► Hack xtc XT:Commerce Sicherheitsupdates / Security Update 

Ein gemeinsames Ziel fordert eine gemeinsame Sprache.

Hier unsere Erklärungen zu den Fachbegriffen die wir in unserer Kommunikation verwenden und Erläuterungen zu den Entwicklungen die wir anbieten.

• Hack xtc XT:Commerce Sicherheitsupdates / Security Update

Hier haben wir einige Sicherheitsrelevanten Modifikationen für OsCommerce und deren Forks zur Verfügung gestellt.

Gambio, xtc-Modified, XT-Commerce, Commerce, eComBase Shop, commerce:SEO, Self-Commerce sind alles Softwarelösungen, welche auf OsCommerce zurück gehen. Aus diesem Grund ist der Aufbau der Programmierug in vielen Fällen gleich und leider auch damit die Fehler.
Nachfolgend möchte ich Sie auf einige relevante Updates aufmerksam machen.

Wir haben in den vergangen Jahren so häfig Online-Shops von Male-Ware befreit, dass wir Ihnen getrost auch diesen Service anbieten können oder Ihnen auch gerne bei der Absicherung Ihres Shops behilflich sein können. Am besten Sie rufen direktt an, egal ob Tag oder Nacht, Sonntag oder Wochentag. Wir helfen Ihnen gerne.

Hier eine loose Sammlung von möglichen Schwachstellen und deren Abhilfe

• application_top.php
  $PHP_SELF = $_SERVER['PHP_SELF'];
  sollte in
  $PHP_SELF = $_SERVER['SCRIPT_NAME'];
  geändert werden.
  
  Besser noch ist diese Variante:
  
  PHP_SELF - Variable austauschen durch dieses konstrukt

      /**
      * Reliably set PHP_SELF as a filename .. platform safe
      */
      function setPhpSelf() {
        $base = ( array( 'SCRIPT_NAME', 'PHP_SELF' ) );
        foreach ( $base as $index => $key ) {
          if ( array_key_exists(  $key, $_SERVER ) && !empty(  $_SERVER[$key] ) ) {
            if ( false !== strpos( $_SERVER[$key], '.php' ) ) {
              preg_match( '@[a-z0-9_]+\.php@i', $_SERVER[$key], $matches );
              if ( is_array( $matches ) && ( array_key_exists( 0, $matches ) )
                                        && ( substr( $matches[0], -4, 4 ) == '.php' )
                                        && ( is_readable( $matches[0] ) ) ) {
                return $matches[0];
              } 
            } 
          }
        } 
        return 'index.php';
      } // end method 
      
  
      $PHP_SELF = setPhpSelf();
  

• affiliate_show_banner.php
  Hier ist notwendig und für alle xt-commerce und os-commerce-shops von Relevanz, dass in der Zeile ca. 107 vor jedem übergebenen Wert durch GET oder POST ein (int) geschrieben wird.
  

  // Register needed Post / Get Variables
    if ($HTTP_GET_VARS['ref']) $affiliate_id=(int)$HTTP_GET_VARS['ref'];
    if ($HTTP_POST_VARS['ref']) $affiliate_id=(int)$HTTP_POST_VARS['ref'];
  
    if ($HTTP_GET_VARS['affiliate_banner_id']) $banner_id = (int)$HTTP_GET_VARS['affiliate_banner_id'];
    if ($HTTP_POST_VARS['affiliate_banner_id']) $banner_id = (int)$HTTP_POST_VARS['affiliate_banner_id'];
    if ($HTTP_GET_VARS['affiliate_pbanner_id']) $prod_banner_id = (int)$HTTP_GET_VARS['affiliate_pbanner_id'];
    if ($HTTP_POST_VARS['affiliate_pbanner_id']) $prod_banner_id = (int)$HTTP_POST_VARS['affiliate_pbanner_id'];
      

• .htaccess Cross Site Scripting (CSS) bei php als CGI
  Fügen Sie in Ihre .htaccess-Datei folgenden Quellcode ein
  
  

          RewriteEngine on
          RewriteCond %{QUERY_STRING} ^[^=]*$
          RewriteCond %{QUERY_STRING} %2d|\- [NC]
          RewriteRule .? . [F,L] 
          # Diverse xtc Hackversuche abweisen.
          RewriteCond %{QUERY_STRING} ^(.*)action=(http|https|ftp)://(.*)$ [NC]
          RewriteRule ^.* - [F]
   
