Kritisches Sicherheitsupdate: Magento SUPEE-5994

Am 14.05.2015 hat das Magento Team, neben dem bereits bekannten Patch SUPEE-5344, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-5994 veröffentlicht.

Betroffen sind die Magento Versionen 1.6.x.x – 1.9.1.1, somit auch die bisher als sicher geltende Magento Version 1.9.1.1!

Laut Changelog wurden folgende Lücken geschlossen:

Admin Path Disclosure: Auslesen des Admin-Pfades auch wenn dieser umbenannt wurde, Brute-Force Attacken sind somit trotz Umbenennung des Admin-Pfades möglich.

Customer Address Leak through Checkout / Customer Information Leak through Recurring Profile: Kundendaten inkl. Bestelldaten lassen sich durch hochzählen von IDs auslesen. Der Angriff kann vollständig automatisiert werden was die Kundendaten jedes Magento Shops in akute Gefahr bringen!

Local File Path Disclosure Using Media Cache: Durch fiktive Bild-URLs lassen sich Pfadangaben auf dem Server auslesen.

Spreadsheet Formula Injection: Ausführung von Schadcode in der Tabellenkalkulation Excel durch von Magento generierte Tabellen.

Cross-site Scripting Using Authorize.Net Direct Post Module: Angreifer können über spezielle Links versenden um die User-Session zu übernehmen und Zugriff auf das Kundenbackend zu bekommen, ebenfalls sind Bestellungen im Namen des Kunden möglich.

Malicious Package Can Overwrite System Files: Angreifer können Extensions mit Schadcode veröffentlichen die Dateien direkt auf dem Server überschreiben.

Wie wir bereits aus SUPEE-5344 gelernt haben sind sämltiche ungepatchten Magento Versionen nach 48h mit Malware verseucht, die Patches sollten daher schnellstmöglich eingespielt werden!

Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum :)


Support an Christi Himmelfahrt!

Wir möchten darauf hinweisen, dass wir am 14.05.2015 zum gesetzlichen Feiertag “Christi Himmelfahrt” nur eingeschränkten Support leisten können.

Im Notfall erreicht ihr uns über das Support Ticket-System und unter der Rufnummer: 0900-1-rackspeed (0900-1-722577333) (0,99€ / Min. aus dem deutschen Festnetz) – Bitte hinterlasst Anliegen und Telefonnummer, unser Mitarbeiter in Bereitschaft wird sich kurzfristig mit dir in Verbindung setzen.

Am Freitag den 15.05.2015 stehen wir euch in der Zeit von 09:00 bis 13:00 Uhr zur Verfügung. Ab Montag den 18.05.2015 erreicht ihr uns wieder wie gewohnt von 09:00 – 18:00 Uhr!

Wir wünschen euch einen erholsamen Feier- und Brückentag!


Support am “Tag der Arbeit”

Wir möchten darauf hinweisen, dass wir am 01.05.2015 zum gesetzlich geregelten “Mai-Feiertag” nur eingeschränkten Support leisten können.

Im Notfall erreicht ihr uns wie gewohnt über das Support Ticket-System und unter der Rufnummer: 0900-1-rackspeed (0900-1-722577333) (0,99€ / Min. aus dem deutschen Festnetz, mobil höher) – Bitte hinterlasst Anliegen und Telefonnummer, der bereitschaftshabende Techniker wird kurzfristig Kontakt aufnehmen.

Am Montag den 04.05.2015 stehen wir euch wieder wie gewohnt zur Verfügung.

Wir wünschen ein erholsames langes Wochenende! :)


BruteForce Attacken und Hacks von Magento Shops (Shoplift Bug)

Heute erreichen uns einige Support-Tickets von Kunden deren Magento Backend nicht mehr lädt und folgende Fehlermeldungen ausgibt:

Fatal error: Class ‘Magpleasure_Filesystem_Helper_Data’ not found in app/Mage.php on line 546
Fatal error: Class ‘Mage’ not found in includes/src/Mage_Core_functions.php on line 244
Fatal error: Class ‘Mage’ not found in includes/src/Mage_Core_Model_Resource_Session.php on line 108

Nach einer kurzen Analyse der Shops und unserer Server können wir festhalten das die Shops in der letzten Nacht gehackt wurden. Neben dem Upload zahlreicher Dateien u.a. einer Fake-Extension mit dem Namen „File System“ wurden auch neue Benutzer mit dem Namen „acjb“ und Adminberechtigung angelegt. Einige Kunden berichten von Änderungen an der Magento Datenbank, eine genaue Prüfung steht noch aus.

