osCommerce 2.3.1 (banner_manager.php) repariert

Auf meinem eigenen Webserver betreibe ich einen "Honeypot", welcher Zugriffe, die postentiell Angriffen dienen, ausfiltert, den Angreifer aussperrt und mich dann recht detailiert über den Zugriffsversuch informiert. Hierdurch ist mir aufgefallen, dass es Zugriffe auf eine nicht existente Datei "/admin/banner_manager.php?action=insert" gab. Ein solches gibt gibt es bei osCommerce 2.3.1 - und offensichtlich ist dieses Skript Träger eines gar nicht so kleinen Problems:

Es dient (eigentlich) dem Upload von Grafiken. Das "eigentlich" bedeutet, dass man mit dem Skript auch sonstwas hochladen kann, zum Beispiel eine Datei "shell.php" mit welcher man danach quasi unbegrenzt Zugang auf das System hat. Dateien verändern, Preise ändern - alles kein Problem. Die hochgeladene Datei lag dann übrigens unter "/images/yourshell.php". Das Problem an sich ist auch schon bekannt

Ich habe das auf einer Installation des aktuellen osCommerce 2.3.1 nachvollziehen können. Nach einem Blick in den Quellcode habe ich es mit wenigen Zeilen Programmcode repariert. Jetzt wird nicht der beim Upload von der Clientseite angegebene Content-Tpye benutzt, sondern der tatsächliche und der Upload nicht finalisiert.

Bei der konkreten Installation war dann - außer einen kleinen Nachkontrolle - nichts mehr zu tun, denn auf den Ordner /admin/ hat man da nur autorisiert Zugriff. Aber ein in anderen Fällen existierender Mitarbeiter, dem man die Zugriffsrechte (warum auch immer) entzogen hat, könnte sich dort vorher ein "Backdoor" (eine Hintertür) eingebaut haben.

Der Angreifer mit der IP "208.167.227.51" hatte bei mir zumindest Pech: Diese IP ist erst einmal automatisch gesperrt worden. Auf diesen Leser lege ich wenig Wert.


Weitere Informationen in diesem Bereich: