlich einiges in Quarantäne.
Die .htaccess Dateien nicht vergessen die Sieht man nicht auf jedem Webspace. manchmal hilft das Ändern der entsprechenden Einstellung im ftp client für versteckte Dateien. Ansonsten den runterladen Button drücken und den Dateinamen von hand eingeben.
Wenn eins von beiden Viren meldet, am besten erst mal einen Passwortschutz ans Hauptverzeichnis vom Webspace.
Dann alle Dateien bereinigen und was gar nicht hin gehört löschen.
Ein sauberes Backup der Dateien kann da viel Arbeit sparen.

Beim letzten xtc304sp2.1 war in jeder .htaccess
<IfModule mod_php5.c>
php_value auto_append_file "google_verify.php"
</IfModule>

<IfModule mod_php4.c>
php_value auto_append_file "google_verify.php"
</IfModule>

Und in
new_products_default.html   Gefunden: Trojan-Downloader.JS.Iframe.cqj
main_content.html   Gefunden: Trojan-Downloader.JS.Iframe.cqj
index.html   Gefunden: Trojan-Downloader.JS.Iframe.cqj
google_verify.php   Gefunden: Trojan-Downloader.JS.Iframe.cqj
shop.php   Gefunden: Backdoor.PHP.PhpShell.ck
main.php   Gefunden: Trojan-Downloader.JS.Iframe.cqj
script.js   Gefunden: Trojan-Downloader.JS.Iframe.cqj
prototype.js   Gefunden: Trojan-Downloader.JS.Iframe.cqj
index.php   Gefunden: Trojan-Downloader.JS.Iframe.cqj
scriptaculous.js   Gefunden: Trojan-Downloader.JS.Iframe.cqj
lightbox.js   Gefunden: Trojan-Downloader.JS.Iframe.cqj
lightbox-web.js   Gefunden: Trojan-Downloader.JS.Iframe.cqj
effects.js   Gefunden: Trojan-Downloader.JS.Iframe.cqj
builder.js   Gefunden: Trojan-Downloader.JS.Iframe.cqj
default.php   Gefunden: Trojan-Downloader.JS.Iframe.cqj
general.js   Gefunden: Trojan-Downloader.JS.Iframe.cqj
emos32_xtc.js   Gefunden: Trojan-Downloader.JS.Iframe.cqj
admin_main2.php   Gefunden: Backdoor.Linux.PHP.b
139.php   Gefunden: Backdoor.PHP.C99Shell.m
137.php   Gefunden: Backdoor.PHP.Rst.bl
123.php   Gefunden: Backdoor.PHP.C99Shell.m
htaccess-404_0.php   Gefunden: Backdoor.PHP.C99Shell.ff

Nur eben etliches mehrfach in Unterverzeichnissen verteilt.
Datenbank auch sichern im Texteditor öffnen und ebenfalls nach base 64 Code irgendwelchen java scripts die da nicht rein gehören oder sonstigen verdächtigen Sachen durchsuchen.

Bevor Du den Shop wieder frei gibst alle Sicherheitspatches installieren.
In der .htaccess im Shopverzeichnis kannst Du noch folgende Einträge unterbringen.
   RewriteEngine On

 ServerSignature Off
 Options All -Indexes
 
 # Diverse xtc Hackversuche abweisen.
 RewriteCond %{QUERY_STRING} ^(.*)action=(http|https|ftp)://(.*)$ [NC]
 RewriteRule ^.* - [F]
 
 RewriteCond %{QUERY_STRING} ^(.*)coID=(http|https|ftp)://(.*)$ [NC]
 RewriteRule ^.* - [F]
 
 RewriteCond %{QUERY_STRING} ^(.*)XTCsid=(http|https|ftp)://(.*)$ [NC]
RewriteRule ^.* - [F]

RewriteCond %{QUERY_STRING} ^(.*)action=http://(.*)$ [NC]
RewriteRule ^.* - [F]

LG
genndus