Einen Hack unserer Server können wir zu 100% ausschließen da sofort ausgeführte Checks negative Ergebnisse liefern, gleichzeitig konnten wir eine Liste der Gemeinsamkeiten der gehackten Shops erstellen.

Betroffene Shops haben folgende Eigenschaften:

  • Adminbereich nicht wie empfohlen umbenannt, unter /admin/ erreichbar.
  • Dem Hack gingen zahlreiche BruteForce Attacken auf /admin/ voraus.
  • In der letzten Nacht wurde eine neue Extension installiert (app/code/community/Magpleasure/Filesystem/)
  • Es fehlt der von uns bereits im Februar angekündigte Security-Patch (SUPEE-5344), das Magento Team hat in den letzten Tagen per Benachrichtigungssystem noch einmal auf das kritische Update hingewiesen.

“Critical Reminder: Download and install Magento security patches. Download now.
Download and implement 2 important security patches (SUPEE-5344 and SUPEE-1533) from the Magento Community Edition download page (https://www.magentocommerce.com/products/downloads/magento/). If you have not done so already, download and install 2 previously-released patches that prevent an attacker from remotely executing code on Magento software. These issues affect all versions of Magento Community Edition. A press release from Check Point Software Technologies in the coming days will make one of these issues widely known, possibly alerting hackers who may try to exploit it. Ensure the patches are in place as a preventative measure before the issue is publicized.”

Nicht betroffene Shops haben folgende Eigenschaften:

  • Adminbereich ist nicht unter /admin/ erreichbar.
  • Der Security-Patch (SUPEE-5344) ist installiert.

Wir gehen davon aus das die BruteForce Attacke erfolgreich war da die mit Malware beladene Extension über MagentoConnect geladen wurde. Es finden sich gleichnamige Dateien im Cache Ordner des Downloaders:

downloader/.cache/community/File_System-1.0.0.tgz

Die dazugehörige Magento Extension wird noch von Google gelistet, der Link zu MagentoConnect leitet allerdings auf eine 404-Seite weiter.

Magpleasure_Filesystem_Helper_Data

Über die gravierende Sicherheitslücke wurde in den letzten Tagen in Blogs berichtet:

https://blog.sucuri.net/2015/04/critical-magento-shoplift-vulnerability-supee-5344-patch-immediately.html
http://www.itespresso.de/2015/04/20/check-point-deckt-massive-sicherheitsluecke-in-magento-auf/

Update folgt!


7 Jahre rack::SPEED

Geburtstagstorte mit brennender Kerze 7

Seit 7 Jahren steht rack::SPEED für hochperformante, flexible Hosting- und Serverlösungen mit einzigartigem Kundensupport. Begonnen haben wir im April 2008 mit einem speziell für Magento 1.0 optimierten Hosting Angebot als es noch hieß: „Magento benötigt unbedingt einen eigenen Server…“ 😉

Zusammen mit unseren Kunden (einige betreuen wir seit 7 Jahren) sind wir von Server zu Server gewachsen, unsere Angebote änderten sich häufig um eure Anforderungen und die von Magento perfekt abdecken zu können. Heute blicken wir daher auf hochoptimierte Hosting- und Serverlösungen mit einzigartigem Feature-Set zurück, stündliche Backups bieten wir nach wie vor als einziger deutscher Hoster an.

Rabatt Aktion -10% im April: BDAY7YEARS

Unsere Leidenschaft für schnelle Server und glückliche Kunden ist ungebrochen.

