Home  > Community > Wissensdatenbank > Artikel
hsitt

Ist der XT Commerce 3.0.4 SP2.1 Sicher?

NEIN

Datum: 01.12.2016   Zeit:14:42 | Geschrieben von: Administrator

Schwere Sicherheitslücke im

Onlineshop XT-Commerce 3.0.4 SP 2.1

Tags: | | |

Eine türkische Hacker-Gruppe ist derzeit extrem aktiv.
Neben verschiedenen Software-Installationen ist eines der Ziele der Onlineshop XT-Commerce Version 3.0.4.
Die aktuelle Version ist die SP 2.1 aber
Vorsicht: Die “Servicepack Version 2.1″ gibt es unglückseligerweise in
zwei Versionen – eine Version mit und eine ohne Security-Patch!
Beide Versionen weisen sich nach außen hin gleich aus – als Version 3.0.4 SP 2.1 ….

Die Version ohne Security-Patch bietet den Hackern bei aktivierten SEO Urls und aktivierten magic_quotes folgende Möglichkeit:

  1. Über Google wird nach dem Pfad-Segment “/shop_content.php/coID/” gesucht
  2. Dank eines Exploit gelangen die Hacker via SQL-Injection in den Admin-Bereich.
  3. Über die Upload-Funktion wird nun ein angebliches Bild hoch geladen, nur das die Software gar nicht prüft,
    ob es sich um ein Bild handelt, tatsächlich lässt sich ein PHP-Script hoch laden!

Nach erfolgreichem Upload der PHP-Shell (C99Shell.B) haben die
Hacker umfassenden Zugriff auf die Webseite und “Defacen”
in der Regel die Index-Seite, was dann so aussieht:

Webseite defaced Defaced: Hacked by Basayev

 

Wollen Sie das für Ihren XT-Commerce-Shop vermeiden, dann haben sie mehrer Optionen:

1. Den Security-Patch installieren, um die SQL-Injection abzufangen -> PFLICHT!
Hier gibt es den Patch: Security-Patch für XT-Commerce 3.0.4 SP 2.1

2. Die Ausführung von PHP-Scripten in allen Upload-Verzeichnissen mittels .htaccess unterbinden
(um das Problem mit der mangelhaften Upload-Überprüfung auch zukünftig zu verhindern) -> auch PFLICHT!


<Files *.php>
Order deny,allow
Deny from All </Files>

3. Bei Zugang mit einer statischen IP biete sich die Möglichkeit, das ganze admin-Verzeichnis
für alle IPs bis auf die eigene zu sperren, bei Zugang mit dynamischer IP kommt zumindest
ein zusätzlicher Verzeichnis-Schutz mit Passwort in Frage.

4. Wenn Punkt 3 nicht möglich ist (z.B. wegen Zugang zum Internet via dynamischer IP),
dann sollte das Admin-Verzeichnis unbedingt zusätzlich per
.htaccess mit einem Verzeichnisschutz versehen werden!
Die .htaccess sieht dafür so aus:

 

AuthType Basic
AuthUserFile /...absoluter...pfad...zur...datei.../.passwd
AuthName "Zugangsberechtigung"
order deny,allow
allow from all require valid-user

Die Password-Datei ist etwas kniffliger zu erstellen, wenden Sie sich hierzu an einen Administrator Ihres Vertrauens.
Sie benötigen hierzu das Programm htpasswd, dies ist in den Dateien für Apache enthalten
und existiert dementsprechend in Varianten für alle Betriebssysteme,
für die auch eine Apache-Version existiert. Alternativ bieten Systeme wie Plesk auch die Möglichkeit an,
den Verzeichnisschutz komplett via Dashboard zu erstellen.

Was tun, wenn Ihr Shop bereits gehackt wurde?

Kontrollieren Sie alle Upload-Verzeichnis, PHP-Scripte haben dort NICHTS zu suchen!



Premium Hosting 24,
Ihr Suchmaschinen-Optimierer


Dieser Artikel stammt von Premium Hosting 24 All Copyright© by Premium Hosting 24

Mehr Informationen unter:

 

Premium-Hosting-24

Stephan Hertz
Bandwirkerstr. 40
22041 Hamburg

Telefon & Fax: +49 (0)1212-6-257-75-000

 

Weitere Informationen
Ihre Bewertung:  
Bewertung: 0 (Ø 0)
Views: 2186
Stichworte:
Erstellt: 02.06.2012
Geändert: 12.05.2016
Artikel-ID: 33

Zu letzt Aktualisiert: 01.12.2016
IP-Adresse

 

 H.S.I.T.T. Internet 2000™ Austria auf Facebook

 H.S.I.T.T. Internet 2000™ Germany auf Facebook

 H.S.I.T.T. Internet 2000™ auf Twitter