Ankündigung

Einklappen
Keine Ankündigung bisher.

Ist das ein Angriff/Hack

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Ist das ein Angriff/Hack

    Ich beobachte nun schon zum wiederholten Mal, dass sich in meinem Shop jede Menge Besucher befinden. Nun wäre das ja auch gewünscht, aber bei der Prüfung, wer da online ist, werde ich misstrauisch. Ich habe das mal soeben aufgezeichnet und in eine PDF gespeichert. Sicherheitspatch ist schon lange aufgespielt, das Verzeichnis admin auch längst umbenannt. Wie beurteilen die Fachleute den Vorgang?
    Zuletzt geändert von klartexter; 17.08.2010, 09:01. Grund: pdf entfernt

    #2
    Sowas hier sind typische Versuche, einen Shop ohne Sicherheitspatch vom 19.06. anzugreifen:
    index.php?main_page=product_info/admin/record_company.php/password_forgotten.php?action=insert
    Das läuft ganz automatisiert und führt nicht zum gewünschten Erfolg, da Du ja gepatcht hast.
    Es ist allerdings lästig und belastet den Server unnötig.

    Hier mal 2 Dinge, die Du machen solltest:

    1)

    .htaccess im Shopverzeichnis mit folgendem Inhalt anlegen bzw. eine bestehende .htaccess mit folgendem Eintrag erweitern:

    Code:
    # redirects any URL that includes: record_company.php/password_forgotten.php
    RedirectMatch Permanent ^/(.*[record_company.php]+)/(password_forgotten.php)$ /page_not_found.php
    
    # redirects any URL that includes: /images/wp- with 'wp-' being anything that ends with '.php'
    # this allows for images named such as 'wp-header.jpg' to work
    RedirectMatch Permanent ^/(.*[images]+)/(wp-.*\.php)$ /page_not_found.php

    2)

    includes/application_top.php
    Direkt hinter dem <?php in Zeile 2 folgendes einfügen:

    Code:
    /**
     * inoculate against hack attempts which waste CPU cycles
     */
    $contaminated = (isset($_FILES['GLOBALS']) || isset($_REQUEST['GLOBALS'])) ? true : false;
    $paramsToAvoid = array('GLOBALS', '_COOKIE', '_ENV', '_FILES', '_GET', '_POST', '_REQUEST', '_SERVER', '_SESSION', 'HTTP_COOKIE_VARS', 'HTTP_ENV_VARS', 'HTTP_GET_VARS', 'HTTP_POST_VARS', 'HTTP_POST_FILES', 'HTTP_RAW_POST_DATA', 'HTTP_SERVER_VARS', 'HTTP_SESSION_VARS');
    $paramsToAvoid[] = 'autoLoadConfig';
    $paramsToAvoid[] = 'mosConfig_absolute_path';
    $paramsToAvoid[] = 'hash';
    $paramsToAvoid[] = 'main';
    foreach($paramsToAvoid as $key) {
      if (isset($_GET[$key]) || isset($_POST[$key]) || isset($_COOKIE[$key])) {
        $contaminated = true;
        break;
      }
    }
    $paramsToCheck = array('main_page', 'cPath', 'products_id', 'language', 'currency', 'action', 'manufacturers_id', 'pID', 'pid', 'reviews_id', 'filter_id', 'zenid', 'sort', 'number_of_uploads', 'notify', 'page_holder', 'chapter', 'alpha_filter_id', 'typefilter', 'disp_order', 'id', 'key', 'music_genre_id', 'record_company_id', 'set_session_login', 'faq_item', 'edit', 'delete', 'search_in_description', 'dfrom', 'pfrom', 'dto', 'pto', 'inc_subcat', 'payment_error', 'order', 'gv_no', 'pos', 'addr', 'error', 'count', 'error_message', 'info_message', 'cID', 'page', 'credit_class_error_code');
    if (!$contaminated) {
      foreach($paramsToCheck as $key) {
        if (isset($_GET[$key]) && !is_array($_GET[$key])) {
          if (substr($_GET[$key], 0, 4) == 'http' || strstr($_GET[$key], '//')) {
            $contaminated = true;
            break;
          }
          if (isset($_GET[$key]) && strlen($_GET[$key]) > 43) {
            $contaminated = true;
            break;
          }
        }
      }
    }
    unset($paramsToCheck, $paramsToAvoid, $key);
    if ($contaminated)
    {
      header('HTTP/1.1 406 Not Acceptable');
      exit(0);
    }
    unset($contaminated);
    /* *** END OF INNOCULATION *** */
    Es gibt nicht nur einen Sicherheitspatch, sondern im Falle von 1.3.7 etliche.
    Es reicht nicht, nur den Patch vom 19.06. einzuspielen.
    Eine Liste aller Patches für 1.3.7 findest du hier:
    IMPORTANT NOTE: v1.5.x is more secure than v1.3.x, and v1.5.0 and v1.5.4 are PA-DSS certified. Thus, upgrading to v1.5 is a much smarter move than merely patching old v1.3.x versions. List of Security Patches For v1.3.x NOTE: v1.3.9 already contains all the patches for all earlier versions. Upgrading is the recommended route. The following are the patches that have been released for each v1.3.x version of Zen Cart. You will have to manually apply these patches against the official