Euer Feedback motiviert uns täglich dazu Neues auszuprobieren, unseren Ausblick auf das Jahr 2015 möchten wir daher um einige Punkte erweitern:

Managed WordPress Hosting

Es gibt Momente in denen unsere bestehenden Server-Lösungen nicht ausreichen um eure Anforderungen abzudecken, daher haben wir bereits im letzten Jahr mit der Entwicklung unserer Magento Cluster begonnen. Im Bereich WordPress gibt es ebenfalls ganz spezielle Herausforderungen denen wir uns künftig stellen wollen, daher haben wir uns zusammengesetzt und eine zu 100% gemanagte Lösung entwickelt.

Mike hat die letzten Wochen genutzt um aus den neusten Techniken (Apache 2.4, PHP 5.6, MariaDB 10.0, Redis, uvm.) eine hochperformante Plattform für unser Managed WordPress Hosting zu bauen. Herausgekommen ist eine Lösung mit einer Ladezeit im 2 stelligen Millisekunden Bereich. 😀 – Die Lasttests zur Ermittlung der maximalen Userzahlen stehen noch aus (Update folgt).

Wie es sich für eine 100% Managed Lösung gehört nehmen wir euch auf Wunsch die komplette technische Seite ebenfalls ab.

Der Launch unserer WordPress Tarife ist für April geplant.

Hosted Elasticsearch

Bei Elasticsearch handelt es sich um eine OpenSource Lösung zur Volltextsuche in Echtzeit. Aufgrund der wahnsinnigen Geschwindigkeit nutzen viele Shopbetreiber Elasticsearch um den Server zu entlasten oder ihren Besuchern noch schneller das zu zeigen was sie suchen. – Hosted Elasticsearch bieten wir ab Mai als AddOn für unsere Hosting- und Serverlösungen sowie als Standalone-Lösung für externe Kunden an.

Hosted Varnish

Der Varnish-Cache kommt immer dann zum Einsatz wenn sehr viele gleichzeitige Besucher oder sehr schnelle Ladezeiten gefragt sind. Einmalig generierte Seiten werden ab dem zweiten Aufruf direkt aus dem Arbeitsspeicher geladen, dadurch liegt die Ladezeit einer Varnish-gecachter Seite im 2-stelligen Millisekundenbereich. – Hosted Varnish bieten wir ab Mai als AddOn für unsere Hosting- und Serverlösungen sowie als Standalone-Lösung für externe Kunden an.

Ersatz für das Level3-CDN

Kurzfristig werden wir das Level3-CDN ersetzen da uns dieses nicht mehr genug Möglichkeiten bietet. Ganz besonders fehlt uns die Möglichkeit Daten über eine SSL-geschützte Verbindung auszuliefern, Simon hat bereits begonnen verschiedene Anbieter und deren APIs zu prüfen. – Aktuell suchen wir noch (kostenlose) BETA-Tester für die neuen Anbieter, bei Bedarf schick uns eine kurze Mail.

Rabatt Aktion -10% im April

Aufgrund von Ostern runden wir die eigentlich geplante 7% Aktion zu einem dauerhaften 10% Rabatt für Bestands- und Neukunden auf. Der Code (BDAY7YEARS) ist im gesamten April gültig und kann für Neubestellungen und Upgrades eingelöst werden! Die perfekte Zeit um den alten Managed-Hosting Tarif durch einen aktuellen SSD-Hosting Tarif abzulösen. 😉


Kritische Magento Sicherheitslücke – Patch (SUPEE-5344) erforderlich!

Fast still und heimlich hat das Magento Team am 09.02.2015 einen Patch für fast alle Magento Versionen veröffentlicht. Im Netz und per Google lassen sich kaum Infos zum Patch finden daher reichen wir diesen Beitrag erst jetzt nach.

Im Magento Core wurde eine schwerwiegende Sicherheitslücke entdeckt. Die Lücke erlaubt es einem Angreifer Zugriff auf die gesamte Magento Instanz zu erhalten bzw. Dateien auf dem Server zu speichern. Diese Dateien können später für weitere Angriffe auf externe Ziele oder als Backdoor zum Shop verwendet werden.

Betroffen sind die Magento Versionen CE 1.6 bis CE 1.9 sowie EE 1.11 bis EE 1.14. Auch die aktuellen Versionen CE 1.9.1.0 und EE 1.14.1.0 sind betroffen!

