Attenzione! Stai navigando il vecchio sito
Vai alla nuova homepage »
Impegni permettendo sto rinnovando il sito. Le informazioni che trovi in questo vecchio sito sono obsolete e mano a mano verranno rimpiazzate.

Deprecated: Function strftime() is deprecated in /web/htdocs/www.marcopanichi.com/home/vecchio-sito/wp-content/themes/fawola4/entry-portfolio.php on line 30

Warning: Undefined variable $PORTFOLIO_SERVIZI in /web/htdocs/www.marcopanichi.com/home/vecchio-sito/wp-content/themes/fawola4/entry-portfolio.php on line 113

Ripristino oscommerce hackerato

sito hackerato oscommerce
Lavoro svolto da: Marco Panichi
Completato: Aprile 2013
Cliente: Ecommerce
Sede: Italia

Il Cliente mi contatta perché il suo Ecommerce creato con piattaforma OSCommerce sembra essere sotto attacco hacker.

Il sintomo esterno rilevato è la presenza di banner pubblicitari volti alla diffusione di malware e spyware. Oltretutto tutte le pagine visualizzano immagini di altri siti.

Immediatamente pongo il sito in manutenzione e parto con il lavoro.

Sintomi dell’attacco

Entrando nell’area di amministrazione mi accorgo della presenza di un secondo amministratore oltre all’utente creato dal Cliente. Ulteriore “stranezza” risulta dal parco cliente dove sono stati aggiunti clienti dal nome straniero.

Analizzando lo spazio web dove il sito OSCommerce è ospitato, scopro ulteriori problemi:

  • Presenza di files strani nella root (fly.php, m1.php e varianti simili)
  • Presenza di script php nella cartella delle immagini (boot.php, q_boot.php, osh.php, .nhs.php, m1.php, .sys.php, frs.php, ecc)
  • Script php modificati al fine di visualizzare i banner e le immagini di cui sopra

Dopo aver scaricato il sito in locale effettuo una ricerca di stringhe di codice che potrebbero essere usate “pericolosamente” e scopro la presenza di numerose chiamate a funzioni come eval e base64_decode

Contatto per dovere e precauzione il provider (l’attacco potrebbe riguardare anche altri siti presenti nell’hosting) il quale ringrazia per l’avviso e conferma l’attacco:

Gentile cliente,
in merito alla sua segnalazione abbiamo effettuato le opportune verifiche riscontrando che il motivo delle anomalie del suo sito è stata l’azione malevola di hacker che sfruttando una vulnerabilità nota dell’applicativo OsCommerce hanno provveduto ad uploadare file malevoli e similari.

Le origini dell’attacco hacker

Lo step successivo è scoprire l’origine della vulnerabilità per elaborare una soluzione.

Dopo varie ricerche apprendo che i motivi potrebbero essere i seguenti:

  • Mancanza del modulo admin
  • Bug a carico dei files file_manager.php, login.php, languages.php (nella dirctory admin)
  • Bug relativi alla gestione delle mail di oscommerce

Sanificazione dell’Ecommerce

Identificato il danno e l’origine comincio una serie di interventi volti a sanare il problema:

  1. Identificato e rimosso i files malevoli, effettuando un controllo comparato con un’installazione pulita di OSCommerce
  2. Rinominato la cartella /admin/
  3. Protetta la cartella /admin/ con username e password via .htaccess
  4. Eliminati i files file_manager.php e define_language.php
  5. Installato contributions importanti per aggiornare l’admin e per fixare il bug relativo al Whois online Vunerability
  6. Verificati tutti i permessi delle cartelle
  7. Cambiato tutte le password dello spazio web, del database, del back-end dell’Ecommerce usando password “forti”
  8. Fixato il codice del file admin/includes/application_top come consigliato dal provider

Fatto tutto questo, ho ricaricato il sito online e testato il funzionamento in maniera approfondita.

Dopo oltre una settimana di lavoro la piaga è stata sanata e il Cliente ha potuto riprendere la sua attività lavorativa.

Informativa
Noi e terze parti usiamo strumenti di tracciamento (cookie e tecnologie affini) per finalità tecniche e, con il tuo consenso, anche per altre finalità specificate nella Cookie Policy. In qualsiasi momento puoi liberamente prestare, revocare o rifiutare tale consenso. Per ulteriori informazioni vedi: Privacy Policy - Cookie Policy
Personalizza
RifiutaAccetta
X
Personalizza il tuo consenso
Da qui puoi esprimere le tue preferenze rispetto i cookie e le tecnologie che usiamo per le varie finalità. Ricordati che in qualsiasi momento puoi liberamente modificare queste preferenze. Per ulteriori informazioni vedi: Privacy Policy - Cookie Policy
Strumenti di tracciamento di terze parti INFO
Cookie o strumenti di tracciamento gestiti da terze parti. Essi sono strettamente necessari per garantire il funzionamento e la fornitura del servizio richiesto dall'utente e quindi non richiedono il suo consenso.
Miglioramento dell'Esperienza INFO
Cookie utili per fornire un'esperienza utente migliore e personalizzata, tramite la gestione delle impostazioni personali e l'interazione con piattaforme di terzi e network.
Misurazione INFO
Strumenti per misurare il traffico e analizzare il comportamento degli utenti con l'obiettivo di migliorare il servizio.
Targeting e Pubblicità INFO
Strumenti per fornire contenuti commerciali personalizzati in base al comportamento dell'utente e per gestire, diffondere e tracciare annunci pubblicitari.
« Torna all'Informativa
Salva preferenze
X