Schwere Sicherheitslücke im Onlineshop XT-Commerce 3.0.4 SP 2.1
Tags: Exploit | Sicherheit | Software | XT CommerceEine türkische Hacker-Gruppe ist derzeit extrem aktiv. Neben verschiedenen Software-Installationen ist eines der Ziele der Onlineshop XT-Commerce Version 3.0.4. Die aktuelle Version ist die SP 2.1 aber Vorsicht: Die “Servicepack Version 2.1″ gibt es unglückseligerweise in zwei Versionen – eine Version mit und eine ohne Security-Patch! Beide Versionen weisen sich nach außen hin gleich aus – als Version 3.0.4 SP 2.1 ….
Die Version ohne Security-Patch bietet den Hackern bei aktivierten SEO Urls und aktivierten magic_quotes folgende Möglichkeit:
- Über Google wird nach dem Pfad-Segment “/shop_content.php/coID/” gesucht
- Dank eines Exploit gelangen die Hacker via SQL-Injection in den Admin-Bereich.
- Über die Upload-Funktion wird nun ein angebliches Bild hoch geladen, nur das die Software gar nicht prüft, ob es sich um ein Bild handelt, tatsächlich lässt sich ein PHP-Script hoch laden!
Nach erfolgreichem Upload der PHP-Shell (C99Shell.B) haben die Hacker umfassenden Zugriff auf die Webseite und “Defacen” in der Regel die Index-Seite, was dann so aussieht:
Wollen Sie das für Ihren XT-Commerce-Shop vermeiden, dann haben sie mehrer Optionen:
1. Den Security-Patch installieren, um die SQL-Injection abzufangen -> PFLICHT!
Hier gibt es den Patch: Security-Patch für XT-Commerce 3.0.4 SP 2.1
2. Die Ausführung von PHP-Scripten in allen Upload-Verzeichnissen mittels .htaccess unterbinden (um das Problem mit der mangelhaften Upload-Überprüfung auch zukünftig zu verhindern) -> auch PFLICHT!
<Files *.php>
Order deny,allow
Deny from All
</Files>3. Bei Zugang mit einer statischen IP biete sich die Möglichkeit, das ganze admin-Verzeichnis für alle IPs bis auf die eigene zu sperren, bei Zugang mit dynamischer IP kommt zumindest ein zusätzlicher Verzeichnis-Schutz mit Passwort in Frage.
4. Wenn Punkt 3 nicht möglich ist (z.B. wegen Zugang zum Internet via dynamischer IP), dann sollte das Admin-Verzeichnis unbedingt zusätzlich per .htaccess mit einem Verzeichnisschutz versehen werden!
Die .htaccess sieht dafür so aus:
AuthType Basic
AuthUserFile /www/home/Fakultaeten/Jura/richardi/admin/.passwd
AuthName "Zugangsberechtigung"
order deny,allow
allow from all
require valid-userDie Password-Datei ist etwas kniffliger zu erstellen, wenden Sie sich hierzu an einen Administrator Ihres Vertrauens. Sie benötigen hierzu das Programm htpasswd, dies ist in den Dateien für Apache enthalten und existiert dementsprechend in Varianten für alle Betriebssysteme, für die auch eine Apache-Version existiert. Alternativ bieten Systeme wie Plesk auch die Möglichkeit an, den Verzeichnisschutz komplett via Dashboard zu erstellen.
Was tun, wenn Ihr Shop bereits gehackt wurde?
Kontrollieren Sie alle Upload-Verzeichnis, PHP-Scripte haben dort NICHTS zu suchen!
Premium Hosting 24,
Ihr Suchmaschinen-Optimierer
Freitag, 06.02.2009 um 01:05 Uhr
Hi Stephan,
nochmals vielen Dank für den tel. Hinweis und die ausführliche Doku hier im Blog!
Ich habe tatsächlich einen Kunden, der genau diese Version 3.0.4 ohne Security-Patch fährt.
Freitag, 06.02.2009 um 22:42 Uhr
Dann weißt Du ja, was zu tun ist. Wir haben uns übrigens bei dem Security-Meeting heute Mittag mit Felix Kronlage und Bernd Ahlers von der Firma Bytemine dazu entschlossen, grundsätzlich jeden Admin- / Backend-Bereich via Version 3 zusätzlich abzusichern: Wer per statischer IP (habe gehört, sowas gibt es sogar in Oering?
) kommt, hat freien Zugang, alle anderen müssen sich zusätzlich zum Backend-Login immer per AuthUser Zugang verschaffen…
Mittwoch, 11.02.2009 um 15:19 Uhr
Vielen Dank für die Doku dieses xt:Commerce Exploits und die Tipps zur Problemlösung.
