ZitatDie Sicherheitslücke bei oscommerce ist ja seit langem bekannt, es gibt schon eigene Software dagegen. Wer daran spart, vergeht sich an seinen Kunden....
Das hier stellt was anderes dar, Spam ist das geringste Übel das mit vollem Zugang zum Admin-Panel angestellt werden kann.
Das genannte Programm "Bessert die osCommerce-Kontaktseite aus, und stoppt die durch sie gesendeten SPAM-Nachrichten",
und hilft daher gar nichts gegen das vorliegende Problem.
ZitatIst oscommerce eine kostenlose Software oder wie kommt das?
Ja, kostenlose open source
http://www.goldparadies24.de/index.php
Ist soweit ich sehen kann zumindest relativ gesichert.
http://www.muenzenzubehoer.ch/articles.php?tPath=19_32
Steht genauso offen wie Auruminvest offen stand... Voller Zugang zu allen Daten.
Jemand der die kennt sollte denen mal ne mail schreiben und auf
http://forums.oscommerce.com/t…hole-found-in-oscommerce/
verweisen, wenn ich das bei allen shops tun würde, die jetzt das Problem haben
und die mit über den Weg laufen wär ich in 100 Jahren nicht fertig... 
ZitatWäre doch mal schön, eine Liste von auruminvest-nw zu haben, mit Vorname, Nachname und email-Adresse.
Tolle Idee, ist auch gar nicht kriminell oder so...
Ist aber definitiv zu spät für solche Absichten.
Sie haben sofort auf meine Mail reagiert, Lücke geschlossen, admin-folder gesichert.
Absolut vorbildlich schnell reagiert, muss man sagen.
Edit:
ZitatMaßnahmen ergreift, die das zukünftig unmöglich machen
Bereits geschehen, die haben die Lücke sofort geschlossen.
ZitatGegenmaßnahmen, den Admin Ordner umbenennen und einen htaccess rein für den Ordner, ggf. noch auf IP-Ebene prüfen, das nur von bestimmten Clients oder Subnetz in den Admin Ordnern zugegriffen werden kann.
Genau, oder bei Windows-Servern entsprechende Form der Authentifizierung (Basic-Access Auth). SSL dazu, und man ist auf der sicheren Seite.
Zitat"ich denke mal in der Branche sind die Bankdaten das geringere Problem ...
die Kunden könnte mehr stören, wenn Hausadresse und Name in die falschen (nichtstaatlichen) Hände gelangen"
Genau das ist durch das oben beschriebene Leck völlig problemlos möglich.
Das problem ist damit im Prinzip gelöst, man muss nur den Admin-Ordner durch Server-Authentifizierung schützen.
Siehe mein letzter Post oben: "Admin-Script voll ohne Passwort zugänglich."
http://forums.oscommerce.com/t…hole-found-in-oscommerce/
Es sieht aus, als wäre der Admin-Script voll ohne Passwort zugänglich.
Dies bedeutet darüberhinausgehend, dass ALLE Kundendaten, wie Bestellungen, Kontonummern bei Bedarf zugänglich sind.
Dies trifft nahc kurzem test auch auf http://auruminvest-nw.com/ zu.
Der Admin-Ordner muss SOFORT gesichert werden!
Ich sende sofort eine email auch an diese Firma.
1) mit großer Wahrscheinlichkeit in der WebShopSoftware eine Sicherheitslücke bei der
Ja
2) sämtliche Kundendaten zugänglich sind
Nicht sicher, zumindest email & Name. In der gleichen datenbanktabelle liegen noch Geschlecht, Telefonnummer, Faxnummer, jedoch nicht die Adresse (Hausanschrift), und keine Bankdaten.
Inwiefern durch die bestehende Lücke, die noch nichteinmal gefunden ist, andere Datenbanktabellen, also auch z.B. Bankdaten eusgelesen werden können ist fraglich und nicht erwiesen.
