Schwere Sicherheitslücke im Onlineshop XT-Commerce 3.0.4 SP 2.1

Tags: | | |

Eine türkische Hacker-Gruppe ist derzeit extrem aktiv. Neben verschiedenen Software-Installationen ist eines der Ziele der Onlineshop XT-Commerce Version 3.0.4. Die aktuelle Version ist die SP 2.1 aber Vorsicht: Die „Servicepack Version 2.1“ gibt es unglückseligerweise in zwei Versionen – eine Version mit und eine ohne Security-Patch! Beide Versionen weisen sich nach außen hin gleich aus – als Version 3.0.4 SP 2.1 ….

Die Version ohne Security-Patch bietet den Hackern bei aktivierten SEO Urls und aktivierten magic_quotes folgende Möglichkeit:

  1. Über Google wird nach dem Pfad-Segment „/shop_content.php/coID/“ gesucht
  2. Dank eines Exploit gelangen die Hacker via SQL-Injection in den Admin-Bereich.
  3. Über die Upload-Funktion wird nun ein angebliches Bild hoch geladen, nur das die Software gar nicht prüft, ob es sich um ein Bild handelt, tatsächlich lässt sich ein PHP-Script hoch laden!

Nach erfolgreichem Upload der PHP-Shell (C99Shell.B) haben die Hacker umfassenden Zugriff auf die Webseite und „Defacen“ in der Regel die Index-Seite, was dann so aussieht:

Defaced: Hacked by Basayev
Webseite defaced


Wollen Sie das für Ihren XT-Commerce-Shop vermeiden, dann haben sie mehrer Optionen:

1. Den Security-Patch installieren, um die SQL-Injection abzufangen -> PFLICHT!
Hier gibt es den Patch: Security-Patch für XT-Commerce 3.0.4 SP 2.1

2. Die Ausführung von PHP-Scripten in allen Upload-Verzeichnissen mittels .htaccess unterbinden (um das Problem mit der mangelhaften Upload-Überprüfung auch zukünftig zu verhindern) -> auch PFLICHT!

<files *.php>
    Order deny,allow
    Deny from All
</files>

3. Bei Zugang mit einer statischen IP biete sich die Möglichkeit, das ganze admin-Verzeichnis für alle IPs bis auf die eigene zu sperren, bei Zugang mit dynamischer IP kommt zumindest ein zusätzlicher Verzeichnis-Schutz mit Passwort in Frage.

4. Wenn Punkt 3 nicht möglich ist (z.B. wegen Zugang zum Internet via dynamischer IP), dann sollte das Admin-Verzeichnis unbedingt zusätzlich per .htaccess mit einem Verzeichnisschutz versehen werden!
Die .htaccess sieht dafür so aus:

AuthType Basic
AuthUserFile /...absoluter...pfad...zur...datei.../.passwd
AuthName "Zugangsberechtigung"
order deny,allow
allow from all
require valid-user

Die Password-Datei ist etwas kniffliger zu erstellen, wenden Sie sich hierzu an einen Administrator Ihres Vertrauens. Sie benötigen hierzu das Programm htpasswd, dies ist in den Dateien für Apache enthalten und existiert dementsprechend in Varianten für alle Betriebssysteme, für die auch eine Apache-Version existiert. Alternativ bieten Systeme wie Plesk auch die Möglichkeit an, den Verzeichnisschutz komplett via Dashboard zu erstellen.

Was tun, wenn Ihr Shop bereits gehackt wurde?

Kontrollieren Sie alle Upload-Verzeichnis, PHP-Scripte haben dort NICHTS zu suchen!

42 Kommentare zu “Schwere Sicherheitslücke im Onlineshop XT-Commerce 3.0.4 SP 2.1”

  1. veith-media.de meint:

    Hi Stephan,
    nochmals vielen Dank für den tel. Hinweis und die ausführliche Doku hier im Blog!
    Ich habe tatsächlich einen Kunden, der genau diese Version 3.0.4 ohne Security-Patch fährt.

  2. Stephan Hertz meint:

    Dann weißt Du ja, was zu tun ist. Wir haben uns übrigens bei dem Security-Meeting heute Mittag mit Felix Kronlage und Bernd Ahlers von der Firma Bytemine dazu entschlossen, grundsätzlich jeden Admin- / Backend-Bereich via Version 3 zusätzlich abzusichern: Wer per statischer IP (habe gehört, sowas gibt es sogar in Oering? ;-)) kommt, hat freien Zugang, alle anderen müssen sich zusätzlich zum Backend-Login immer per AuthUser Zugang verschaffen…

  3. Christian Rothe meint:

    Vielen Dank für die Doku dieses xt:Commerce Exploits und die Tipps zur Problemlösung.

  4. Torben meint:

    Vielen Dank für diese hilfreiche Information mit den dazugehörigen Tipps zur Problemlösung. Noch mal Danke

  5. Thoby meint:

    Hallo Leute,

    wollte mir gerade den Patch laden, doch der kann leider nicht entpackt werden. Was nu?
    Wie finde ich heraus, ob ich evtl. den Patch schon habe?
    Wie geht das mit dem AuthUser Zugang?

  6. Stephan Hertz meint:

    Das Problem mit dem Zip ist, das es nur mit einer neuen WinZip-Version ausgepackt werden kann. XT-Commerce verpackt neuerdings mit einer Version / Einstellung, die eine neue WinZip-Version zwingend notwendig macht …

  7. Tuning meint:

    @Thoby: Setzte dich einmal mit htaccess auseinander.

    Ich finde der Admin bereich sollte immer mit einem Auth Login gesichert werden. Wenn aber die Hacker schon auf dem Server sind durch eventuelle Sicherheitslücken des Serverbetreibers bringt dies leider auch nichts mehr.

  8. Luise meint:

    Sehr hilfreicher Beitrag!
    Vielen Dank!

  9. Thorsten meint:

    Woran erkenne ich denn, ob die XT Commerce Version die ich einsetze, die „gepatchte“ Version ist.
    Grundsätzlich regen mich diese „Hacker“ wirklich auf. Ich meine haben diese nichts besseres zu tun als anderen Leuten Schaden zuzufügen. Ich hasse sowas!!!

  10. Kubotan meint:

    Vielen Dank für die Infos!
    WÜrde auch gerne wissen wie ich es erkennen kann, ob mein Shop schon diesen Patch hat oder nicht

  11. Stephan Hertz meint:

    Im Zweifelsfall würde ich noch einmal Patchen … lieber einmal zuviel als einmal zu wenig. Ansonsten könnte ein Vergleich der Patch-Dateien mit den eigenen Dateien helfen. Ich habe die alten Files nicht mehr, kann daher keinen Compare mehr machen, um entsprechende Änderungen aufzeigen zu können.

  12. Thorsten meint:

    Hi Stephan,
    nochmals vielen Dank für den tel. Hinweis und die ausführliche Doku hier im Blog!
    Ich habe tatsächlich einen Kunden, der genau diese Version 3.0.4 ohne Security-Patch fährt.

  13. Stephan Hertz meint:

    Homepage-Hoster
    www-homepage-hoster-de (Die URL, die ich ständig bei Euren Kommentaren sehe)

    Lieber „Thorsten“ alias „Luise“ alias „Thorsten“, mein Freund Thorsten bekommt tatsächlich Hinweise via Telefon, einen Absender, der zudem die Firma „Homepage Hoster“ als Absender angeben könnte, kenne ich nicht und habe ich auch noch nie angerufen, um ihn über irgendwelche Bugs zu unterrichten! Euer Spaming ist nicht nur flach und offensichtlich, sondern geht mir langsam auf den Nerv!

    Hiermit erkläre ich ausdrücklich, das weiter Spam-Kommentare mit Verlinkung der Firma Homepage Hoster unerwünscht sind und als das verfolgt werden, was sie sind: Spam.

    Nachtrag vom 20.9.2009: Herr Thomas Paulöhrl, Geschäftsführer der Firma Homepage Hoster, erklärt mir gegenüber in einer eMail glaubwürdig, dass die Kommentare nicht in seinem Auftrag angelegt wurden!

  14. College Research Paper meint:

    lieber einmal zuviel als einmal zu wenig. Ansonsten könnte ein Vergleich der Patch-Dateien mit den eigenen Dateien helfen. Ich habe die alten.

  15. Hundefutter meint:

    Danke für diesen Tipp, will mir ja auch gerade XTC zulegen.

  16. xtc templates meint:

    Die Lücke liegt nicht beim Shopsystem selber sondern wird durch einen nicht richtig konfigurierten Server hervorgerufen. Das ganze ist eher Panikmache als alles andere, man sollte sich diesbezüglich lieber auf die Aussagen des Herstellers verlassen als auf irgendwelche dubiosen Forennnews.

  17. Stephan Hertz meint:

    Wo wurden hier „dubios Forennews“ zitiert?
    Wobei der Hersteller vor allem sein Forum – im Support-Bereich, welcher bezahlt werden muss – nutzt, um derartige News zu publizieren.

  18. xtc templates meint:

    Lieber Herr Hertz … wo bitte wurde im Hersteller Forum diese News pupliziert ? Ich glaube da liegen Sie falsch, das ganze kommt aus einem freien Forum , sonst nichts. Trotz alle dem handelt es sich hier nicht um eine „schwere Sicherheitslücke“ des Shopsystems sondern schlichtweg um schlecht konfigurierte Server.