Wir raten daher allen Kunden schnellstmöglich den bereitgestellten Patch, passend zur eingesetzen Magento-Version, einzuspielen!

Einspielen des Magento-Patches per SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Upload des Patches in den Ordner public_html
  3. sh PATCH-DATEINAME.sh
  4. rm var/cache/* -rf

Einspielen des Patches ohne SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Öffnen des Patches im Texteditor
  3. Manuelles Anwenden des Patches: Zeilen im Patch mit einem Minus (-) werden entfernt, Zeilen mit einem Plus (+) ergänzt. Die zu editierenden Dateinamen befinden sich über den geänderten Zeilen.
  4. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Das Entwicklerteam empfiehlt die Änderungen vorher in einer Testumgebung zu prüfen!

rack::SPEED Kunden mit einem SSD Business Hosting oder CloudServer können die Updates jederzeit wie oben beschrieben per SSH einspielen, SSD StartUp und Kunden älterer Tarife können jederzeit die Unterstützung unseres Support-Teams in Anspruch nehmen. – Für das Einspielen des Patches berechnen wir eine einmalige Servicegebühr.


Neues Zahlungsmittel: BitCoins

Ab sofort könnt ihr eure Hosting und Server Rechnung mit der beliebten Kryptowährung BitCoin bezahlen!

Auf dem Markt der BitCoin Payment Dienstleister gibt es mittlerweile viele verschiedene Lösungen und Integrationen des Zahlungsmittels. Wir haben uns nach einer ausführlichen Testreihe für BitPay entschieden da neben der überaus gelungenen API der Bezahlprozess sehr übersichtlich und verständlich gestaltet wurde.

Um die Rechnung per BitCoin bezahlen zu können muss diese im Kundencenter, wie sonst auch, geöffnet werden. Oben rechts auf der Rechnung findet Ihr die Auswahl der Zahlungsmittel, hier muss BitCoin eingestellt werden damit die Weiterleitung auf die Zahlungsseite von BitPay ausgeführt wird.
QR-Code Scannen, Zahlung freigaben, fertig! 😀

Auch wenn BitCoins nach wie vor nicht immer im legalen Umfeld genutzt werden sind wir von der Idee überzeugt. Neben Dell, Expedia, Google, Microsoft, uvm. bieten vor allem kleinere Shopbetreiber immer häufiger BitCoins als Zahlungsmittel an, diesem Trend wollten wir uns schon länger anschließen.

Wer nun denkt bei uns mit Fake-Daten einen Account eröffnen zu können den müssen wir gleich enttäuschen, der Neukunden-Check findet nach wie vor statt. 😉


SmarterMail Hosting – Exchange-Ersatz der Spitzenklasse

Mit unserem SmarterMail Hosting bieten wir kleinen und großen Firmen professionelle Mail-Dienste die es locker mit einer Hosted Exchange Lösung oder einem dedizierten Exchange Server aufnehmen können.

Wie bei all unseren Angeboten haben wir auch bei unseren Business Postfächern größtmöglichen Wert auf maximale Flexibilität und top aktuelle Features gelegt.

Basic Mailbox – mehr als nur ein Postfach!

Die Basic Postfächer haben wir bereits maximal ausgestattet, neben den üblichen Mailfunktionen (POP3, IMAP und SMTP) stellen wir euch einen Jabber Server für die sichere Kommunikation im Team zur Verfügung. Der Dienst spricht das offene Protokoll XMPP und kann daher ohne Probleme in eurem Lieblings Instant-Messenger (Apples iMessage, Adium, Trillian, uvm.) angebunden werden.

Cyren Premium AntiSpam und AntiVirus

Die Sicherheit unserer Dienste war uns schon immer sehr wichtig, daher haben wir bereits der Basic Mailbox die Premium Dienste des Herstellers Cyren spendiert. Das von uns extra gebuchte Sicherheitspaket beinhaltet einen überragenden AntiSpam– und AntiVirus Schutz.

Abgerundet wir unser SmarterMail Hosting durch einen ansprechenden und leicht zu bedienenden Webmailer. Das Interface wird weitestgehend mit Ajax betrieben was für eine schnelle und angenehme Arbeit sorgt, natürlich steht der Webmailer sowohl für den Desktop als auch mobile Geräte zur Verfügung.

