Sicurezza Oscommerce

[mario porta]

Ciao a tutti,.

dato che continuo a vedere siti bucati,..e,..nei log del mio sito vedo script che cercano ancora falle di OSC volevo solo invitare tutti gli utilizzatori di controllare in questo post se le modifiche ai Vostri siti sono state effettuate:

http://forums.oscommerce.com/topic/3133 ... your-site/

qualcuno ha solo rinominato il files_manager dal lato admin ma non e' sicuro lasciarlo,..questo file ha un bug enorme,..quindi rimuovetelo dal server e utilizzate un'alternativa.

questo e' un'esempio di cosa cercano :

[Fri May 07 21:56:43 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phpmyadmin
[Fri May 07 21:56:45 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/pma
[Fri May 07 21:56:46 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/admin
[Fri May 07 21:56:48 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/dbadmin
[Fri May 07 21:56:49 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/mysql
[Fri May 07 21:56:50 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/php-my-admin
[Fri May 07 21:56:52 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/myadmin
[Fri May 07 21:56:53 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/PHPMYADMIN
[Fri May 07 21:56:54 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phpMyAdmin
[Fri May 07 21:56:55 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/config
[Fri May 07 21:56:57 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phppgadmin
[Fri May 07 21:56:58 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phpmyadmin2
[Fri May 07 21:56:59 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/phpMyAdmin2
[Fri May 07 21:57:01 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/mail
[Fri May 07 21:57:02 2010] [error] [client 79.125.116.101] File does not exist: S:/Apache/htdocs/webmail


io sto' monitorando un tentativo di script che tenta di attaccare il file general.php vi faro' sapere..

Se qualcuno ha alte informazioni al riguardo fatemi sapere.

Buone vendite!

[marcus]

L'ho già scritto ma penso valga la pena ripeterlo.

Per minimizzare la probabilità di attacchi/ iniezioni di codice maligno nel vostro shop oscommerce:

- togliere file_manager.php
- proteggere l'admin con .htaccess se su server linux
- cambiare in ogni caso nome alla cartella admin con un nome alfanumerico casuale tipo password per intenderci (Es: 578ug64509)

Si tratta di tre punti molto semplici da attuare ma di importanza cruciale per la sicurezza.



Saluti
Marcus

[jerys1974]

proverò a fare come suggerite ma, una curiosità.
A me hanno attaccato, oltre che l'OSC, anche il livello prima dove ho delle semplici pagine html. Tanto per spiegarmi meglio, nella cartella del server c'è nomecartella ---> index.html che rimanda alla cartella SHOP contenente il l'OSC. E' possibile quindi che, passando per l'OSC poi arrivino anche alle altre cartelle di "livello superiore"?
Seconda domanda: se il file file_manager non serve perché consigliate di cancellarlo, a cosa serve allora? perché è stato inserito?

[jerys1974]

domanda stupida ma...
cambiando il nome alla cartella admin, bisogna poi cambiarla a tutti quei file dove si fa riferimento alla cartella admin?
C'è un modo poi per sapere se i file sono a posto o se magari c'è ancora qualcosa in giro? Che so, un sito di controllo?

[marcus]

E' possibile quindi che, passando per l'OSC poi arrivino anche alle altre cartelle di "livello superiore"?

Si, è pssibile accedere a tutto lo spazio.

Seconda domanda: se il file file_manager non serve perché consigliate di cancellarlo, a cosa serve allora? perché è stato inserito?

Il file manager ha una falla di sicurezza che consente di accedere allo spazio web.

Saluti
Marcus

[marcus]

domanda stupida ma...
cambiando il nome alla cartella admin, bisogna poi cambiarla a tutti quei file dove si fa riferimento alla cartella admin?
C'è un modo poi per sapere se i file sono a posto o se magari c'è ancora qualcosa in giro? Che so, un sito di controllo?

Devi solo modifcare il file configure.php lato admin.

Saluti
Marcus

[turi64]

Scusate, qualcuno mi spiega cosa vuol dire modificare "LATO ADMIN" ??

Mille grazie.
Salvatore

[mario porta]

Lato Admin son tutte le modifiche che devi apportare sotto la cartella amministrazione, non quella di catalogo.

[Dax87]

Ho visto che avete ritirato fuori questo post...
Sicuramente importante per tutti noi ....

Mi è successo qualche giorno fa.. Appena ho un attimo provvedo a fare le modifiche citate. vi tengo aggiornati..

ps: immaginando che esegui la procedura da voi indicata come faccio a essere sicuro di aver risolto il problema??

comunque il file_manager.php non l'ho eliminato dal server ho solo limitato i permessi in solo lettura
"500" se nn ricordo male...
infatti aprendo quella pagina da errore.. quindi dovrei essere a posto..

devo solo modificare la cartella admin con un numero alfanumerico .. e quindi andare sul file configure.php e modificare la parte admin mettendoci il codice alfanumerico corretto!!?

solo una cosa non so come fare.. proteggere l'admin con .htaccess se su server linux .. come si fa???

