Sicurezza Oscommerce

Postate qui discussioni di carattere generale riguardo a problemi di installazione e configurazione di osCommerce

Moderatore: mod Generali

Avatar utente
mario porta
membro Regular
membro Regular
Messaggi: 105
Iscritto il: 04/08/2006, 10:34
Località: Milano
Contatta:

Sicurezza Oscommerce

Messaggio da mario porta »

Ciao a tutti,.

dato che continuo a vedere siti bucati,..e,..nei log del mio sito vedo script che cercano ancora falle di OSC volevo solo invitare tutti gli utilizzatori di controllare in questo post se le modifiche ai Vostri siti sono state effettuate:

http://forums.oscommerce.com/topic/3133 ... your-site/

qualcuno ha solo rinominato il files_manager dal lato admin ma non e' sicuro lasciarlo,..questo file ha un bug enorme,..quindi rimuovetelo dal server e utilizzate un'alternativa.

questo e' un'esempio di cosa cercano :

[Fri May 07 21:56:43 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phpmyadmin
[Fri May 07 21:56:45 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/pma
[Fri May 07 21:56:46 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/admin
[Fri May 07 21:56:48 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/dbadmin
[Fri May 07 21:56:49 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/mysql
[Fri May 07 21:56:50 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/php-my-admin
[Fri May 07 21:56:52 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/myadmin
[Fri May 07 21:56:53 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/PHPMYADMIN
[Fri May 07 21:56:54 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phpMyAdmin
[Fri May 07 21:56:55 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/config
[Fri May 07 21:56:57 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phppgadmin
[Fri May 07 21:56:58 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phpmyadmin2
[Fri May 07 21:56:59 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phpMyAdmin2
[Fri May 07 21:57:01 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/mail
[Fri May 07 21:57:02 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/webmail


io sto' monitorando un tentativo di script che tenta di attaccare il file general.php vi faro' sapere..

Se qualcuno ha alte informazioni al riguardo fatemi sapere.

Buone vendite!
Grazie ad OScommerceItalia oggi abbiamo http://www.pemcomputer.com
Avatar utente
marcus
membro Master
membro Master
Messaggi: 1619
Iscritto il: 04/12/2003, 1:00
Contatta:

Re: Sicurezza Oscommerce

Messaggio da marcus »

L'ho già scritto ma penso valga la pena ripeterlo.

Per minimizzare la probabilità di attacchi/ iniezioni di codice maligno nel vostro shop oscommerce:

- togliere file_manager.php
- proteggere l'admin con .htaccess se su server linux
- cambiare in ogni caso nome alla cartella admin con un nome alfanumerico casuale tipo password per intenderci (Es: 578ug64509)

Si tratta di tre punti molto semplici da attuare ma di importanza cruciale per la sicurezza.



Saluti
Marcus
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
Avatar utente
jerys1974
membro Regular
membro Regular
Messaggi: 213
Iscritto il: 07/02/2004, 1:00
Località: Italia
Contatta:

Re: Sicurezza Oscommerce

Messaggio da jerys1974 »

proverò a fare come suggerite ma, una curiosità.
A me hanno attaccato, oltre che l'OSC, anche il livello prima dove ho delle semplici pagine html. Tanto per spiegarmi meglio, nella cartella del server c'è nomecartella ---> index.html che rimanda alla cartella SHOP contenente il l'OSC. E' possibile quindi che, passando per l'OSC poi arrivino anche alle altre cartelle di "livello superiore"?
Seconda domanda: se il file file_manager non serve perché consigliate di cancellarlo, a cosa serve allora? perché è stato inserito?
Emanuele
----------------------------
www.emanuelcristalli.com
rendiamo la tua vita brillante!
Avatar utente
jerys1974
membro Regular
membro Regular
Messaggi: 213
Iscritto il: 07/02/2004, 1:00
Località: Italia
Contatta:

Re: Sicurezza Oscommerce

Messaggio da jerys1974 »

domanda stupida ma...
cambiando il nome alla cartella admin, bisogna poi cambiarla a tutti quei file dove si fa riferimento alla cartella admin?
C'è un modo poi per sapere se i file sono a posto o se magari c'è ancora qualcosa in giro? Che so, un sito di controllo?
Emanuele
----------------------------
www.emanuelcristalli.com
rendiamo la tua vita brillante!
Avatar utente
marcus
membro Master
membro Master
Messaggi: 1619
Iscritto il: 04/12/2003, 1:00
Contatta:

Re: Sicurezza Oscommerce

Messaggio da marcus »

jerys1974 ha scritto:E' possibile quindi che, passando per l'OSC poi arrivino anche alle altre cartelle di "livello superiore"?
Si, è pssibile accedere a tutto lo spazio.
jerys1974 ha scritto: Seconda domanda: se il file file_manager non serve perché consigliate di cancellarlo, a cosa serve allora? perché è stato inserito?
Il file manager ha una falla di sicurezza che consente di accedere allo spazio web.

