cPanel Phishing Mails im Umlauf!

Phishing Alarm

Zwei Kunden berichteten uns heute von täuschend echt aussehenden eMails welche angeblich von email@cpanel.com verschickt wurden. In der Mail wird der Benutzer aufgefordert innerhalb von 24 Stunden zu reagieren damit der Account nicht gelöscht wird, dies ist natürlich absoluter Unsinn!

Es handelt sich um klassische Phishing eMails deren einziger Sinn darin besteht eure Zugangsdaten zu stehlen! Wir empfehlen daher die Mail sofort zu löschen, sollte es wirklich wichtige Informationen geben berichten wir in unserem Blog darüber und informieren euch per Newsletter darüber.

Dear Customer,

Due to recent upgrade with our SSL server you are required to login and
update your account failure to do so will result to closing your mail
account in 24 working hours. To cancel the termination you are required
to follow the SSL upgrade below.

CLICK HERE <http://tinyurl.com/grcrkef>

All files on your Mail Account including (Inbox, Sent, Spam, Trash,
Draft) will be deleted and access to your Email address will be Denied.

Sincerely,
Mail Team Customer Service

Nützliche Infos wie ihr Phishing Mails erkennen könnt gibt es unter anderen hier.


AlwaysOnSSL – Ab sofort kostenlose SSL-Zertifikate für alle!

AlwaysOnSSL

Wie bereits in unserem Geburtstags-Post angekündigt gehören wir zu den ersten Hostern weltweit die ihren Kunden komplett kostenlose SSL-Zertifikate zur Verfügung stellen können. Die Zertifikate werden von AlwaysOnSSL (Powered by Symantec) bzw. GeoTrust zur Verfügung gestellt, GeoTrust gehört zu den führenden Anbietern von SSL-Zertifikaten wie zB unseren kostenpflichtigen Premium SSL-Zertifikaten. – Ein großer Vorteil der AlwaysOnSSL-Zertifikate gegenüber der Let’sEncrypt Initiative besteht in der enorm hohen Browserabdeckung von fast 100%!

Simon hat sich in den letzten Wochen größte Mühe gegeben die Ausstellung komplett zu automatisieren, d.h. ihr könnt die AlwaysOnSSL-Zertifkate ab sofort per Klick in eurem cPanel bestellen. – Der Vorgang bis zur vollen Einsatzbereitschaft dauert ca. 60 Sekunden.

Da einige Anforderungen erfüllt sein müssen damit AlwaysOnSSL genutzt werden kann laufen beim ersten Klick im cPanel einige Checks im Hintergrund, habt daher bitte etwas Geduld. Simon arbeitet bereits an einer v2 des Plugins. 😉

Vorab-Checks in Ordnung, AlwaysOnSSL kann installiert werden.

Die Vorab-Checks waren in Ordnung, AlwaysOnSSL kann innerhalb von 60 Sekunden installiert werden!

AlwaysOnSSL installiert

AlwaysOnSSL ist aktiv und kann ab sofort genutzt werden.

alwaysonssl-browserleiste

Das grüne https:// steht für eine verschlüsselte Verbindung.

Browser SSL-Verschlüsselung

Der Browser gibt „grünes“ Licht, die Verbindung ist jetzt verschlüsselt!


Sicherheitsupdate: Magento SUPEE-7405

Gestern hat das Magento Team ein Sicherheitsupdate für das Shopsystem herausgegeben, der Patch trägt den Namen SUPEE-7405 und beseitigt über 20 kritische Sicherheitslücken.

Wie immer sollte dieser Patch schnellstmöglich eingespielt werden um einen Hack oder den Abfluß sensibler Kundendaten zu unterbinden, auf die einzelne Auflistung der Schwachstellen verzichten wir an dieser Stelle. Die vergangenen Patches haben gezeigt das bekannte Lücken bereits wenige Stunden nach Bekanntwerden ausgenutzt werden.

Auf Github gibt es eine Skriptsammlung die euch dabei hilft Fehler zu suchen und (automatisch) zu lösen, der Einsatz erfordert allerdings einen SSH-Zugang. Unser Magento Hosting SSD Business M und größer stellt euch einen solchen Zugang zur Verfügung.

Wir raten jedem dazu vor Einsatz des Patches eine komplette Sicherung des Magento Shops durchzuführen um im Fall der Fälle schnell reagieren zu können!