3) der WebShopBetreiber i.d. Regel keinen Mechanismus des 'Verhinderns' der Datenabschöpfung hat?
Für dieses Problem zunächst zutreffend. Temporär offline gehen wäre für os-commerce shopinhaber jetzt
eine Möglichkeit, aber in Anbetracht des wirtshcaftlichen Schadens wird das vmtl. keiner tun.
Falls behördliche Interessen dahinterständen gäbe es genug bessere Wege, und eine Spam-Mail würde wohl auch nicht gesendet,
da ohne diese vmtl 99% der Shopbesitzer dieses Angriff gar nicht bemerkt hätten, und ein geheimes Auslesen wohl eher favorisiert
worden wäre.
Dass jeder der dieses Leck kennt auf die zugreifbaren Daten zugreifen kann, Behörden nicht ausgeschlossen, ist schlicht Fakt,
ich rate aber von einer Verschwörungstheoretischen Verwendung dieser Angriffe ab, da es keine Indikation dafür gibt.
Guten Abend,
Ich habe dieses Forum soeben über Google aufgerufen, und möchte zur allgemeinen Information folgendes beitragen:
ich bin WebDesigner, und einer meiner Kunden hat selbiges Problem.
Da dieser Kunde den selben Webshop (Oscommerce 2.2) verwendet, wie auch http://auruminvest-nw.de/
gehen wir von einem bisher unbekannten Leck in diesem System aus, und arbeiten bereits daran anhand unserer Logs weiteres herauszufinden.
Generell kann ich bestätigen, dass die mail von der IP 64.186.244.174 versendet wurde, deren DNS auf http://collectivdatabase.com/ weist.
Die IP ist vmtl. wie bereits geschrieben in San Diego lokalisiert.
Die Mail trug selbigen Inhalt, ging an alle Kunden, wobei diese mit korrektem Namen und Emailadresse angeschrieben wurden, auch wenn der
Name nicht in der Adresse enthalten war. Es ist also erwiesen, dass in Fällen dieser Spam-Mails persönliche Daten durch Dritte erlangt wurden,
und es steht zu vermuten, dass diese evtl. über die Email-Adresse & Name hinausgehen könnten.
ZitatNachdem wir von einigen Kunden diesbezüglich direkt angerufen wurden oder eine Email bekommen haben, hat sich unsere IT dem Problem direkt angenommen und unseren Server sowie unsere Datenbanken geprüft - mit dem Ergebnis - dass wir keinen unbefugten Zugriff auf unsere Server-Daten festellen konnten.
Ein unberechtigter Zugriff auf MySql hat auch bei uns nicht stattgefunden. Da eine Sql-Injection in oscommerce zu vermuten ist, kommt der
zugehörige Zugriff vom eigenen Server, der entsprechenden os-commerce php-Script um genau zu sein, nicht von einer Fremd-IP.
Es ist davon auszugehen, dass Angriffe völlig willkürlich auf alle zu findenden os-commerce Systeme ausgeführt werden, und so user-Daten weltweit
gesammelt werden können, bis ein fix für das Leck entwickelt wird. EinVerlust vonDaten ist nicht auf ein Verschulden oder eine Fahrlässigkeit des
Unternehmens zurückzuführen, dessen Shop angegriffen wurde, da mehr Sicherheitsmaßnahmen als ein völliges auf aktuellem Stand Halten der
website kaum verhältnismäßig möglich ist, und dies in diesem Falle keine Wirkung erzielte.
Falls weiteres herausgefunden wird, lese ich hier weiter mit und bin als verantwortlicher Webmaster über jede Information dankbar.
Wir sind bereits bemüht den Angriff mit allen verfügbaren mitteln zurückzuverfolgen, ich werde sobald weiteres in Erfahrung gebracht
wird gerne an dieser Stelle erneutdarüber informieren.
Mit freundlichen Grüßen
