Seit dem 26. Juli werden deutsche Webshops, die OS-Commerce-Software einsetzen, von unbekannten Hackern angegriffen. Über eine Schwachstelle konnten die Angreifer bereits rund 300 Webshops infizieren, die in der Folge Malware verbreiten. Die Betreiber der Webshops sollten diese technisch sofort auf den neusten Stand bringen und im Auge behalten. Näheres dazu berichtete vor kurzem iBusiness.
Im Blog von Armorize ist die Infizierung genau beschrieben: Infizierte Shopsysteme enthalten entweder einen eingebetteten iframe mit URL auf willysy.com oder direkt am TITLE-Tag eine Script -Einbettung mit URL von exero.eu. Es gibt sogar ein Video bei Armorize, das den Vorgang beschreibt, wie infizierte Seiten die Malware (’update.exe’) eines russischen Servers verbreiten. Auch Abkömmlinge OS-Commerce wie Zen-cart sind gegenüber dem Angriff verwundbar.
Bei nicht erfolgreicher Infektion per Script-Einbettung taucht dessen Code im Title der Shops auf (Abbildung von blog.armorize.com, dort sind noch weitere Beispiele zu sehen). Wie ein befallener Shop gesäubert werden kann, ist leider nicht befriedigend beschrieben. Der Tipp in den Kommentaren, den Eintrag im STORE_NAME Schlüssel der Konfigurationstabelle zu korrigieren, scheint nicht bei allen befallenen Systemen zu helfen.
iBusiness hat ein Update veröffentlicht:
>>Einen Schutz vor einer Infektion des eigenen System bietet das Entfernen der Filemanager-Applikation file_manager.php sowie der Schutz des Admin-Verzeichnisses durch eine .htaccess-Datei. Seit einiger Zeit ist OS-Commerce in der Standardeinstellung hier nur noch durch ein internes Loginverfahren geschützt, die Programme des Admin-Moduls sind aber prinzipiell öffentlich Aufrufbar und damit für einen Script-Angriff erreichbar. Durch den zusätzlichen Passwortschutz via .htaccess wird das behoben. <<
Ich habe bereits im letzten Jahr diese Bedrohungen antizipiert und mit dem Anbieter Art of Defence ein Interview zum Thema Schutz von Web Applications geführt.
(Die Redaktion dankt Shopanbieter.de für Informationen.)
