Arhiva etichetelor: injectie

vulnerabilitate oscommerce injectie de cod

Din jurnalul de accesări ale paginilor de pe serverele Nettissimo:

GET /create_account.php?language=en&osCsid=0bd23d505b9e827959371b26e4cb8857&sa=U&ei=7775UJtT4-bhBISXgeAM&ved=0CP4BEBYwTDj0Aw&usg=AFQjCNHgnWOpMsJ1uYsHOxw2KVImpKO0RA/admin/banner_manager.php/login.php

sau:

GET /create_account.php?language=en&osCsid=0bd23d505b9e827959371b26e4cb8857&sa=U&ei=7775UJtT4-bhBISXgeAM&ved=0CP4BEBYwTDj0Aw&usg=AFQjCNHgnWOpMsJ1uYsHOxw2KVImpKO0RA/admin/file_manager.php/login.php

Site vizat: un site care rulează platforma de ecommerce oscommerce.

Browser-ul folosit de hacker pare real (Firefox), în spatele atacului stă un IP din Turcia (195.244.34.137) şi o persoană aparent umană, nu un robot spion.

Accesarea unor linkuri care conţin câmpurile file_manager si banner_manager ale unor platforme oscommerce permite hackerilor să inecteze cod malitios în site-urile atacate. Acest cod maliţios constă în general în scrierea de iframe-uri sau elemente de script pe paginile site-urilor atacate.

Când un client vizitează paginile sparte si încarcă elementele de script sau iframe-urile injectate pe acele pagini poate descărca un virus care i se instalează pe calculator.

Hackerul care a spart pagina poate urmări IP-urile de la care s-a efectuat instalarea virusului si poate exploata in continuare mai departe calculatorul virusat pentru scopurile sale.

Mai mult de 8 milioane de pagini ruland oscommerce fuseseră astfel atacate în iulie 2011, conform acestui articol de la armorize.

Varianta de oscommerce vizată: 2.3.1

Conform cu site-ul oscommerce de la data de 18/01/2013 ultima variantă disponibilă de oscommerce: 2.3.3.

Iarăşi nu pot decât să subliniez maxima importanţă a actualizărilor periodice ale platformelor populare folosite pe internet.

Aceste actualizări, din experienţa mea, nu sunt din păcate făcute decât relativ rar, ceea ce lasă site-urile respective vulnerabile la asemenea atacuri. Majoritatea proprietarilor de site-uri care rulează asemenea platforme populare apelează la un webmaster care „îşi face treaba” şi pe urmă gata, nimic nu se mai schimbă în timp la pagina respectivă.

Soluția rapidă este să fie rebotezat directorul admin din varianta respectivă de oscommerce în altceva – de pildă antihacker. Poate fi rebotezată aşa cum este descris in acest articol. Astfel hackerul nu va mai fi capabil să acceseze linkurile respective deoarece pur şi simplu nu le va cunoaşte.

Şi mai rapidă este protejarea prin parolă a accesului la directorul admin (în Cpanel funcţiunea password protect directories). Sau ambele pentru paranoici :)