  19. Stephan Hertz meint:

    Liebe Frau Rühle,

    woher diese News kommt? Die kommt nicht aus irgend einem Forum, das ist ein Erfahrungsbericht!

    Und es handelt sich schlicht weg um ein miserables Versions-Management seitens XTC, da die letzten Security-Patches alle samt die Versionsnummer SP2.1 tragen bzw. die Versionsnummer nicht ändern!

    Wegen der angeblich schlecht konfigurierten Server lassen Sie sich bitte von jemandem, der sein Geld nicht mit XTC verdienen muss, sagen: Eine Lücke für SQL-Injections ist kein Konfigurationsproblem sondern ist eine unzureichend programmierte Software – und Lücken für SQL-Injections sind schwere Sicherheitslücken!

  20. Mike meint:

    Hallo Herr Hertz,
    danke für die Zusammenfassung. Ich habe gerade noch einen Kunden mit einem XTC-Shop, der offenbar nicht gepatcht ist – und schon mehrfach angegriffen wurde. Ich bin da ganz auf Ihrer Linie: das ist einfach schlampig programmiert. Wer sich schon mal intensiver den Quellcode des alten XTC angesehen hat, wundert sich nicht. Ich wünsche den Veyton Usern, dass die dort sicherer sind. 😉

  21. Audi meint:

    Ich habe die alten Files nicht mehr, kann daher keinen Compare mehr machen, um entsprechende Änderungen aufzeigen

  22. Lowrance meint:

    Danke für den tollen und hilfreichen Beitrag.

  23. Weitschaft meint:

    Ich bin aufgrund dieser Sicherheitslücken zu einer Weiterentwicklung von XTC gewechselt und bin ganz zufrieden. Dort erhält man sofort ein Update. Ist mir lieber als einen Shop aufgrund eines Hackerangriffs zu verlieren. Das ist mir leider in der Vergangenheit passiert. Aus Schaden wird man klug.

  24. Bastuck meint:

    Meinst Du eine Entiwcklung von Gambio?

    greetz

  25. Stephan Hertz meint:

    Nein, er wird eher VEYTON meinen – beide Lösungen sind aber nicht wirklich zufriedenstellend, da Gambio auf einem veralteten System aufsetzt und VEYTON keinen Zugriff mehr auf den Sourcecode erlaubt…

  26. Kalle meint:

    Hallo Stephan,

    auch von mir vielen Dank für deine Tipps! Nachdem gestern einer meiner 3 XT Shops gehackt wurde
    (R57 shell) bin ich jetzt alle Installationen durchgegangen und habe die patches raufgespielt.
    Was echt super wäre, wenn du noch einmal alle Upload Ordner auflisten könntest, in die die
    htaccess Datei rein muss (die php Dateien verbietet). Ich habe diese jetzt mal in die Ordner gepackt,
    in die die Produktbilder reingeladen werden, bin aber nicht sicher ob da noch welche übrig sind,
    die ich nicht auf dem Plan habe.

    Viele Grüße – Kalle

  27. thomas57 meint:

    Eine kurze Frage hierzu,
    ich habe meinen Shop artoflion.de ebenfalls unter der besagten Lizenz laufen sp2.1. Die Patches habe ich eingepflegt und zusätzlich die Möglichkeit genutzt, von meinem Provider die Dateien ab /admin/ mit einem Passwortschutz zu versehen.
    Ist das das gleiche wie weiter oben beschrieben wird, indem eine .htaccess und eine passwortdatei eingefügt werden?
    Vielen Dank für eure Antwort, vielleicht an thomas@hannoverlokal.de
    Schönes Wochenende noch

  28. xt:Commerce Profi meint:

    Es wundert uns, dass es anscheinend immer noch Shopbetreiber gibt, die diese Sicherheitslücke nicht geschlossen haben. Anders kann man diese rege Diskussion in diesem Blog nicht verstehen. Dabei ist die Sicherheitslücke doch bereits über 6 Monate alt….

  29. Stephan Hertz meint:

    Lieber „xt:Commerce Profi“, der ursprüngliche Beitrag von mir wurde am 04.02.2009 um 23:51 Uhr veröffentlicht (ist also weit über ein Jahr alt!) und ist offensichtlich bis heute aktuell – sollte uns das nicht zu denken geben?

  30. buddi meint:

    Hallo,
    auch ich danke schon mal für die vielen nützlichen Tips an dieser Stelle.

    ich möchte auch noch einmal nachfragen, was der User KALLE wissen wollte:
    Was echt super wäre, wenn du noch einmal alle Upload Ordner auflisten könntest, in die die
    htaccess Datei rein muss (die php Dateien verbietet).

