Wie entwickelt man als Marketing-Entscheider In-Time und In-Budget Crossmedia, ohne die eigene IT-Abteilung zu überfordern?
Jetzt zum Webinar anmelden
Whitepaper: Anwendungsbeispiele zum Big-Data-Einstieg mit Open-Source bei Unternehmen > 200 Mitarbeitern
Gratis-Download

OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern

28.07.11 Seit Dienstag Nacht läuft eine Angriffswelle gegen das Shop-System OS-Commerce Relation Browser . Betroffen sind bereits hunderte deutscher Onlineshops, international sind es tausende. In der Folge verbreiten diese Shops Malware an ihre Besucher.

 (Bild: clean-mx.de)
Bild: clean-mx.de
Entdeckt wurde die Angriffswelle in der Nacht zum Mittwoch von Gerhard Recher Gerhard Recher in Expertenprofilen nachschlagen , dem Betreiber der Spamfilter-Lösung Clean-MX Relation Browser . Bis Mittwoch Mittag konnte er bereits 294 deutsche Onlineshops identifizieren, die von dem Angriff betroffen sind und seit dem missbraucht werden, eine Malware an alle Besucher ihrer Shops weiter zu reichen. Die Infektion zeigt sich meist durch einen im Titel-Tag der betroffenen Seiten eingefügten IFrame, in vielen Fällen wurde der Schadcode aber auch schon an anderen Positionen gesichtet.

Ramos Peter Strzygowski Ramos Peter Strzygowski in Expertenprofilen nachschlagen , Geschäftsführer der Screengarden Informationsdesign Relation Browser Dienstleister-Dossier einsehen und OS-Commerce-Experte bestätigte gegenüber iBusiness, dass es sich um eine neue Sicherheitslücke handelt, für die noch kein Patch verfügbar ist. Daher ist auch noch unklar, auf welchem Weg die Malware in die Systeme gelangt. Wahrscheinlich ist allerdings eine SQL-Injection. Strzygowski vermutet, dass neben den aktuellen OS-Commerce-Versionen auch Abkömmlinge wie Zen-cart Relation Browser für den Angriff offen sind.

 (Bild: cleam-mx.de)
Bild: cleam-mx.de
Das Security-Blog Armorize zur Homepage dieses Unternehmnes Relation Browser hat ebenfalls eine Analyse durchgeführt und zeigt, wie sich die Infektion auf den Besucher-PCs einnistet.

 (Bild: clean-mx.de)
Bild: clean-mx.de
OS-Commerce-Anwender können Ihre Systeme auf Befall testen, in dem sie den Quellcode der Shop-Seiten auf verdächtige Iframes untersuchen. Die Code-Beispiele haben wir aus Sicherheitsgründen als Bilder hinterlegt. Vor dem Besuch der eigenen Seite sollte zudem zwingend Javascript im Browser deaktiviert werden, um eine Infektion des eigenen Client-Systems zu vermeiden.

Update: Angreifer kommt vermutlich über file_manager.php


Einen Schutz vor einer Infektion des eigenen System bietet nach Recherchen von Gerhard Recher das Entfernen der Filemanager-Applikation file_manager.php sowie der Schutz des Admin-Verzeichnisses durch eine .htaccess-Datei. Seit einiger Zeit ist OS-Commerce in der Standardeinstellung hier nur noch durch ein internes Loginverfahren geschützt, die Programme des Admin-Moduls sind aber prinzipiell öffentlich Aufrufbar und damit für einen Script-Angriff erreichbar. Durch den zusätzlichen Passwortschutz via .htaccess wird das behoben.

Der aktuellen Verlauf der Infektionswelle lässt sich auf einem Viruswetter-Chart der Clean-MX-Betreiber (Weltweit) zur Homepage dieses Unternehmnes Relation Browser und für Deutschland zur Homepage dieses Unternehmnes Relation Browser live verfolgen.