    All das ist in 1.3.8 schon lange enthalten, 1.3.9 geht einige dieser Dinge grundlegender an.

    Wenn auf 1.3.8 upgedated wird, dann müssen nicht noch zusätzlich die dort angegebenen 1.3.8 Patches eingespielt werden.
    Im Gegensatz zur amerikanischen Version haben wir immer alle Patches gleich in die in den Downloads verfügbare Version integriert.

    Überprüfe auch, ob Dein images Verzeichis php Dateien enthält und beachte generell die Sicherheitsempfehlungen hier:


    Da 1.3.7 auch andere Bugs enthält, die in 1.3.8 schon lange gefixt sind, ist grundsätzlich dringend zu empfehlen 1.3.7 und älter nicht mehr produktiv einzusetzen und auf die aktuelle 1.3.8 upzudaten.
    Die deutsche 1.3.9 wird Anfang September verfügbar sein, wir orientieren uns an der amerikanischen und die bringt momentan noch alle paar Wochen Bugfixes, momentan halten wir bereits bei 1.3.9f...

    Kommentar


      #3
      Danke für die rasche Antwort. Ich bin im Moment dabei, lokal auf 1.38 upzudaten, wenn das wie gewünscht funktioniert erfolgt das Update im Netz. Zuvor werde ich mir noch einen anderen Anbieter suchen.

      Kommentar

      Info zu diesem Forenarchiv:
      Mit Release von 1.5.7 wurde die deutsche Zen Cart Version auf eine reine DIY-Lösung umgestellt.
      Für einen Support via Forum stehen keine personellen und zeitlichen Ressourcen mehr zur Verfügung.
      Dieses Supportforum bleibt im Nur-Lesen-Modus als Wissensarchiv noch online verfügbar.
      PM Funktionalität, Registrierung und Posten neuer Beiträge sind deaktiviert.
      Zugriff auf Anhänge in den Postings ist auch ohne Registrierung/Einloggen möglich.
      FAQ und Downloadbereich des Forums wurden in die neue umfangreiche Knowledgebase auf der zen-cart-pro.at Website übernommen.

      Das Development der deutschen Zen Cart Version geht wie bisher auf Github weiter.
      Wir werden auch weiterhin neue Versionen bereitstellen und die Onlinedokumentation/Knowledgebase aktualisieren.
      Fehler in der Software können auf Github als Issues gemeldet werden.
      Follow us
      aktuelle version
      Zen Cart 1.5.7g deutsch
      vom 12.12.2023
      [Download]
      Lädt...
      X