osCommerce Massenhack – Online-Shops mit Drive-by-Exploits infiziert

Seit Ende Juli werden immer und immer mehr Shopseiten, die die beliebte, kostenfrei erhältlichen Shoplösung osCommerceeinsetzen, gehackt. Aktuelle Suchergebnisse bei Google zeigen über 5.000.000 infizierte Einzelseiten an. Ich möchte Ihnen in diesem Artikel zeigen, wie Sie Ihr osCommerce schnell und einfach wieder sauber bekommen und vor allem wie Sie selbst merken, ob Sie betroffen sind.

Sollten Sie keinen osCommerce-Shop besitzen, so bedeutet dies für Sie als Surfer eine erhöhte Gefahr beim Besuch von Shopseiten. Benutzen Sie Anti-Script-Addons wie z.B. “NoScript” und/oder “Adblock Plus“, zusätzlich mit “BitDefender TrafficLightum sich vor bösartigen Webseiten zu schützen. Die wichtigste Maßnahme ist allerdings ein aktuelles Anti-Viren-Programm und Betriebssystem. Die “verseuchten” Shopseiten nutzen nämlich bekannte Sicherheitslücken im Betriebssystem und im Internet-Browser um die Viren auf Ihrem PC zu installieren.

Der weitere Artikel beschäftigt sich mit dem osCommerce Hack und den nötigen Sicherheitsmaßnahmen:

Unseren Recherchen nach, werden derzeit drei bekannte Sicherheitslücken benutzt, um die Webseiten von Online-Shops zu infizieren:

osCommerce Remote Edit Site Info Vulnerability
osCommerce 2.3.1 (banner_manager.php) Remote File Upload Vulnerability
osCommerce Online Merchant v2.2 File Disclosure and Admin ByPass

Die Angreifer stammen unseren Erkenntnissen nach aus der Ukraine, vorzugsweise mit diesen IPs:

178.217.163.33
178.217.165.111
178.217.165.71
178.217.163.214

organisation:    ORG-KHAR1-RIPE
org-name:         Private Enterprise Khardikov Nikolay Nikolayevich
org-type:           OTHER
address:            35/94, Zeleniy
address:            Makiyivka 86156, Ukraine
e-mail:               core@didan.org
person:             Andrey Trubnikov
address:           60/182, Zeleniy
address:           Makiyivka 86156, Ukraine
phone:             +380623277657

In die Datenbank des Shops wird schadhafter Code eingefügt.

Diese sog. “iframesinfizieren die Besucher über mehrere Sicherheitslücken und komplizierten Weiterleitungen sowie Dekodierungen mit Malware (=Viren).

Wie gehe ich nun vor um meine Seite wieder sicher zu machen?

  1. Untersuchen Sie Ihre osCommerce-Datenbank: Die schädlichen Codezeilen wurden in Ihre Datenbank eingefügt und müssen dort auch wieder entfernt werden.
  2. Sollten Sie eine Infektion bemerken, informieren Sie Ihren Hoster darüber. Große Hoster wie z.B. die 1&1 Internet AG verfügen über sog. “Abuse Departments” (= Missbrauchs-Abteilungen), die Ihnen bei der Schadensbegrenzung behilflich sein können.
  3. Updaten Sie Ihr osCommerce und sichern Sie dieses zusätzlich ab. Einen sehr guten Artikel dazu finden Sie hier in Englisch.
  4. Suchen Sie nach sog. Backdoors/Shells auf Ihrem Server/Webspace (=das sind Dateien, die die Hacker auf Ihrer Internetpräsenz hinterlassen, um später nochmals illegal darauf zugreifen zu können).
  5. Ändern Sie Ihre Zugangskennwörter zu osCommerce (inkl. Datenbank), Ihren E-Mail-Postfächern, eBay, Online-Banking etc.
  6. Scannen Sie Ihren PC mit einem aktuellen Anti-Viren- Programm (z.B. dem DE-Cleaner).
  7. Nach dem Scan ändern Sie erneut Ihre Passwörter.

Sollten Sie weitere Fragen oder Anregungen zu diesem Beitrag haben, freue ich mich auf Ihre Kommentare.

Zum Autor dieses Gastbeitrags:

Frank Herold, Senior Abuse Analyst, arbeitet seit April 2008 im zentralen Abuse Department der 1&1 Internet AG. Der geprüfte Fachinformatiker für Systemintegration (IHK) und Windows System Administrator (IHK) analysiert dort Angriffe auf Kunden-Präsenzen, lokalisiert Einfallstore und ist für die schnelle Abschaltung von Phishing-Seiten gegen die Unternehmensgruppe zuständig.