    Oder reicht es den Schnippsel:

    Order deny,allow
    Deny from All

    nur in die .htaccess im root-Verzeichnis zu kopieren???

    … und wie realisiert man Punkt3)
    3. Bei Zugang mit einer statischen IP biete sich die Möglichkeit, das ganze admin-Verzeichnis für alle IPs bis auf die eigene zu sperren …..

    Würde mich über eine zeitnahe Antwort sehr freuen, danke schon mal

  31. buddi meint:

    Noch eine 2. Frage:
    Wie können wir verhindern, dass in den Ordner templates_c schafhafte *.php-Dateien geschrieben werden? So was hatten wir neulich.

    Mit
    Order deny,allow
    Deny from All

    klappt das ja nicht , bzw. da werden dann auch die „guten“ geblockt

  32. Stephan Hertz meint:

    Zu der 2. Frage: Dort gibt es nur Schadcode, wenn an andere Stelle etwas schief läuft…

    Zur ersten Frage – beide Teile gebe ich im Laufe der nächsten Tage eine Antwort, bin gerade erst nach Hause gekommen und eigentlich noch im Urlaub…

  33. Istoselida meint:

    Herzlichen Dank für die Doku dieses xt:Commerce Exploits und die Tipps zur Problemlösung.

  34. Silke O. meint:

    Wieso kann man hier nicht einfach ganze IP-Ranges aus dem Ausland sperren die für solche Hackerangriffe bekannt sind?
    Ich hatte noch nie einen Kunden aus der Türkei, Russland oder Bulgarien.

    LG
    Silke

  35. Stephan Hertz meint:

    @Silke: Wenn Du nur in Deutschland verkaufen willst, dann geht das natürlich – wir haben aber auch Kunden aus China, Indien, Russland, usw. …

  36. Torsten meint:

    Bei einem von mir betreuten Shop tritt das Problem auf, das andauernd die Zahlungsmethoden geändert werden, kann das auch hiermit zu tun haben?
    Zuerst wurde ständig die Kreditkarte Aktiviert, nachdem ich diese ganz aus dem System gelöscht habe, wurde jetzt eine der 2 verbliebenen Zahlungsoptionen gelöscht.
    3.0.4 SP 2.1 ist installiert, auch der Patch ist drauf, trotzdem scheint jemand Zugriff zu bekommen um die Änderungen zu machen.

    Vielen Dank für einen Ratschlag
    Torsten

  37. Nicole meint:

    Vielen Dank für die Veröffentlichung dieses Beitrages. Wir wurden heute Nacht gehackt. Ich habe alle Upload Verzeichnisse kontrolliert und dort im Ordner Banner und Categories die Dateien 1337.php und 100.php gefunden, die ich dann sofort gelöscht habe.

    Die Schritte 1-3 habe ich selbstverständlich auch ausgeführt. Allerdings muss ich mir jemanden suchen der Schritt 4 ausführt.

    Nocheinmal DANKE !

  38. Nicole meint:

    Ganz so einfach war es nun leider doch nicht. Ich habe in der Datenbank eine Tabelle stuff gefunden und war mir sicher dass diese dort nichts zu suchen hat. Nach dem Löschen dieser Tabelle hatte ich jedoch keinen Zugang mehr zum Admin Bereich ?

  39. Stephan Hertz meint:

    @Nicole: In der Tat gehört eine Tabelle „stuff“ in der DB nicht zu XTC. Um eine Aussage machen zu können, wo das Problem mit dem Zugang ist, müsste man die beiden PHP-Scripte näher untersuchen und versuchen, zu rekonstruieren, was die Hacker genau gemacht haben.

    Möglicherweise gibt es weitere Manipulationen an den Dateien? Spielen Sie mal ein File-Backup (kein Datenbank-Backup, dann verlieren Sie Kunden- / Bestell-Daten!!!) ein, eventuell lösen sich Ihre Probleme damit bereits.

  40. Peter MĂŒller meint:

    Danke! Ich benutze self-commerce, das hat denselben Fehler (habe ich getestet). Ich habe die vorgeschlagenen Änderungen durchgeführt, das sollte helfen. Grüße, Peter

  41. Tom meint:

    Eine türkische Hackergruppe ist derzeit…….

    HAHAAAA

    Ich kenn auch einen:

    Steht ein Manta vor der Realschule……..

    türkische Hackergruppe, man man du haust die Dinger hier raus alter

  42. yohimbine dose mg meint:

    Sie teilen sich Tonnen von interessanten Informationen, sauber und exzellentes Design Sie hier habe. Es ist sicherlich eine der informativsten Zeug zu diesem Thema, die ich je gelesen habe.

Hinterlassen Sie einen Kommentar

Text-Formatierung: Sie können diese XHTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> benutzen.

Comments links could be nofollow free.