Unlimted Mailbox – “All Inclusive” für eure Mails!

Jedes Basic Postfach (POP3, IMAP und SMTP) kann binnen weniger Sekunden zu einem vollwertigen Postfach auf Exchange-Niveau ausgebaut werden. Aus einem einfachen Postfach wird so eine komplette Exchange Lösung mit gemeinsamem Kalender, Notizen und natürlich der Synchronisierung 1000er Clients.

Plattform übergreifende Mail Dienste mit SmarterMail Hosting

Ältere Clients werden von unserem SmarterMail Hosting mit dem EWS-Protokoll von Microsoft versorgt, dies reicht aus um Objekte aus dem Postfach oder dem Kalender zu synchronisieren. Sobald Ihr einen aktuellen Mail-Client wie Outlook 2013 verwendet macht das Ganze richtig Spaß, denn dann stellen wir euch das top aktuelle EAS-Protokoll mit ActiveSync zur Verfügung. Dies ermöglicht eine nahtlose Integration der Exchange Features in euer Outlook 2013!

SmarterMail Hosting – Wann geht es los?

Bei jeder neuen Produkteinführung geben wir zuerst unseren Bestandskunden die Möglichkeit die neuen Services zu nutzen, es wird daher noch ca. 2 Wochen dauern bis die neuen Business Postfächer auf unserer Website bestellbar sind.

Die Basic Postfächer mit 2 GB Speicherplatz werden wir für 0,99 € / Monat und Postfach anbieten, wer möchte kann das Exchange AddOn für 7,50 € pro Postfach dazu buchen. Mehr Speicherplatz erhaltet Ihr bereits ab 10 € / Monat, für 50 € kann die Speicherplatz Limitierung aufgehoben werden. Selbstverständlich ist ein Mengenrabatt möglich wenn mehrere Postfächer gleichzeitig bestellt werden. :)

Aktualisiert am 23.02.2015:
Weitere Informationen findet Ihr auf unserer SmarterMail Hosting Seite.


2015 – Das Jahr der neuen Features!

Platz für Innovation: Unser neues HQ

Bereits in 2014 haben wir den Grundstein für weiteres Wachstum und innovative Ideen geschaffen. Begonnen haben wir das Jahr mit der Suche nach einem neuen Standort für unser HQ im Großraum Düsseldorf, neben vielen interessanten Standorten wurde uns die erste Etage im “Meisterhaus” eines alten Farbikgeländes in Erkrath angeboten. Die “häusliche Atmosphere”, der Ausblick ins Grüne, der Steg runter zur Düssel und die perfekte Lage zwischen beiden Datacentern sorgen auch in hektischen Zeiten für Motivation und Ruhe im Team, die Entscheidung viel uns daher nicht schwer.

(Weitere Infos und Bilder folgen in Kürze.)

Um euch auch in Zukunft die schnellsten und besten Dienstleistungen bieten zu können haben wir im Spätsommer ein weiteres Datacenter erschlossen, Interxion.

Verstärkung des r::S Teams

Besonders gefreut haben wir uns Simon Wodrich und Mike Schürmann für unser Team gewinnen zu können. Simon ist leidenschaftlicher PHP-Programmierer, spricht jede API fließend und kennt keine unlösbaren Probleme. Mike ist der KVM-Experte im Team und kümmert sich daher um den weiteren Ausbau und das Monitoring unserer neuen virtuellen Infrastruktur. Seine Fähigkeiten als “Server-Notarzt” haben wir bisher zum Glück nicht gebraucht. 😉

Magento-Cluster: 1500 gleichzeitige Besucher

Bereits vor knapp 2 Wochen haben wir über unser Traffic-stärkstes Projekt berichtet. – Die offizielle Einführung der neuen Magento Cluster ist für Q2 geplant, solltest du bereits jetzt Bedarf an einer High-Performance Lösung haben schreib uns eine eMail.

