Consult-N.de

Derzeit werden weltweit massenhaft OS Commerce Shops gehackt.
Betroffen davon sind die Shop Versionen 2.2 RC2 und älter.
Die Sicherheitslücke ist schon länger bekannt und seit November letzten Jahres steht ein Patch zur Verfügung.

Ist Ihr Internet-Shop betroffen?

Für den folgenden Test melden Sie sich im Shop ab. Sicherheitshalber löschen Sie alle Cookies (z.B. durch schließen des Browsers, Cookie-Plugins, o.ä.).
Geben Sie nun folgende URL in den Browser ein:
http://shop-domain.de/admin/file_manager.php/login.php?action=download&filename=/includes/filenames.php

Falls Sie eine Datei zum Download angeboten bekommen, ist Ihr Shop betroffen.
Bei einer Weiterleitung zum Login sind Sie nicht betroffen.

Wie kann ich kontrollieren ob mein Shop gehackt wurde?

Überprüfen Sie die Datumsangaben der Dateien. Sollte ein Datum auftauchen nach einem Zeitpunkt, wo Sie sicherlich keine Änderungungen am Shop vorgenommen haben, ist bereits Obacht gegeben.
Suchen Sie in den Dateien nach Defacements (Änderungen). Übliche Angriffe verändern nicht das aussehen einer Seite, sondern versuchen dem User über JavaScript oder sonstige Sicherheitslücken, Schädlinge unter zu schieben. Suchen Sie also nach Einbindungen von JavaScript oder Iframe's die auf andere Server verweisen.
Typische Dateien sind alle index.php und weitere .php-Files.
Eingeschleuste Dateien finden Sie meist im image-Verzeichnis. Hier sollten Sie lediglich Dateien mit den Endungen .gif, .jpg oder .png finden.

Sie können auch ein selbst erstelltes Backup mit den aktuellen Dateien vergleichen. Beachten Sie, falls das Backup vom Server gezogen wurde, dass dieses bereits schon verseucht gewesen sein kann.

Was tun, wenn der Shop schon gehackt wurde?

Man kann es nur immer wieder Wiederholen: Backup, Backup, Backup!
Aber auch hier nochmal der Hinweis: Ein Backup vom Server kann bereits infiziert sein!

Wie schütze ich mich gegen zukünftige Lücken?

Grundsätzlich: Immer die aktuellste Software-Version nutzen!

Meistens werden Dateien (PHP-Hacker-Scripte) in dem image-Verzeichnis abgelegt um dann aufgerufen zu werden. Diese Scripte erledigen dann den Rest.
Per .htaccess kann die Ausfürung von PHP-Code in diesem Verzeichnis unterbunden werden.