Veszélyben az osCommerce webáruházak

Az OsCommerce webáruházak rendkívül népszerűek, hiszen nyílt forráskódú, könnyen bővíthető ingyenes rendszerről van szó. A népszerű szoftverek pedig sajnos nemcsak a jóindulatú felhasználók körében népszerűek...
A 2.3 verzió előtti osCommerce webshop rendszerek (MS2.2, RC2.2a) sajnos továbbra is közkedvelt célpontjuk a rosszindulatú hackereknek, a feltört webáruházak jelentős része egy ukrán "uriember"-nek és egy török hacker csoportnak köszönhető, az ezzel kapcsolatos részletek itt olvashatóak:

[securi.net]

Tavaly év végén ismét ugrásszerűen megnőtt a feltört webáruházak száma,
ugyanis ilyenkor szoktak "feltörési versenyeket" szervezni... :(

A feltörések módszerei és a feltörés végeredménye is igen változatos.
Az esetek egyik részében php és/vagy javascript kódot szúrnak a webáruházunk fájljaiba
hogy onnan fusson a weblapjukon elhelyezett trójai vírus, vagy átvegyék az irányítást webáruházunk felett.
Néha 1-1 .htaccess fájlt töltenek fel minden domainunk főkönyvtárába, ami átirányítást végez a hacker által előkészített oldalra.

Számos esetben kizárólag az adatlopás a cél, hiszen ügyfeleink teljes név és címlistája számukra is értékes és el is adják sajnos. Viszont ha nem vigyáz valaki akkor a fertőzött weboldalt meglátogatva trójai települ a gépére, ami már komolyabb károkat is okozhat, például ellophatja jelszavainkat, bankkártya adatainkat is.

Hogyan vesszük észre, hogy már megtörtént a baj ?

- Firefox-szal böngésszük az oldalunkat és piros figyelmeztető üzenetet kapunk
- A főkönyvtárban, illetve más mappákban is új fájlok tűnnek fel, melyek eddig nem volt ott
pl.: fly.php, rss.php, a.php, r57.php, c99.php,
- .php .js .htm .html , fájljaink legelején vagy legvégén egy új programsor jelenik meg.
- mindenképpen ellenőrizzük a cookie_usage.php fájlt a főkönyvtárban és az includes/languages/magyar/
valamint az összes többi nyelvi könyvtárban is.
Az új sor többnyire egy kódolt php utasítás ami eval(base64_decode(... illetve valamilyen javascript kód, mely lefutásakor egy rejtett keretben futtatja a trójait.
- a domain főkönyvtárába feltöltenek egy látszólag üres .htaccess fájlt, ami egy fertőzött oldalra irányít át (a fájl nem üres, de csak akkor látszik a tartalma, ha ügyesen scrollozol jobbra és le)
- a css fájlokban hozzáfűznek egy expression(eval(unescape kezdetű sort

Hogyan védekezzünk ?

1. legyen nagyon jó vírusírtó-tűzfal páros a gépünkön ! (nem feltört, mert ugye abban is van egy trójai...)
2. a webáruház admin könyvtárat mindenképpen lássuk el kiegészítő htaccess könyvtárvédelemmel is!
3. az admin könyvtár neve ne admin legyen, nevezzük át olyanra amit csak mi tudunk !
(az admin/includes/configure.php fájlban mind a két helyen módosítsuk az admin mappa nevét az új könyvtár nevére)
4. a könyvtáraink ne legyenek listázhatóak !
Ezt a lehetőséget bizonyos tárhely szolgáltatóknál az admin felületen be lehet kapcsolni, vagy más szolgáltatónál a főkönyvtárban lévő
.htaccess fájlt ki kell egyészíteni +1 sorral: Options -Indexes
5. a szerveren legyen kikapcsolva a register_globals
6. az admin/includes/application_top.php 136.sorában ezt keressük meg:
$current_page = basename($_SERVER['PHP_SELF']);
helyette ezt írjuk be:
$current_page = basename($_SERVER['SCRIPT_FILENAME']);
7. Az admin mappából töröljük a file_manager.php fájlt
8. Az images mappába töltsünk fel egy .htaccess fájlt, aminek ez legyen a tartalma:
(nem az admin mappában, hanem a webáruház images mappába)

# Prevents any script files from being accessed from the images folder
<FilesMatch "\.(php([0-9]|s)?|s?p?html|cgi|pl|exe)$">
Order Deny,Allow
Deny from all
</FilesMatch>

Ez a fájl megvéd attól, hogy a távolról az images mappába feltöltött php fájl futtatható legyen.

9. A webshop gyökér könyvtárában lévő .htaccess fájlt egészítsük ki ezzel:
#Védelem RFI támadással szemben
RewriteEngine On
RewriteCond %{QUERY_STRING} ^.*=(ht|f)tp\://.*$ [NC]
RewriteRule .* - [F,L]

(Ha van már olyan sor, hogy RewriteEngine On akkor természetesen nem kell mégegyszer.)

A webshop fájlfeltöltőjével (UFR) szokták a hackerek feltölteni a saját php programjukat.
UFR: Unrestricted File Upload (távoli fájl feltöltése)
Ezt megakadályozhatjuk többféleképpen is, de a legegyszerűbb, ha nem engedünk bármit feltölteni, csak jpg és png fájlt.
Az admin/includes/classes/upload.php fájlban így módosítsuk az upload osztály upload metódusának első sorát:

function upload($file = '', $destination = '', $permissions = '777', $extensions = array('jpg','png') ) {

A programozói vénával megáldottaknak azt javaslom, hogy a teljes beléptetést és a tokenes űrlapvédelmet is emeljék át a legújabb, 2.3.1 verzióból a védendő webshopba.

További információkat az Oscommerce Magyarország weboldalán találsz: [Oscommerce Magyarország]