Home  > Produkte > Templates > XT-Commerce
hsitt

XT-Commerce

Datum: 05.06.2012   Zeit:10:16:50 | Geschrieben von: Administrator

Da wir keine XT-Commerce Templates Schreiben,

möchten wir sie an Bluegate Communications verweisen.

www.bluegate.at/shop/xtCommerce-304



Bitte beachten sie beim einsatz von XT-Commerce Folgende Informationen, diese Stellen sicher das ihr Shop nicht auf einmal weg ist.

Wichtig

Eine türkische Hacker-Gruppe ist derzeit extrem aktiv.
Neben verschiedenen Software-Installationen ist eines der Ziele der Onlineshop XT-Commerce Version 3.0.4.
Die aktuelle Version ist die SP 2.1 aber
Vorsicht: Die “Servicepack Version 2.1″ gibt es unglückseligerweise in
zwei Versionen – eine Version mit und eine ohne Security-Patch!
Beide Versionen weisen sich nach außen hin gleich aus – als Version 3.0.4 SP 2.1 ….

Die Version ohne Security-Patch bietet den Hackern bei aktivierten SEO Urls und aktivierten magic_quotes folgende Möglichkeit:

  1. Über Google wird nach dem Pfad-Segment “/shop_content.php/coID/” gesucht
  2. Dank eines Exploit gelangen die Hacker via SQL-Injection in den Admin-Bereich.
  3. Über die Upload-Funktion wird nun ein angebliches Bild hoch geladen, nur das die Software gar nicht prüft,
    ob es sich um ein Bild handelt, tatsächlich lässt sich ein PHP-Script hoch laden!

Nach erfolgreichem Upload der PHP-Shell (C99Shell.B) haben die
Hacker umfassenden Zugriff auf die Webseite und “Defacen”
in der Regel die Index-Seite, was dann so aussieht:

Wollen Sie das für Ihren XT-Commerce-Shop vermeiden, dann haben sie mehrer Optionen:

1. Den Security-Patch installieren, um die SQL-Injection abzufangen -> PFLICHT!
Hier gibt es den Patch: Security-Patch für XT-Commerce 3.0.4 SP 2.1

2. Die Ausführung von PHP-Scripten in allen Upload-Verzeichnissen mittels .htaccess unterbinden
(um das Problem mit der mangelhaften Upload-Überprüfung auch zukünftig zu verhindern) -> auch PFLICHT!


<Files *.php>
Order deny,allow
Deny from All
</Files>

3. Bei Zugang mit einer statischen IP biete sich die Möglichkeit, das ganze admin-Verzeichnis
für alle IPs bis auf die eigene zu sperren, bei Zugang mit dynamischer IP kommt zumindest
ein zusätzlicher Verzeichnis-Schutz mit Passwort in Frage.

4. Wenn Punkt 3 nicht möglich ist (z.B. wegen Zugang zum Internet via dynamischer IP),
dann sollte das Admin-Verzeichnis unbedingt zusätzlich per
.htaccess mit einem Verzeichnisschutz versehen werden!
Die .htaccess sieht dafür so aus:

 

AuthType Basic
AuthUserFile /...absoluter...pfad...zur...datei.../.passwd
AuthName "Zugangsberechtigung"
order deny,allow
allow from all require valid-user

Die Password-Datei ist etwas kniffliger zu erstellen, wenden Sie sich hierzu an einen Administrator Ihres Vertrauens.
Sie benötigen hierzu das Programm htpasswd, dies ist in den Dateien für Apache enthalten
und existiert dementsprechend in Varianten für alle Betriebssysteme,
für die auch eine Apache-Version existiert. Alternativ bieten Systeme wie Plesk auch die Möglichkeit an,
den Verzeichnisschutz komplett via Dashboard zu erstellen.

Was tun, wenn Ihr Shop bereits gehackt wurde?

Kontrollieren Sie alle Upload-Verzeichnis, PHP-Scripte haben dort NICHTS zu suchen!


Premium Hosting 24,
Ihr Suchmaschinen-Optimierer

Dieser Artikel stammt von Premium Hosting 24 All Copyright© by Premium Hosting 24

Mehr Informationen unter:

 

Premium-Hosting-24

Stephan Hertz
Bandwirkerstr. 40
22041 Hamburg

Telefon & Fax: +49 (0)1212-6-257-75-000


Mit freundlichen Grüßen
H.S.I.T.T. Internet 2000™

Zu letzt Aktualisiert: 05.06.2012
IP-Adresse

 

 H.S.I.T.T. Internet 2000™ Austria auf Facebook

 H.S.I.T.T. Internet 2000™ Germany auf Facebook

 H.S.I.T.T. Internet 2000™ auf Twitter