Ich beobachte nun schon zum wiederholten Mal, dass sich in meinem Shop jede Menge Besucher befinden. Nun wäre das ja auch gewünscht, aber bei der Prüfung, wer da online ist, werde ich misstrauisch. Ich habe das mal soeben aufgezeichnet und in eine PDF gespeichert. Sicherheitspatch ist schon lange aufgespielt, das Verzeichnis admin auch längst umbenannt. Wie beurteilen die Fachleute den Vorgang?
Ankündigung
Einklappen
Keine Ankündigung bisher.
Ist das ein Angriff/Hack
Einklappen
X
-
Sowas hier sind typische Versuche, einen Shop ohne Sicherheitspatch vom 19.06. anzugreifen:
index.php?main_page=product_info/admin/record_company.php/password_forgotten.php?action=insert
Das läuft ganz automatisiert und führt nicht zum gewünschten Erfolg, da Du ja gepatcht hast.
Es ist allerdings lästig und belastet den Server unnötig.
Hier mal 2 Dinge, die Du machen solltest:
1)
.htaccess im Shopverzeichnis mit folgendem Inhalt anlegen bzw. eine bestehende .htaccess mit folgendem Eintrag erweitern:
Code:# redirects any URL that includes: record_company.php/password_forgotten.php RedirectMatch Permanent ^/(.*[record_company.php]+)/(password_forgotten.php)$ /page_not_found.php # redirects any URL that includes: /images/wp- with 'wp-' being anything that ends with '.php' # this allows for images named such as 'wp-header.jpg' to work RedirectMatch Permanent ^/(.*[images]+)/(wp-.*\.php)$ /page_not_found.php
2)
includes/application_top.php
Direkt hinter dem <?php in Zeile 2 folgendes einfügen:
Code:/** * inoculate against hack attempts which waste CPU cycles */ $contaminated = (isset($_FILES['GLOBALS']) || isset($_REQUEST['GLOBALS'])) ? true : false; $paramsToAvoid = array('GLOBALS', '_COOKIE', '_ENV', '_FILES', '_GET', '_POST', '_REQUEST', '_SERVER', '_SESSION', 'HTTP_COOKIE_VARS', 'HTTP_ENV_VARS', 'HTTP_GET_VARS', 'HTTP_POST_VARS', 'HTTP_POST_FILES', 'HTTP_RAW_POST_DATA', 'HTTP_SERVER_VARS', 'HTTP_SESSION_VARS'); $paramsToAvoid[] = 'autoLoadConfig'; $paramsToAvoid[] = 'mosConfig_absolute_path'; $paramsToAvoid[] = 'hash'; $paramsToAvoid[] = 'main'; foreach($paramsToAvoid as $key) { if (isset($_GET[$key]) || isset($_POST[$key]) || isset($_COOKIE[$key])) { $contaminated = true; break; } } $paramsToCheck = array('main_page', 'cPath', 'products_id', 'language', 'currency', 'action', 'manufacturers_id', 'pID', 'pid', 'reviews_id', 'filter_id', 'zenid', 'sort', 'number_of_uploads', 'notify', 'page_holder', 'chapter', 'alpha_filter_id', 'typefilter', 'disp_order', 'id', 'key', 'music_genre_id', 'record_company_id', 'set_session_login', 'faq_item', 'edit', 'delete', 'search_in_description', 'dfrom', 'pfrom', 'dto', 'pto', 'inc_subcat', 'payment_error', 'order', 'gv_no', 'pos', 'addr', 'error', 'count', 'error_message', 'info_message', 'cID', 'page', 'credit_class_error_code'); if (!$contaminated) { foreach($paramsToCheck as $key) { if (isset($_GET[$key]) && !is_array($_GET[$key])) { if (substr($_GET[$key], 0, 4) == 'http' || strstr($_GET[$key], '//')) { $contaminated = true; break; } if (isset($_GET[$key]) && strlen($_GET[$key]) > 43) { $contaminated = true; break; } } } } unset($paramsToCheck, $paramsToAvoid, $key); if ($contaminated) { header('HTTP/1.1 406 Not Acceptable'); exit(0); } unset($contaminated); /* *** END OF INNOCULATION *** */
Es reicht nicht, nur den Patch vom 19.06. einzuspielen.
Eine Liste aller Patches für 1.3.7 findest du hier:
IMPORTANT NOTE: v1.5.x is more secure than v1.3.x, and v1.5.0 and v1.5.4 are PA-DSS certified. Thus, upgrading to v1.5 is a much smarter move than merely patching old v1.3.x versions. List of Security Patches For v1.3.x NOTE: v1.3.9 already contains all the patches for all earlier versions. Upgrading is the recommended route. The following are the patches that have been released for each v1.3.x version of Zen Cart. You will have to manually apply these patches against the official
All das ist in 1.3.8 schon lange enthalten, 1.3.9 geht einige dieser Dinge grundlegender an.
Wenn auf 1.3.8 upgedated wird, dann müssen nicht noch zusätzlich die dort angegebenen 1.3.8 Patches eingespielt werden.
Im Gegensatz zur amerikanischen Version haben wir immer alle Patches gleich in die in den Downloads verfügbare Version integriert.
Überprüfe auch, ob Dein images Verzeichis php Dateien enthält und beachte generell die Sicherheitsempfehlungen hier:
Da 1.3.7 auch andere Bugs enthält, die in 1.3.8 schon lange gefixt sind, ist grundsätzlich dringend zu empfehlen 1.3.7 und älter nicht mehr produktiv einzusetzen und auf die aktuelle 1.3.8 upzudaten.
Die deutsche 1.3.9 wird Anfang September verfügbar sein, wir orientieren uns an der amerikanischen und die bringt momentan noch alle paar Wochen Bugfixes, momentan halten wir bereits bei 1.3.9f...
Kommentar