OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern
28.07.11 Seit Dienstag Nacht läuft eine Angriffswelle gegen das Shop-System OS-Commerce 
. Betroffen sind bereits hunderte deutscher Onlineshops, international sind es tausende. In der Folge verbreiten diese Shops Malware an ihre Besucher.
, dem Betreiber der Spamfilter-Lösung Clean-MX
. Bis Mittwoch Mittag konnte er bereits 294 deutsche Onlineshops identifizieren, die von dem Angriff betroffen sind und seit dem missbraucht werden, eine Malware an alle Besucher ihrer Shops weiter zu reichen. Die Infektion zeigt sich meist durch einen im Titel-Tag der betroffenen Seiten eingefügten IFrame, in vielen Fällen wurde der Schadcode aber auch schon an anderen Positionen gesichtet.
Ramos Peter Strzygowski , Geschäftsführer der Screengarden Informationsdesign 
und OS-Commerce-Experte bestätigte gegenüber iBusiness, dass es sich um eine neue Sicherheitslücke handelt, für die noch kein Patch verfügbar ist. Daher ist auch noch unklar, auf welchem Weg die Malware in die Systeme gelangt. Wahrscheinlich ist allerdings eine SQL-Injection. Strzygowski vermutet, dass neben den aktuellen OS-Commerce-Versionen auch Abkömmlinge wie Zen-cart
für den Angriff offen sind.
hat ebenfalls eine Analyse durchgeführt und zeigt, wie sich die Infektion auf den Besucher-PCs einnistet.
Update: Angreifer kommt vermutlich über file_manager.php
Einen Schutz vor einer Infektion des eigenen System bietet nach Recherchen von Gerhard Recher das Entfernen der Filemanager-Applikation file_manager.php sowie der Schutz des Admin-Verzeichnisses durch eine .htaccess-Datei. Seit einiger Zeit ist OS-Commerce in der Standardeinstellung hier nur noch durch ein internes Loginverfahren geschützt, die Programme des Admin-Moduls sind aber prinzipiell öffentlich Aufrufbar und damit für einen Script-Angriff erreichbar. Durch den zusätzlichen Passwortschutz via .htaccess wird das behoben.
Der aktuellen Verlauf der Infektionswelle lässt sich auf einem Viruswetter-Chart der Clean-MX-Betreiber (Weltweit)
und für Deutschland
live verfolgen.
(Autor: Daniel Treplin)
In diesem Beitrag genannt:
| Von: Tobias Bär, IT-Service | Zu: OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern | 28.07.11 |
Zitat: Die Infektion zeigt sich meist durch einen im Titel-Tag der betroffenen Seiten eingefügten IFrame, in vielen Fällen wurde der Schadcode aber auch schon an anderen Positionen gesichtet. In dem abgebildeten Fall ist das IFrame (was vermutlich in der inkludierten Javascript-Datei eingefügt wird?) NICHT im title-Tag, denn der ist vor dem Script beendet. Man darf sich nicht irritieren lassen, dass anschließend noch ein weiterer leerer title-Tag folgt. | ||
|
Von: Daniel Treplin
, HighText Verlag
|
Zu: OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern | 29.07.11 |
Hallo Herr Bär, doch, der Schadcode ist im ursprünglichen Title-Tag. In den Content des bestehenden Titel-Tag wir folgender Schadcode eingefügt: </title>(schadcode-script)<title> Das sieht dann zwar so aus. als käme es danach, steht aber im System in dem Textfeld, das OS-Commerce als Title-Tag-Inhalt benutzt. | ||
Schreiben Sie Ihre Meinung, Erfahrungen, Anregungen mit oder zu diesem Thema. Ihr Beitrag erscheint an dieser Stelle.
Empfehlen Sie diesen Artikel an Kollegen oder Freunde weiter.