Dienstag, 17.02.2009 um 22:17 Uhr
Vielen Dank für diese hilfreiche Information mit den dazugehörigen Tipps zur Problemlösung. Noch mal Danke
Sonntag, 08.03.2009 um 13:55 Uhr
Hallo Leute,
wollte mir gerade den Patch laden, doch der kann leider nicht entpackt werden. Was nu?
Wie finde ich heraus, ob ich evtl. den Patch schon habe?
Wie geht das mit dem AuthUser Zugang?
Montag, 09.03.2009 um 20:48 Uhr
Das Problem mit dem Zip ist, das es nur mit einer neuen WinZip-Version ausgepackt werden kann. XT-Commerce verpackt neuerdings mit einer Version / Einstellung, die eine neue WinZip-Version zwingend notwendig macht …
Mittwoch, 20.05.2009 um 06:35 Uhr
@Thoby: Setzte dich einmal mit htaccess auseinander.
Ich finde der Admin bereich sollte immer mit einem Auth Login gesichert werden. Wenn aber die Hacker schon auf dem Server sind durch eventuelle Sicherheitslücken des Serverbetreibers bringt dies leider auch nichts mehr.
Freitag, 05.06.2009 um 18:22 Uhr
Sehr hilfreicher Beitrag!
Vielen Dank!
Samstag, 27.06.2009 um 10:39 Uhr
Woran erkenne ich denn, ob die XT Commerce Version die ich einsetze, die “gepatchte” Version ist.
Grundsätzlich regen mich diese “Hacker” wirklich auf. Ich meine haben diese nichts besseres zu tun als anderen Leuten Schaden zuzufügen. Ich hasse sowas!!!
Montag, 29.06.2009 um 00:59 Uhr
Vielen Dank für die Infos!
WÜrde auch gerne wissen wie ich es erkennen kann, ob mein Shop schon diesen Patch hat oder nicht
Montag, 29.06.2009 um 10:23 Uhr
Im Zweifelsfall würde ich noch einmal Patchen … lieber einmal zuviel als einmal zu wenig. Ansonsten könnte ein Vergleich der Patch-Dateien mit den eigenen Dateien helfen. Ich habe die alten Files nicht mehr, kann daher keinen Compare mehr machen, um entsprechende Änderungen aufzeigen zu können.
Dienstag, 30.06.2009 um 23:51 Uhr
Hi Stephan,
nochmals vielen Dank für den tel. Hinweis und die ausführliche Doku hier im Blog!
Ich habe tatsächlich einen Kunden, der genau diese Version 3.0.4 ohne Security-Patch fährt.
Mittwoch, 01.07.2009 um 00:22 Uhr
Lieber “Thorsten” alias “Luise” alias “Thorsten”, mein Freund Thorsten bekommt tatsächlich Hinweise via Telefon, einen Absender, der zudem die Firma “Homepage Hoster” als Absender angeben könnte, kenne ich nicht und habe ich auch noch nie angerufen, um ihn über irgendwelche Bugs zu unterrichten! Euer Spaming ist nicht nur flach und offensichtlich, sondern geht mir langsam auf den Nerv!
Hiermit erkläre ich ausdrücklich, das weiter Spam-Kommentare mit Verlinkung der Firma Homepage Hoster unerwünscht sind und als das verfolgt werden, was sie sind: Spam.
Nachtrag vom 20.9.2009: Herr Thomas Paulöhrl, Geschäftsführer der Firma Homepage Hoster, erklärt mir gegenüber in einer eMail glaubwürdig, dass die Kommentare nicht in seinem Auftrag angelegt wurden!
Freitag, 17.07.2009 um 18:26 Uhr
lieber einmal zuviel als einmal zu wenig. Ansonsten könnte ein Vergleich der Patch-Dateien mit den eigenen Dateien helfen. Ich habe die alten.
Samstag, 25.07.2009 um 17:25 Uhr
Danke für diesen Tipp, will mir ja auch gerade XTC zulegen.
Sonntag, 23.08.2009 um 15:50 Uhr
Die Lücke liegt nicht beim Shopsystem selber sondern wird durch einen nicht richtig konfigurierten Server hervorgerufen. Das ganze ist eher Panikmache als alles andere, man sollte sich diesbezüglich lieber auf die Aussagen des Herstellers verlassen als auf irgendwelche dubiosen Forennnews.
Sonntag, 23.08.2009 um 22:46 Uhr
Wo wurden hier “dubios Forennews” zitiert?
Wobei der Hersteller vor allem sein Forum – im Support-Bereich, welcher bezahlt werden muss – nutzt, um derartige News zu publizieren.