          RewriteCond %{QUERY_STRING} ^(.*)coID=(http|https|ftp)://(.*)$ [NC]
          RewriteRule ^.* - [F]
   
          RewriteCond %{QUERY_STRING} ^(.*)XTCsid=(http|https|ftp)://(.*)$ [NC]
          RewriteRule ^.* - [F]
  
          RewriteCond %{QUERY_STRING} ^(.*)action=https://(.*)$ [NC]
          RewriteRule ^.* - [F]
          

• banner_manager.php
  Es ist bekannt, dass die banner_manager.php aufgrund der Möglichkeit des Uploads einer Datei ein fortwährends Risiko darstellt. Das Beste ist, direkt am Beginn der Seite, nach Noch sicherer ist es allerdings diese Seite komplett zu löschen.
• file_manager.php
  Es ist bekannt, dass die file_manager.php aufgrund der Möglichkeit des Uploads einer Datei ein fortwährends Risiko darstellt. Das Beste ist, direkt am Beginn der Seite, nach
• Clean $_POST und $_GET

      reset($_POST);
      while (list($key, $value) = each($_POST)) {
          if (!is_array($_POST[$key])) {
              $_postVar               = preg_replace("/[^ a-zA-Z0-9@%:öäüß\{\}_\.-]/i", "", urldecode($_POST[$key]
              $_postVar               = preg_replace("/hex|insert into|select |update /i", "", $_postVar);
              $_POST[$key]            = $_postVar;   
              $HTTP_POST_VARS[$key]   = $_postVar;   
          } else { 
              // better use a callback function
              unset($_POST[$key]); 
          } // no arrays expected 
      

  Das gleiche dann nochmlas für $_GET einsetzten. Allerdings sind hier keine multi-dim-arrays erlaubt. Bei komplexeren Modifiktionen der Shops (sprachen etc) empfiehlt es sich hier noch einen Workaround zu programmieren. Auch ist die Einschränkung der Sonderzeichen mit Vorsicht zu geniessen. Da es bei dem Einsatz von fck-Editor zu unschönen Fromatierungen kommen kann.
• Who is online (whois_online.php) Die Seite whois_online.php, welche in OsCommerce und XtCommerce (Gambio und anderen Forks) vorkommt hat birgt eine Sicherheitslücke beim ausgeben der Übersicht, so daß der Admin unfreiwilliger Weise ein Script ausführen kann.
  In der while-Schleife sollte deshalb diese Zeitle an erster Stelle eingefügt werden.
  

  
      $whos_online_query = xtc_db_query("select customer_id, full_name, ip_address, time_entry, time_last_click, last_page_url, session_id from " . TABLE_WHOS_ONLINE ." order by time_last_click desc");
      while ($whos_online = xtc_db_fetch_array($whos_online_query)) {
      +>    $whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']);
      

• Image-Folder sauber halten
  Aufgrund der Dateiberechtigungen ist der Image-Folder als auch der tmp-Folder immer eine große Gefahr für den Shopbetreiber.
  Eine etwas stumpfe, jedoch in sich wirksame Methode ist es einen Cronjob über Ordner laufen zu lassen, welche dem Webserver (in der apache.conf unter "User" und "Group" zu finden) schreibrechte einrät.
  
  Nachfolgend ein kleines bash-script, welches sicherlich verbessert werden kann, doch für die Allgemeinheit recht trefflich sein sollte.
  VORSICHT JEDOCH!! dieses Script löscht Dateien entgütig von Ihrem Webserver.
  

  #!/bin/bash
  #
  # clean image and tmp - folders by AdOptimize 
  #
  # Alle Ordner die sich innerhalb diesen Ordners befinden werden als BilderOrdner angesehen. Hier sind nur Bilder erlaubt. 
  # Folglich kann man alle anderen Dateien, die sich nicht als Bild identifizieren lassen löschen 
  _imageFolder="images";
  #
  # Diese Folder beinhalten Dateien, welche nur temporaer gebraucht werden und nach einer Ablaufzeit X geloescht werden koennen.
  #
  _tmpFoldersLivingTime=8;
  _tmpFolders="templates_c cache tmp";
  #
  # clean imageFolders
  #
  
  --> Das Script haben wir bisher in diesem Umfang noch nicht eingesetzt, so dass wir uns die Zeit nehmen muessen verschiedene Einzelscript die bei uns im Einsatz sind hier zu vereinigen.
  Bitte um etwas Geduld bei der Verfollstaendigung dieser Seite oder geben Sie uns direkt den Auftrag Ihren Webserver abzusichern. info@adoptimize.de
      