Tarifanpassung: Cloud-Server

Aufgrund der großen Nachfrage im letzten Jahr haben wir unsere Cloud-Server Tarife überarbeitet. Gen3 unserer Plattform nutzt ab sofort ein SSD-gecachtes Storage-System mit wahnsinnigen Lese- / Schreibraten von 1.200 MB/s und zig 1000 IOPS pro Sekunde, stellt euch doppelt so viel Arbeitsspeicher und mehr Speicherplatz zur Verfügung. Gerade Datenbank gestützte Anwendungen freuen sich sehr über die neuen Eckdaten und bedanken sich mit einem immensen Performance-Boost bei fast allen Workloads. – Die neuen Cloud Server stehen ab sofort zur Verfügung.

Basis innovativer Ideen: KVM Virtualisierung

Aufgrund unserer Erfahrungen der letzten Jahre sind wir weder vom Support noch von der Performance geschlossener Virtualisisierungs- und Storage Plattformen wie VMware und NetApp begeistert. Daher haben wir uns bereits letztes Jahr diverse Virtualisierungsplattformen angesehen und nach einer langen Testphase für die KVM Virtualisierung entschieden. KVM ist OpenSource und fest im Linux-Kernel verankert. – Migrationsphase läuft bereits, freie Kapazitäten vergeben wir ASAP :)

Selbstheilung + High-Performance = Ceph

Ceph ist ein nahtlos skalierbares Storage-System das sich zudem selber heilen kann. Im Gegensatz zu einem traditionellen RAID-Systemen verteilt Ceph die Daten per 10G Netzwerk auf beliebig viele Server die dem Ceph-Cluster angehören, wird der Speicherplatz knapp müssen nur weitere Server hinzugefügt werden. Eine aufwändige und fehleranfällige RAID- oder Daten-Migration ist nicht erforderlich denn Ceph kümmert sich automatisch, auch beim Ausfall von Ceph-Nodes oder Festplatten, im Hintergrund um eine optimale Verteilung der Daten im Cluster. So ist sichergestellt,  dass immer die gewünschte Anzahl an Replika im Netzwerk vorhanden ist und eure Daten sicher gespeichert sind. – Ceph ist relativ neu und komplex daher geht ein Teil des Teams Anfang Februar erst einmal auf eine Schulung, die Einführung von Ceph ist für Q2 und Q3 geplant.

Business Postfächer: SmarterMail

Aufgrund immer größeren Bedarfs an Mailspace und sicherer Kommunikation haben wir einen weiteren Kundenwunsch des letzten Jahres mit auf unsere 2DO-Liste gesetzt. Postfächer auf SmarterMail Basis bieten euch wesentlich mehr als reine Mail-Funktionen, ein Jabber-Server basierend auf dem XMPP-Protokoll, Zero-Hour Spam- und Virenfilter und ein sehr übersichtliches Webinterface sind ebenso selbstverständlich wie die Anbindung externer Geräte basierend auf iOS, Android oder Windows Mobile.

Wir sind dabei die letzten Dienste einzurichten, die Bereitstellung der neuen Business Postfächer wird daher noch in Q1 starten.

Die Einführung der Reseller-Angebote für Webentwickler und Agenturen steht ebenfalls, aber noch ohne Termin, auf unserer 2DO-Liste.

Wir freuen uns auf ein richtig spannendes Jahr mit euch. Wie immer werden wir unser Bestes geben euch das schnellste Hosting und großartigen Support zu präsentieren.


GHOST: glibc Schwachstelle gepatcht (CVE-2015-0235)

GHOST Glibc CVE-2015-0235

Die gestern Abend bekanntgewordene Sicherheitslücke CVE-2015-0235 wurde von der französischen Sicherheitsfirma Qualys entdeckt und wird als “kritisch” eingestuft.

In bestimmten Situationen reicht es aus eine präparierte eMail an ein verwundbares System zu senden um dieses zu übernehmen, die zur Verfügung stehenden Sicherheitsupdates sollten daher sofort eingespielt werden.

CloudLinux und CentOS, die Basis unserer Server lassen sich mit folgenden Befehlen auf den neusten Stand bringen:

yum clean all && yum update glibc -y

CVE-2015-0235 wurde bereits auf allen rack::SPEED Systemen gepatcht!

Detailierte technische Informationen gibt es wie immer auf heise.de.

(Bild: jbruce, OpenClipart)