(Autor: Daniel Treplin)

In diesem Beitrag genannt:

Tags: [bisher keine Tags]
Trackbacks / Kommentare
kein Bild hochgeladen Von: Tobias Bär, IT-Service Zu: OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern 28.07.11
Zitat:
Die Infektion zeigt sich meist durch einen
im Titel-Tag der betroffenen Seiten
eingefügten IFrame, in vielen Fällen wurde
der Schadcode aber auch schon an anderen
Positionen gesichtet.

In dem abgebildeten Fall ist das IFrame (was vermutlich in der inkludierten Javascript-Datei eingefügt wird?) NICHT im title-Tag, denn der ist vor dem Script beendet. Man darf sich nicht irritieren lassen, dass anschließend noch ein weiterer leerer title-Tag folgt.
Daniel Treplin Von: Daniel Treplin Expertenprofil , HighText Verlag Relation Browser Zu: OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern 29.07.11
Hallo Herr Bär,

doch, der Schadcode ist im ursprünglichen Title-Tag. In den Content des bestehenden Titel-Tag wir folgender Schadcode eingefügt:

</title>(schadcode-script)<title>

Das sieht dann zwar so aus. als käme es danach, steht aber im System in dem Textfeld, das OS-Commerce als Title-Tag-Inhalt benutzt.
Artikel Weiterempfehlen
Empfehlen Sie diesen Artikel an Kollegen oder Freunde weiter.
Alle Meldungen vom 28.07.11:
Premium-Inhalt Der große Marketingfrust: Welches Potenzial für Agenturen im Handel liegt (28.07.11)
Premium-Inhalt Fast schon wie eine schriftliche Einladung (28.07.11)
OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern (28.07.11)
Videostreaming wächst weltweit um 93 Prozent (28.07.11)
Onlinestrategie kostet Media-Saturn 3.000 Arbeitsplätze (28.07.11)
Studie: Jeder zweite Gamer in Deutschland ist eine Frau (28.07.11)
Mobile Payment: Deutsche Banken verpassen Einstieg in Milliardenmarkt (28.07.11)
Einstieg in den Re-Commerce: Ebay führt Elektronik-Sofortverkauf ein (28.07.11)
Software erkennt Spam-Kommentare und gefakte Bewertungen (28.07.11)
Google Plus: Google erklärt Traffic-Rückgang mit wachsender Mobilnutzung (28.07.11)
TK-Industrie wirbt sehr viel mehr (28.07.11)
Test vergibt an App-Stores schleche Noten (28.07.11)
Preise von etablierten Domains bleiben stabil (28.07.11)
Amazon wächst in Deutschland überduchschnittlich (28.07.11)
Künstlersozialkasse muss Blogger versichern (28.07.11)
Tweets an die Bahn: Nur einer von zehn ist positiv (28.07.11)
Digital Guru stärkt Technologieberatung (28.07.11)
Japanische ECommerce-Gruppe kauft DuMont Venture-Beteiligung Tradoria (28.07.11)
Wettbewerb für Social Media gestartet (28.07.11)
Premium-Inhalt Ausschreibung: Onlineportal, Intranet (28.07.11)
Premium-Inhalt Ausschreibung: Webportale (28.07.11)
Premium-Inhalt Ausschreibung: Weiterentwicklung Onlineportal (28.07.11)
Premium-Inhalt Ausschreibung: Open Government (28.07.11)
Premium-Inhalt Ausschreibung: Web- und SAP-Beratung (28.07.11)
Premium-Inhalt Ausschreibung: Produktion didaktische DVD (28.07.11)
Premium-Inhalt Ausschreibung: IT-Dienste (28.07.11)
Premium-Inhalt Ausschreibung: Softwarepflege und -wartung (28.07.11)
Premium-Inhalt Ausschreibung: NAS-System (28.07.11)
Premium-Inhalt Ausschreibung: Druckdienste (28.07.11)

Für diesen Seite von iBusiness steht eine Mobile Ansicht zur Verfügung.
Umleiten?