Saluti
Marcus
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
Avatar utente
marcus
membro Master
membro Master
Messaggi: 1619
Iscritto il: 04/12/2003, 1:00
Contatta:

Re: Sicurezza Oscommerce

Messaggio da marcus »

jerys1974 ha scritto:domanda stupida ma...
cambiando il nome alla cartella admin, bisogna poi cambiarla a tutti quei file dove si fa riferimento alla cartella admin?
C'è un modo poi per sapere se i file sono a posto o se magari c'è ancora qualcosa in giro? Che so, un sito di controllo?
Devi solo modifcare il file configure.php lato admin.

Saluti
Marcus
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
turi64
membro Junior
membro Junior
Messaggi: 39
Iscritto il: 07/05/2005, 13:38
Contatta:

Re: Sicurezza Oscommerce

Messaggio da turi64 »

Scusate, qualcuno mi spiega cosa vuol dire modificare "LATO ADMIN" ??

Mille grazie.
Salvatore
Avatar utente
mario porta
membro Regular
membro Regular
Messaggi: 105
Iscritto il: 04/08/2006, 10:34
Località: Milano
Contatta:

Re: Sicurezza Oscommerce

Messaggio da mario porta »

Lato Admin son tutte le modifiche che devi apportare sotto la cartella amministrazione, non quella di catalogo.
Grazie ad OScommerceItalia oggi abbiamo http://www.pemcomputer.com
Dax87
membro Regular
membro Regular
Messaggi: 100
Iscritto il: 25/08/2010, 12:36
Località: Torino
Contatta:

Re: Sicurezza Oscommerce

Messaggio da Dax87 »

Ho visto che avete ritirato fuori questo post...
Sicuramente importante per tutti noi ....

Mi è successo qualche giorno fa.. Appena ho un attimo provvedo a fare le modifiche citate. vi tengo aggiornati..

ps: immaginando che esegui la procedura da voi indicata come faccio a essere sicuro di aver risolto il problema??

comunque il file_manager.php non l'ho eliminato dal server ho solo limitato i permessi in solo lettura
"500" se nn ricordo male...
infatti aprendo quella pagina da errore.. quindi dovrei essere a posto..

devo solo modificare la cartella admin con un numero alfanumerico .. e quindi andare sul file configure.php e modificare la parte admin mettendoci il codice alfanumerico corretto!!?

solo una cosa non so come fare.. proteggere l'admin con .htaccess se su server linux .. come si fa???
http://www.renner-italia.com
RENNER RICAMBISTICA COMPONENTI PER PIANOFORTI.
Dax87
membro Regular
membro Regular
Messaggi: 100
Iscritto il: 25/08/2010, 12:36
Località: Torino
Contatta:

Re: Sicurezza Oscommerce

Messaggio da Dax87 »

allora menomale ho usato un server di prova...

nella cartella admin/includes/configure.php alla stringa:

Codice: Seleziona tutto

define('DIR_WS_ADMIN', '/admin/');
l'ho sostituita con un numero alfanumerico ex: 4s574df54sf, ho poi messo lo stesso numero alla cartella "admin"

peccato che mi abbia dato errore:

1046 - No database selected

select configuration_key as cfgKey, configuration_value as cfgValue from configuration

[TEP STOP]

O poi rimesso tutto com'era prima... e adesso non va più l'amministrazione area del server di prova :mrgreen:

Dove ho sbagliato!?
http://www.renner-italia.com
RENNER RICAMBISTICA COMPONENTI PER PIANOFORTI.
Dax87
membro Regular
membro Regular
Messaggi: 100
Iscritto il: 25/08/2010, 12:36
Località: Torino
Contatta:

Re: Sicurezza Oscommerce

Messaggio da Dax87 »

volevo cominicarvi che per ora ho solo modificato il file_manager.php solo in lettura... Per ora non mi ha piu' dato problemi di sicurezza...

Una cosa L'admin che dite di modificare, intendete la cartella admin oppure l'admin cioe' username nel pannello amministrazione?

saluti ..

ps: infine non centra una mazza con il post ma sono riuscito ad integrare il PDF catalogo :P
http://www.renner-italia.com
RENNER RICAMBISTICA COMPONENTI PER PIANOFORTI.
Dax87
membro Regular
membro Regular
Messaggi: 100
Iscritto il: 25/08/2010, 12:36
Località: Torino
Contatta:

Re: Sicurezza Oscommerce

Messaggio da Dax87 »

Un sacco di gente viene attaccata soprattutto in questo periodo in cui gli oscommerce vengono violati, ecco alcune risposte:
(Trovate nel sito inglese dell’oscommerce, semplicemente ho cercato di tradurre il post)

È possibile impedire eventuali attacchi con Security Pro:
http://addons.oscommerce.com/info/5752

È possibile monitorare i siti per le modifiche non autorizzate con SiteMonitor :
http://addons.oscommerce.com/info/4441

È possibile bloccare i tentativi di accesso con trappola IP :
http://addons.oscommerce.com/info/5914

È possibile aggiungere protezione htaccess :
http://addons.oscommerce.com/info/6066

È possibile interrompere gli attacchi Cross Site Scripting con Anti XSS :
http://addons.oscommerce.com/info/6044

Assicurarsi inoltre che tutti i file, tranne i 2 file configure.php
dispone di autorizzazioni non superiore a 644.

Le autorizzazioni per i due file configure.php varierà a seconda
del server e del sito - potrebbe essere 644, 444 o 400 questi parametri sono corretti.

Autorizzazioni per le cartelle non devono essere superiori a 755. Se il tuo hosting
richieste di installazione 777 autorizzazioni poi ricordati di cambiare i permessi in host.

È possibile aggiungere http://addons.oscommerce.com/info/6134 per le impostazioni di autorizzazione.


FileManager:

E 'da tempo noto il filemanger è un rischio per la sicurezza e dovrebbe,
anzi deve essere rimosso, se utilizzato per la modifica del tuo sito, è probabile che
danneggi file. E può ottenere l'accesso al sito (dbase incluso!)

Utilizzare un editor normale come FileZilla.

Per rimuovere filemanger:

file_manager.php Elimina dal catalogo / admin

admin aprire / includes / boxes / tools.php e cancellare la riga:

Codice: Seleziona tutto

'<A href = "'. Tep_href_link (FILENAME_FILE_MANAGER) '". 
class = "menuBoxContentLink"> '.BOX_TOOLS_FILE_MANAGER. 
'</ A> <br>'. 

E 'altresì noto che admin / define_language.php è vulnerabile agli
hack stessi filemanger, e quindi dovrebbe essere rimosso. (Io ho limitato l’accesso).

Backup:

Per sicurezza si dovrebbe fare il backup dei vostri dBase e file del sito,
consente di risparmiare una grande quantità di tempo.
Vi consiglio di utilizzare il database di backup automatico nel pannello di Amministrazione.

Spero di essere stato d’aiuto ….

original file:
http://forums.oscommerce.com/topic/3133 ... your-site/

Ho notato che molti di noi dopo il dominio del negozio se si mette la voce admin/index.php o admin/login.php compare la pagina di AMMINISTRAZIONE meglio proteggerla quindi.

http://forums.oscommerce.com/index.php?showtopic=340995
http://www.renner-italia.com
RENNER RICAMBISTICA COMPONENTI PER PIANOFORTI.
ely79
membro Junior
membro Junior
Messaggi: 5
Iscritto il: 23/03/2010, 12:59

Re: Sicurezza Oscommerce

Messaggio da ely79 »

marcus ha scritto: - proteggere l'admin con .htaccess se su server linux
Sapete indicarmi cosa devo scrivere nel file .htaccess??

A me continuano a caricare file php nella cartella images (che causano l'invio massiccio di mail dal server)
Ho cercato informazioni su come proteggere il sito. ho installato i 5 plugin di sicurezza (di cui si parla anche in questo post) e ho letto vari post su come mettere in sicurezza la cartella images con il file .htaccess
solo che ognuno propone un codice diverso e io non so più cosa usare.
Sapete aiutarmi indicandomi il contenuto del file .htaccess??
maury2ma
membro Master
membro Master
Messaggi: 1669
Iscritto il: 10/02/2006, 14:04
Contatta:

Re: Sicurezza Oscommerce

Messaggio da maury2ma »

la forma che deve avere il file è questa (ed è il file che trovi anche nella versione 2.3.1)
ovvio deve essere messo nella cartella IMAGES
http://code.google.com/p/oswai/source/b ... /.htaccess

Codice: Seleziona tutto

# This is used to restrict access to this folder to anything other
# than images
# Prevents any script files from being accessed from the images folder
<FilesMatch "\.(php([0-9]|s)?|s?p?html|cgi|pl|exe)$">
   Order Deny,Allow
   Deny from all
</FilesMatch>
ely79
membro Junior
membro Junior
Messaggi: 5
Iscritto il: 23/03/2010, 12:59

Re: Sicurezza Oscommerce

Messaggio da ely79 »

grazie mille per la risposta.
è lo stesso codice che avevo inserito. eppure riescono lo stesso a caricare file php nella cartella images.
Sto impazzendo, ho controllato tutto il sito. ho addirittura installato tutto da nuovo per paura di avere file infetti eppure i problemi proseguono :|
Rispondi