針對 osCommerce 漏洞的大規模掛碼攻擊
最後更新
2011年08月12日
發佈日期:
2011年08月02日
5197
觀看次數
風險: 高度風險
類型: 攻擊 - 其他
在 osCommerce 應用程式發現多個漏洞,駭客可利用漏洞於受影響的 osCommerce 網站插入惡意內容。
有報告指出,最近出現大規模掛碼攻擊事故,針對使用 osCommerce 的網站,被嵌入的 "<iframe>" 及 "<script>" 都是含有惡意連結,並透過多種攻擊手法令電腦受到感染。該攻擊充分利用幾個 osCommerce 的漏洞,包括
- osCommerce 遠端編輯網站資料漏洞 [2011年7月10日被披露]
- osCommerce 2.3.1 (banner_manager.php) 遠端檔案上載漏洞 [2011年5月14日被披露]
- osCommerce Online Merchant v2.2 檔案披露及繞過管理員驗證繞過漏洞 [2010年5月30日被披露]
影響
- 遠端執行程式碼
受影響之系統或技術
- osCommerce Online Merchant v2.x
- osCommerce Online Merchant v3.x
解決方案
網站管理員:
- 偵測
- 如遇到以下情況,伺服器可能已被嵌入掛碼或感染病毒
- 從伺服器記錄檔搜尋
- 來自以下 IP 位址的訪問: 178.217.163.33 , 178.217.165.111 , 178.217.165.71 ,178.217.163.214
- 並且含有以下代理字串的訪問: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)
- 搜尋網站是否含有以下連結的 <iframe> 或 <script> 標籤
- hxxp :// willysy . com / images / banners /
- hxxp :// exero . eu / catalog / jquery . js
- hxxp :// tiasissi . com . br / revendedores / jquery /
- hxxp :// adorabletots . co . uk / tmp / js . php
- 由於此連結清單會隨著該攻擊的惡意程式寄存位置變化而有所更改,如發現任何其他可疑程式碼,請盡快通知我們
- 從伺服器記錄檔搜尋
- 如遇到以下情況,伺服器可能已被嵌入掛碼或感染病毒
- 還原
- 尋找及刪除受感染的後門病毒程式
- 尋找及刪除被嵌入的 iframe 或 script
- 預防
- 安全建構 osCommerce 的安裝
http://forums.oscommerce.com/topic/313323-how-to-secure-your-oscommerce-22-site/ - 升級至最新版本
http://www.oscommerce.com/solutions/downloads - 利用 .htaccess 及驗證密碼保護 admin 目錄 (/admin/)
http://httpd.apache.org/docs/current/howto/htaccess.html#auth
- 安全建構 osCommerce 的安裝
- 更改網站寄存帳戶及 osCommerce 管理員帳戶密碼
終端用戶:
- 維持保安修補程式及保安軟件更新,並開啟個人防火牆及保持高度警惕
- 注意瀏覽器或保安軟件的保安警告訊息,切勿到訪可疑的網站,或停用瀏覽器的JavaScript
漏洞識別碼
- 暫無 CVE 可提供
資料來源
相關連結
分享至