• PHP ausführen verbieten
  Über einen kleinen bash-befehl lässt sich herausfinden wo der Webserver Schreibrechte besitzt. Wie oben genannt sind das meist die cache-, temp- und Bilder - Folder die vom Webserver beschrieben werden müssen.
  Meist ist der Webser-User www-data/www-data oder wwwdata/wwwdata. Am sichersten ist es jedoch direkt in der apache.conf nachzusehen für wen sich unser Webserver eigentlich hät.

  find -user www-data -type d -perm /u+w
      

  Die da aufgeführten Folder sind zu überprüfen ob es auch sinnig ist diese so mit den Schreibrechten zu versehen. Die Insepktion der Folder kann und sollte natuerlich noch auf Guppen erweitert werden.
  
  Interessant auch zu sehen, welche Ordner eine Schreibberechtigung haben, die über die des erstellers hinaus gehen:

  find -type d -exec ls -ld {} \; | grep drwxrwxr
  oder
  find -type d -exec ls -ld {} \; | grep drwxrwxrwx
  

  
  In die besagten Folder legt man am besten eine .htacces-Datei oder erweitert diese mit den folgenden Zeilen

  
  order allow,deny
  deny from all
  
  

• XT-Commere magicr_quotes runtime Sicherheitsrisiko.
  Wenn magic_quotes Runtime aktiviert sind, sollten Sie unbedingt auch die application_top.php nach SEARCH_ENGINE_FRIENDLY_URLS untersuchen. Dort werden die übergebenen _GET-Parameter unsicher übergeben. Folgender Zusatz sollte deshalb nach dem regulären befüllen der _GET-Parameter eingefügt werden.
  

  1. Nach der Zeile:  $_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);
     if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);
  einfügen.
  2. Nach der Zeile: $_GET[$key] = htmlspecialchars($value);
     if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);
  einfügen
  

  In der Datei includes/modules/metatags.php, fügen Sie ein (int) vor dem _GET['coID'] - Parameter ein, so dass immer nur echte Zahlen übergeben werden.

  Aus:
   $categories_meta_query = xtDBquery("SELECT categories_meta_keywords,
                                                      categories_meta_description,
                                                      categories_meta_title,
                                                      categories_name
                                                      FROM " . TABLE_CATEGORIES_DESCRIPTION . "
                                                      WHERE categories_id='" . $_cPath . "' and
                                                      language_id='" . (int)$_SESSION['languages_id'] . "'");
  wird 
   $categories_meta_query = xtDBquery("SELECT categories_meta_keywords,
                                                      categories_meta_description,
                                                      categories_meta_title,
                                                      categories_name
                                                      FROM " . TABLE_CATEGORIES_DESCRIPTION . "
                                                      WHERE categories_id='" . (int)$_cPath . "' and
                                                      language_id='" . (int)$_SESSION['languages_id'] . "'");
  
  und aus:
  $contents_meta_query = xtDBquery("SELECT content_heading
                                                          FROM " . TABLE_CONTENT_MANAGER . "
                                                          WHERE content_group='" . $_GET['coID'] . "' and
                                                          languages_id='" . (int)$_SESSION['languages_id'] . "'");
  wird
  $contents_meta_query = xtDBquery("SELECT content_heading
                                                          FROM " . TABLE_CONTENT_MANAGER . "
                                                          WHERE content_group='" . (int)$_GET['coID'] . "' and
                                                          languages_id='" . (int)$_SESSION['languages_id'] . "'");
  

  Hinweis: An den stellen wo immer Zahlenwerte gefragt sind, sollten die übergebenen Werte mit (int) auch zu echte Zahlen konvertiert werden.
• XT-Commerce banktransfer_validation.php
  die Zeile

  $blz_query = xtc_db_query("SELECT * from banktransfer_blz WHERE blz = '" . $blz . "'");
  muss mit 
  $blz_query = xtc_db_query("SELECT * from banktransfer_blz WHERE blz = '" . xtc_db_input($blz) . "'");
  abgesichert werden.
  

• Hack-Save der checkout_payment_address.php
  Ca. auf der Zeile 172 sollte

          $_SESSION['billto'] = xtc_db_prepare_input($_POST['address']);
  in
          $_SESSION['billto'] = (int)($_POST['address']);
  geändert werden.
  