Montag, 24.08.2009 um 14:09 Uhr
Lieber Herr Hertz … wo bitte wurde im Hersteller Forum diese News pupliziert ? Ich glaube da liegen Sie falsch, das ganze kommt aus einem freien Forum , sonst nichts. Trotz alle dem handelt es sich hier nicht um eine “schwere Sicherheitslücke” des Shopsystems sondern schlichtweg um schlecht konfigurierte Server.
Dienstag, 25.08.2009 um 00:55 Uhr
Liebe Frau Rühle,
woher diese News kommt? Die kommt nicht aus irgend einem Forum, das ist ein Erfahrungsbericht!
Und es handelt sich schlicht weg um ein miserables Versions-Management seitens XTC, da die letzten Security-Patches alle samt die Versionsnummer SP2.1 tragen bzw. die Versionsnummer nicht ändern!
Wegen der angeblich schlecht konfigurierten Server lassen Sie sich bitte von jemandem, der sein Geld nicht mit XTC verdienen muss, sagen: Eine Lücke für SQL-Injections ist kein Konfigurationsproblem sondern ist eine unzureichend programmierte Software – und Lücken für SQL-Injections sind schwere Sicherheitslücken!
Samstag, 29.08.2009 um 01:50 Uhr
Hallo Herr Hertz,
danke für die Zusammenfassung. Ich habe gerade noch einen Kunden mit einem XTC-Shop, der offenbar nicht gepatcht ist – und schon mehrfach angegriffen wurde. Ich bin da ganz auf Ihrer Linie: das ist einfach schlampig programmiert. Wer sich schon mal intensiver den Quellcode des alten XTC angesehen hat, wundert sich nicht. Ich wünsche den Veyton Usern, dass die dort sicherer sind.
Samstag, 05.09.2009 um 19:49 Uhr
Ich habe die alten Files nicht mehr, kann daher keinen Compare mehr machen, um entsprechende Änderungen aufzeigen
Montag, 28.09.2009 um 17:57 Uhr
Danke für den tollen und hilfreichen Beitrag.
Montag, 21.12.2009 um 22:39 Uhr
Ich bin aufgrund dieser Sicherheitslücken zu einer Weiterentwicklung von XTC gewechselt und bin ganz zufrieden. Dort erhält man sofort ein Update. Ist mir lieber als einen Shop aufgrund eines Hackerangriffs zu verlieren. Das ist mir leider in der Vergangenheit passiert. Aus Schaden wird man klug.
Dienstag, 22.12.2009 um 23:07 Uhr
Meinst Du eine Entiwcklung von Gambio?
greetz
Freitag, 25.12.2009 um 07:34 Uhr
Nein, er wird eher VEYTON meinen – beide Lösungen sind aber nicht wirklich zufriedenstellend, da Gambio auf einem veralteten System aufsetzt und VEYTON keinen Zugriff mehr auf den Sourcecode erlaubt…
Freitag, 12.03.2010 um 18:35 Uhr
Hallo Stephan,
auch von mir vielen Dank für deine Tipps! Nachdem gestern einer meiner 3 XT Shops gehackt wurde
(R57 shell) bin ich jetzt alle Installationen durchgegangen und habe die patches raufgespielt.
Was echt super wäre, wenn du noch einmal alle Upload Ordner auflisten könntest, in die die
htaccess Datei rein muss (die php Dateien verbietet). Ich habe diese jetzt mal in die Ordner gepackt,
in die die Produktbilder reingeladen werden, bin aber nicht sicher ob da noch welche übrig sind,
die ich nicht auf dem Plan habe.
Viele Grüße – Kalle
Freitag, 14.05.2010 um 15:12 Uhr
Eine kurze Frage hierzu,
ich habe meinen Shop artoflion.de ebenfalls unter der besagten Lizenz laufen sp2.1. Die Patches habe ich eingepflegt und zusätzlich die Möglichkeit genutzt, von meinem Provider die Dateien ab /admin/ mit einem Passwortschutz zu versehen.
Ist das das gleiche wie weiter oben beschrieben wird, indem eine .htaccess und eine passwortdatei eingefügt werden?
Vielen Dank für eure Antwort, vielleicht an thomas@hannoverlokal.de
Schönes Wochenende noch
Montag, 17.05.2010 um 18:29 Uhr
Es wundert uns, dass es anscheinend immer noch Shopbetreiber gibt, die diese Sicherheitslücke nicht geschlossen haben. Anders kann man diese rege Diskussion in diesem Blog nicht verstehen. Dabei ist die Sicherheitslücke doch bereits über 6 Monate alt….
Donnerstag, 20.05.2010 um 02:16 Uhr
Lieber “xt:Commerce Profi”, der ursprüngliche Beitrag von mir wurde am 04.02.2009 um 23:51 Uhr veröffentlicht (ist also weit über ein Jahr alt!) und ist offensichtlich bis heute aktuell – sollte uns das nicht zu denken geben?