Wie man hier Fallstricke vermeidet und Agentur wie Kunden zur High-Performance bringt, zeigt das iBusiness-Webinar
Chatbots als Shopersatz? Make, buy or Integrate?
Wie die Zukunft der Online-Kommunikation zwischen Kunden und Unternehmen aussieht.
Whitepaper abrufen

OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern

28.07.11 Seit Dienstag Nacht läuft eine Angriffswelle gegen das Shop-System OS-Commerce zur Homepage dieses Unternehmes Relation Browser . Betroffen sind bereits hunderte deutscher Onlineshops, international sind es tausende. In der Folge verbreiten diese Shops Malware an ihre Besucher.

 (Bild: clean-mx.de)
Bild: clean-mx.de
Entdeckt wurde die Angriffswelle in der Nacht zum Mittwoch von Gerhard Recher Gerhard Recher in Expertenprofilen nachschlagen , dem Betreiber der Spamfilter-Lösung Clean-MX zur Homepage dieses Unternehmes Relation Browser . Bis Mittwoch Mittag konnte er bereits 294 deutsche Onlineshops identifizieren, die von dem Angriff betroffen sind und seit dem missbraucht werden, eine Malware an alle Besucher ihrer Shops weiter zu reichen. Die Infektion zeigt sich meist durch einen im Titel-Tag der betroffenen Seiten eingefügten IFrame, in vielen Fällen wurde der Schadcode aber auch schon an anderen Positionen gesichtet.

Ramos Peter Strzygowski Ramos Peter Strzygowski in Expertenprofilen nachschlagen , Geschäftsführer der Screengarden Informationsdesign zur Homepage dieses Unternehmes Relation Browser Dienstleister-Dossier einsehen und OS-Commerce-Experte bestätigte gegenüber iBusiness, dass es sich um eine neue Sicherheitslücke handelt, für die noch kein Patch verfügbar ist. Daher ist auch noch unklar, auf welchem Weg die Malware in die Systeme gelangt. Wahrscheinlich ist allerdings eine SQL-Injection. Strzygowski vermutet, dass neben den aktuellen OS-Commerce-Versionen auch Abkömmlinge wie Zen-cart zur Homepage dieses Unternehmes Relation Browser für den Angriff offen sind.

 (Bild: cleam-mx.de)
Bild: cleam-mx.de
Das Security-Blog Armorize zur Homepage dieses Unternehmes Relation Browser hat ebenfalls eine Analyse durchgeführt und zeigt, wie sich die Infektion auf den Besucher-PCs einnistet.

 (Bild: clean-mx.de)
Bild: clean-mx.de
OS-Commerce-Anwender können Ihre Systeme auf Befall testen, in dem sie den Quellcode der Shop-Seiten auf verdächtige Iframes untersuchen. Die Code-Beispiele haben wir aus Sicherheitsgründen als Bilder hinterlegt. Vor dem Besuch der eigenen Seite sollte zudem zwingend Javascript im Browser deaktiviert werden, um eine Infektion des eigenen Client-Systems zu vermeiden.

Update: Angreifer kommt vermutlich über file_manager.php


Einen Schutz vor einer Infektion des eigenen System bietet nach Recherchen von Gerhard Recher das Entfernen der Filemanager-Applikation file_manager.php sowie der Schutz des Admin-Verzeichnisses durch eine .htaccess-Datei. Seit einiger Zeit ist OS-Commerce in der Standardeinstellung hier nur noch durch ein internes Loginverfahren geschützt, die Programme des Admin-Moduls sind aber prinzipiell öffentlich Aufrufbar und damit für einen Script-Angriff erreichbar. Durch den zusätzlichen Passwortschutz via .htaccess wird das behoben.

Der aktuellen Verlauf der Infektionswelle lässt sich auf einem Viruswetter-Chart der Clean-MX-Betreiber (Weltweit) zur Homepage dieses Unternehmes Relation Browser und für Deutschland zur Homepage dieses Unternehmes Relation Browser live verfolgen.

(Autor: Daniel Treplin)

Anzeige

Ausgewählte Agenturen und Dienstleister zu diesem Themenbereich

In diesem Beitrag genannt:

Tags: [bisher keine Tags]
Trackbacks / Kommentare
kein Bild hochgeladen Von: Tobias Bär Expertenprofil , IT-Service Zu: OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern 28.07.11
Zitat:
Die Infektion zeigt sich meist durch einen
im Titel-Tag der betroffenen Seiten
eingefügten IFrame, in vielen Fällen wurde
der Schadcode aber auch schon an anderen
Positionen gesichtet.

In dem abgebildeten Fall ist das IFrame (was vermutlich in der inkludierten Javascript-Datei eingefügt wird?) NICHT im title-Tag, denn der ist vor dem Script beendet. Man darf sich nicht irritieren lassen, dass anschließend noch ein weiterer leerer title-Tag folgt.
Daniel Treplin Von: Daniel Treplin Expertenprofil , HighText Verlag Relation Browser Zu: OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern 29.07.11
Hallo Herr Bär,

doch, der Schadcode ist im ursprünglichen Title-Tag. In den Content des bestehenden Titel-Tag wir folgender Schadcode eingefügt:

</title>(schadcode-script)<title>

Das sieht dann zwar so aus. als käme es danach, steht aber im System in dem Textfeld, das OS-Commerce als Title-Tag-Inhalt benutzt.
Artikel Weiterempfehlen
Empfehlen Sie diesen Artikel an Kollegen oder Freunde weiter.
Alle Meldungen vom 28.07.11:

Für diesen Seite von iBusiness steht eine Mobile Ansicht zur Verfügung.
Umleiten?