• Absichern der xtc_currency_exists.inc.php
  die Zeile: $currency_code = xtc_db_query("SELECT code, currencies_id from " . TABLE_CURRENCIES . " WHERE code = '" . $code . "' LIMIT 1"); durch die Zeile $currency_code = xtc_db_query("SELECT code, currencies_id from " . TABLE_CURRENCIES . " WHERE code = '" . xtc_db_input($code) . "' LIMIT 1"); ersetzten.
  
  
• XT-Commerce Passwort double opt-in absichern
  In die Datei xtc_validate_email.inc.php folgenden Zusatz am Anfang der Funktion xtc_validate_email einfügen.

      if (strpos($email,"\0")!==false) {return false;}
  

• Bereinigen der infizierten Dateien
  Nachfolgend ein kleines Script welches eine infizierte Webseite vom Schadcode bereinigen kann. Für die meisten Script-Kiddies sollte das ausreichend sein. Allerdings ist das keine Garantie, dass der Hacker ausgesperrt ist. FTP-Hacks sind immer beliebter, zumal diese in kurzer Zeit zu machen sind. Passwörter ändern ist sozusagen ein muss!

  #!/bin/bash
  # find infected files and remove the virus
  #
  # VORSICHT das script ist mächtig und kann mächtig viel kaputt machen es gibt noch ein paar
  # besondere Fälle, welches das script noch nicht behebt. Deshalb undbindet vorab testen und
  # vorher nachher vergleichen
  # 
  # die infizierten files sind in diesem Fall mit 68c8c7 umgeben gewesen
  # der teil welcher den virus kennzeichnete war in dieser Form im Quellcode 
  #
  # <!-- 68c8c7 --> ...bla ..<!--/68c8c7-->
  # #68c8c7# ...bla ..#/68c8c7
  # /*68c8c7*/ ...bla ../*/68c8c7*/
  #
  # Das Script entfernt alles zwischen den oben genannten elementen 
  
  
  _infected=`grep -ril '68c8c7' ./`
  
  for file in $_infected;
  do
  
       if [[ "$file" =~ "hacked_files" ]];
       then
          echo "backde up files $file";
  
       else
          # posix hack wegen letzter line die keinen
          # zeilenumbruch hat und deshalb im loop verloren geht
          echo -e "\n" >> $file;
  
  
          LINEOUT="";
          close=1;
          while IFS='' read -r LINE; do
  
                  if [[ "$LINE" =~ "68c8c7" ]]; then
                          if [[ "$LINE" =~ "/68c8c7" ]]; then
                                  close=1;
                          else
                                  close=0;
                          fi
  
                          #if [[ "${LINE}" =~ ".68c8c7.*68c8c7." ]]; then
                          #       echo "one Liner"
                          #else
                          #       echo "two Liner"
                          #fi
  
                          CLEANLINE=`echo ${LINE} | sed -E 's/68c8c7.*68c8c7/ ADOPTIMIZE REMOVER /';`
                          LINEOUT=`echo -e "$LINEOUT \n $CLEANLINE"`;
                  else
                          if [ $close -eq 1 ];
                          then
                                  LINEOUT=`echo -e "${LINEOUT}\n${LINE}\n"`
                          fi
                  fi;
  
          done <"$file";
          echo "${LINEOUT}" > $file.hack
          mv $file.hack $file;
  
      ## ende backup files unberuehrt lassen
      fi
  done;
  
  

• fali2ban und denyhosts
  Mit Erfolg haben wir fail2ban und auch denyhosts seit vielen Jahren im Einsatz. Es ist dringend ratsam seinen V-SERVER oder ROOT-SERVER mit diesen kostenfreien Scripten ausustatten.
  
  
• Plesk Security Check
  Sicherheitshalber sollte man bis Version 11, insofern man Plesk verwendet, überprüfen.
  1) Laden Sie hierzu die Datei, welche von Plesk zur Verfügung gestellt wird How to make sure your Plesk Panel 8.x, 9.x, 10.0, 10.1, 10.2, or 10.3 is not vulnerable herunter und testen Sie Ihre Server.
  
  2) Ggf. laden Sie anhand dieser Plesk-Versionstabelle Server Vulnerability Fix auf der Paralles Webseite welcher Patch für Ihr System in Frage kommt.

Zeichenerklärung
Hinweis:
Verweies innerhalb der Seite:
Link auf eine Erklärung im Detail:
Verweies auf eine andere Webseite:

---

We optimize your success

ERP- & Marketing Software + Beratung

Google Adwords, Yahoo & Affiliates