[Dax87]

allora menomale ho usato un server di prova...

nella cartella admin/includes/configure.php alla stringa:

Codice: Seleziona tutto

define('DIR_WS_ADMIN', '/admin/');

l'ho sostituita con un numero alfanumerico ex: 4s574df54sf, ho poi messo lo stesso numero alla cartella "admin"

peccato che mi abbia dato errore:

1046 - No database selected

select configuration_key as cfgKey, configuration_value as cfgValue from configuration

[TEP STOP]

O poi rimesso tutto com'era prima... e adesso non va più l'amministrazione area del server di prova

Dove ho sbagliato!?

[Dax87]

volevo cominicarvi che per ora ho solo modificato il file_manager.php solo in lettura... Per ora non mi ha piu' dato problemi di sicurezza...

Una cosa L'admin che dite di modificare, intendete la cartella admin oppure l'admin cioe' username nel pannello amministrazione?

saluti ..

ps: infine non centra una mazza con il post ma sono riuscito ad integrare il PDF catalogo

[Dax87]

Un sacco di gente viene attaccata soprattutto in questo periodo in cui gli oscommerce vengono violati, ecco alcune risposte:
(Trovate nel sito inglese dell’oscommerce, semplicemente ho cercato di tradurre il post)

È possibile impedire eventuali attacchi con Security Pro:
http://addons.oscommerce.com/info/5752

È possibile monitorare i siti per le modifiche non autorizzate con SiteMonitor :
http://addons.oscommerce.com/info/4441

È possibile bloccare i tentativi di accesso con trappola IP :
http://addons.oscommerce.com/info/5914

È possibile aggiungere protezione htaccess :
http://addons.oscommerce.com/info/6066

È possibile interrompere gli attacchi Cross Site Scripting con Anti XSS :
http://addons.oscommerce.com/info/6044

Assicurarsi inoltre che tutti i file, tranne i 2 file configure.php
dispone di autorizzazioni non superiore a 644.

Le autorizzazioni per i due file configure.php varierà a seconda
del server e del sito - potrebbe essere 644, 444 o 400 questi parametri sono corretti.

Autorizzazioni per le cartelle non devono essere superiori a 755. Se il tuo hosting
richieste di installazione 777 autorizzazioni poi ricordati di cambiare i permessi in host.

È possibile aggiungere http://addons.oscommerce.com/info/6134 per le impostazioni di autorizzazione.


FileManager:

E 'da tempo noto il filemanger è un rischio per la sicurezza e dovrebbe,
anzi deve essere rimosso, se utilizzato per la modifica del tuo sito, è probabile che
danneggi file. E può ottenere l'accesso al sito (dbase incluso!)

Utilizzare un editor normale come FileZilla.

Per rimuovere filemanger:

file_manager.php Elimina dal catalogo / admin

admin aprire / includes / boxes / tools.php e cancellare la riga:

Codice: Seleziona tutto

'<A href = "'. Tep_href_link (FILENAME_FILE_MANAGER) '". 
class = "menuBoxContentLink"> '.BOX_TOOLS_FILE_MANAGER. 
'</ A> <br>'. 

E 'altresì noto che admin / define_language.php è vulnerabile agli
hack stessi filemanger, e quindi dovrebbe essere rimosso. (Io ho limitato l’accesso).

Backup:

Per sicurezza si dovrebbe fare il backup dei vostri dBase e file del sito,
consente di risparmiare una grande quantità di tempo.
Vi consiglio di utilizzare il database di backup automatico nel pannello di Amministrazione.

Spero di essere stato d’aiuto ….

original file:
http://forums.oscommerce.com/topic/3133 ... your-site/

Ho notato che molti di noi dopo il dominio del negozio se si mette la voce admin/index.php o admin/login.php compare la pagina di AMMINISTRAZIONE meglio proteggerla quindi.

http://forums.oscommerce.com/index.php?showtopic=340995

[ely79]

- proteggere l'admin con .htaccess se su server linux

Sapete indicarmi cosa devo scrivere nel file .htaccess??

A me continuano a caricare file php nella cartella images (che causano l'invio massiccio di mail dal server)
Ho cercato informazioni su come proteggere il sito. ho installato i 5 plugin di sicurezza (di cui si parla anche in questo post) e ho letto vari post su come mettere in sicurezza la cartella images con il file .htaccess
solo che ognuno propone un codice diverso e io non so più cosa usare.
Sapete aiutarmi indicandomi il contenuto del file .htaccess??

[maury2ma]

la forma che deve avere il file è questa (ed è il file che trovi anche nella versione 2.3.1)
ovvio deve essere messo nella cartella IMAGES
http://code.google.com/p/oswai/source/b ... /.htaccess

Codice: Seleziona tutto

# This is used to restrict access to this folder to anything other
# than images
# Prevents any script files from being accessed from the images folder
<FilesMatch "\.(php([0-9]|s)?|s?p?html|cgi|pl|exe)$">
   Order Deny,Allow
   Deny from all
</FilesMatch>

[ely79]

grazie mille per la risposta.
è lo stesso codice che avevo inserito. eppure riescono lo stesso a caricare file php nella cartella images.
Sto impazzendo, ho controllato tutto il sito. ho addirittura installato tutto da nuovo per paura di avere file infetti eppure i problemi proseguono