Sicherheitsupdate: Joomla 3.4.6 erschienen!

Mit dem neuem Joomla Update 3.4.6 wird nun endlich eine Sicherheitslücke die bereits seit Joomla 1.5 bestehen soll beseitigt.

Wo besteht das Problem ?

Das Hauptproblem liegt laut den Entwicklern darin, dass Angreifer in älteren Joomla-Versionen mithilfe von SQL-Injections die Kontrolle über Joomla Websites übernehmen können.

Des Weiteren können Angreifer durch ein Problem beim Lesen der im Joomla-Installationspaket XML-Datei Zugriff auf eure Daten bekommen. Das Problem betrifft die Versionen 3.4.0 bis 3.4.5.

Wir empfehlen daher schnellstmöglich updaten um sich vor Angreifern zu schützen.

Was steckt im Update?

Die Version 3.4.6 enthält keine neuen Funktionen, es wird nur der Sicherheitspatch geliefert. Das Update sollte ohne Probleme installierbar sein, dennoch solltest ihr ein Backup eurer Joomla Installation erstellen!

Upgrade jetzt!

Der Download steht unter https://joomla.org für die Installation bereit.


Sicherheitsupdate: Magento SUPEE-6788

Vergangenen Mittwoch hat das Magento Team ein weiteres Sicherheitsupdate für das Shopsystem herausgegeben, der Patch trägt den Namen SUPEE-6788 und beseitigt 10 kritische Sicherheitslücken.

Wir veröffentlichen diesen Beitrag erst jetzt da dieser Patch, im Gegensatz zu den Vorherigen, tief gehende Veränderungen an der Magento Software durchführt. Dies führt dazu das nach Installation des Patches diverse Extensions nicht mehr korrekt funktionieren. Laut einer Liste von Coding Basics sind knapp 800 Extensions betroffen. Ein öffentlich verfügbares Google Spreadsheet und die „Technical Details“ des Patches enthalten genauere Infos zu den Problemen. – In den meisten Fällen lässt sich die Konfigurationsseite im Admin-Bereich nicht öffnen.

Damit nicht tausende Shop direkt nach der Installation des Patches offline gehen ist der entsprechende Teil des Patches deaktiviert und muss nach der Installation im Magento Backend aktiviert werden. Den Menüpunkt „Enable Admin routing compatibility mode“ findet Ihr im Adminbereich: System => Konfiguration => Admin => Sicherheit.

Aufgrund der Kompatibilitätsprobleme können wir euch nur einen halbautomatischen Patch-Service anbieten, d.h. Ihr müsst direkt nach der Installation des Patches die Funktionen des Shops prüfen und ggf. auftretende Fehler von Hand lösen. Auf Github gibt es eine Skriptsammlung die euch dabei hilft Fehler zu suchen und (automatisch) zu lösen, der Einsatz erfordert allerdings einen SSH-Zugang. Unser Magento Hosting SSD Business M und größer stellt euch einen solchen Zugang zur Verfügung.

Wir raten jedem dazu vor Einsatz des Patches eine komplette Sicherung des Magento Shops durchzuführen um im Fall der Fälle schnell reagieren zu können!


Magento Security Scanner – test your shop!

In den vergangenen Monaten haben wir ausführlich über die Sicherheitslücken im beliebten Shopsystem Magento berichtet. Wer möchte kann diese im Bereich Security noch einmal nachlesen.

Magereport.com – Magento Security Scanner

Unsere niederländischen Kollegen von byte.nl haben die Vielzahl der Angriffsvektoren zum Anlass genommen einen Scanner zu schreiben mit dessen Hilfe Ihr euren Magento Shop überprüfen könnt. Bereits wenige Sekunden nach Eingabe der Shop-URL liefert der Scanner eine schöne Übersicht der zu flickenden Sicherheitslücken inkl. farblicher Markierung von gelb bis rot. – Wir empfehlen allen Kunden Ihren Shop auf mögliche Sicherheitslücken zu prüfen!

Zum Magento Security Scanner.

Magmi Data Import – voller Zugriff auf Magento

Das Importtool muss nach der Installation gegen Zugriffe von außen geschützt werden da es weitreichenden Zugriff auf den Magento Shop bietet, leider vergessen dies sehr viele Shopbetreiber nach der Installation. – Hilfe findet Ihr im offiziellen Magmi Wiki.

NGINX – Fehler erlaubt Zugriff auf Cache-Dateien

Durch Fehlkonfiguration des NGINX Webservers ist es möglich die Cache-Dateien des Magento Shops auszulesen. Neben den Kundendaten befinden sich hier unter Anderem die Zugangsdaten zur Datenbank und die Zahlungsdaten der Kunden des Shops. – Wer Magento mit NGINX befeuern möchte sollte sich daher unbedingt an einer geprüften Beispielkonfiguration orientieren und das Rad nicht unbedingt neu erfinden.


Kritisches Sicherheitsupdate: Magento SUPEE-6285

Gestern hat das Magento Team neben den bereits bekannten Patches SUPEE-5344 und SUPEE-5994, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-6285 veröffentlicht.

Betroffen sind alle Magento Versionen kleiner 1.9.2!

Laut Changelog wurden folgende Lücken geschlossen:

Customer Information Leak via RSS and Privilege Escalation: Fehlerhafte Checks führen dazu das Kundeninformationen (Bestellinfos, Bestell IDs, Kundenname) ausgelesen werden können. Mit diesen Daten sind weitere Angriffe auf Gastbestellungen möglich. In seltenen Fällen können Admin-Rechte erlangt werden!

Request Forgery in Magento Connect Leads to Code Execution: CSRF im Magento Connect Manager erlaubt die Installation von Modulen wenn ein eingeloggter Shop-Administrator auf einen präparierten Link klickt.

Cross-site Scripting in Wishlist: Ermöglicht den Versand von Phishing eMails über den Shop.

Cross-site Scripting in Cart: Über URL-Parameter kann JavaScript in den Checkout injiziert werden, dies ermöglicht das abgreifen von Cookie-Informationen. Mit Hilfe der Cookie Informationen kann sich der Angreifer als Kunde des Shops ausgeben.

Store Path Disclosure: Durch direkten Aufruf von Magento Connect URLs werden Fehlerseiten, unabhängig der Servereinstellung, generiert die Informationen zum Installationspfad des Shops enthalten.

Permissions on Log Files too Broad: Dateirechte von Logfiles sind zu offen, Kunden des gleichen Servers können die Logs anderer Kunden auslesen oder manipulieren. (Wir kapseln unsere Kunden in kleinen Containern, ein Übergriff ist somit nicht möglich. :))

Cross-site Scripting in Admin: Injektion von Javascript im Adminbereich ermöglicht die Übername eines anderen Admin-Accounts.

Cross-site Scripting in Orders RSS: Ermöglicht das einfügen von falschen Informationen in den „Neue Bestellungen“ RSS-Feed.

Wie wir bereits aus SUPEE-5344 und SUPEE-5994 gelernt haben sind ungepatchten Magento Versionen nach 48h erfolgreich angegriffen worden, die Patches sollten daher schnellstmöglich eingespielt werden!

Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum 🙂


Kurz notiert: Weitere Magento Patches werden folgen!

magento-malware-code

Aktuell häufen sich die Informationen über eine weitere Sicherheitslücke in Magento. Angreifer sollen in der Lage sein Kreditkartendaten und Informationen über Kunden des Shops auszulesen bzw. an fremde Server zur Speicherung weiterzuleiten.

Bisher ist unklar ob es sich um eine Lücke im Magento Kern oder aber einer weit verbreiteten Extension handelt. – Ein Patch ist noch nicht verfügbar!

Unsere Infrastruktur haben wir nach Anzeichen von Angriffen untersucht und sind (leider) fündig geworden, die involvierten IPs haben wir sofort per Firewall gesperrt um schlimmeres zu verhindern:

169.57.0.212
217.23.12.208
190.10.9.28

Wir werden unser Netzwerk weiterhin beobachten und ggf weitere IPs sperren bis ein Patch zur Verfügung steht, wann dies sein wird steht noch nicht fest.

Unseren (kostenpflichtigen) Patch-Service könnt ihr vorab per Support-Ticket freigeben, d.h. auch wenn ihr in Kürze Urlaub oder Betriebsferien plant ist eurer Shop geschützt. – Sobald der Patch veröffentlicht wurde spielen wir diesen für euch ein!

Ausführliche Informationen zur aktuellen Problematik findet ihr unter anderem bei:
Heise Security
Sucuri Blog


Kritisches Sicherheitsupdate: Magento SUPEE-5994

Am 14.05.2015 hat das Magento Team, neben dem bereits bekannten Patch SUPEE-5344, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-5994 veröffentlicht.

Betroffen sind die Magento Versionen 1.6.x.x – 1.9.1.1, somit auch die bisher als sicher geltende Magento Version 1.9.1.1!

Laut Changelog wurden folgende Lücken geschlossen:

Admin Path Disclosure: Auslesen des Admin-Pfades auch wenn dieser umbenannt wurde, Brute-Force Attacken sind somit trotz Umbenennung des Admin-Pfades möglich.

Customer Address Leak through Checkout / Customer Information Leak through Recurring Profile: Kundendaten inkl. Bestelldaten lassen sich durch hochzählen von IDs auslesen. Der Angriff kann vollständig automatisiert werden was die Kundendaten jedes Magento Shops in akute Gefahr bringen!

Local File Path Disclosure Using Media Cache: Durch fiktive Bild-URLs lassen sich Pfadangaben auf dem Server auslesen.

Spreadsheet Formula Injection: Ausführung von Schadcode in der Tabellenkalkulation Excel durch von Magento generierte Tabellen.

Cross-site Scripting Using Authorize.Net Direct Post Module: Angreifer können über spezielle Links versenden um die User-Session zu übernehmen und Zugriff auf das Kundenbackend zu bekommen, ebenfalls sind Bestellungen im Namen des Kunden möglich.

Malicious Package Can Overwrite System Files: Angreifer können Extensions mit Schadcode veröffentlichen die Dateien direkt auf dem Server überschreiben.

Wie wir bereits aus SUPEE-5344 gelernt haben sind sämltiche ungepatchten Magento Versionen nach 48h mit Malware verseucht, die Patches sollten daher schnellstmöglich eingespielt werden!

Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum 🙂


BruteForce Attacken und Hacks von Magento Shops (Shoplift Bug)

Heute erreichen uns einige Support-Tickets von Kunden deren Magento Backend nicht mehr lädt und folgende Fehlermeldungen ausgibt:

Fatal error: Class ‚Magpleasure_Filesystem_Helper_Data‘ not found in app/Mage.php on line 546
Fatal error: Class ‚Mage‘ not found in includes/src/Mage_Core_functions.php on line 244
Fatal error: Class ‚Mage‘ not found in includes/src/Mage_Core_Model_Resource_Session.php on line 108

Nach einer kurzen Analyse der Shops und unserer Server können wir festhalten das die Shops in der letzten Nacht gehackt wurden. Neben dem Upload zahlreicher Dateien u.a. einer Fake-Extension mit dem Namen „File System“ wurden auch neue Benutzer mit dem Namen „acjb“ und Adminberechtigung angelegt. Einige Kunden berichten von Änderungen an der Magento Datenbank, eine genaue Prüfung steht noch aus.

Einen Hack unserer Server können wir zu 100% ausschließen da sofort ausgeführte Checks negative Ergebnisse liefern, gleichzeitig konnten wir eine Liste der Gemeinsamkeiten der gehackten Shops erstellen.

Betroffene Shops haben folgende Eigenschaften:

  • Adminbereich nicht wie empfohlen umbenannt, unter /admin/ erreichbar.
  • Dem Hack gingen zahlreiche BruteForce Attacken auf /admin/ voraus.
  • In der letzten Nacht wurde eine neue Extension installiert (app/code/community/Magpleasure/Filesystem/)
  • Es fehlt der von uns bereits im Februar angekündigte Security-Patch (SUPEE-5344), das Magento Team hat in den letzten Tagen per Benachrichtigungssystem noch einmal auf das kritische Update hingewiesen.

„Critical Reminder: Download and install Magento security patches. Download now.
Download and implement 2 important security patches (SUPEE-5344 and SUPEE-1533) from the Magento Community Edition download page (https://www.magentocommerce.com/products/downloads/magento/). If you have not done so already, download and install 2 previously-released patches that prevent an attacker from remotely executing code on Magento software. These issues affect all versions of Magento Community Edition. A press release from Check Point Software Technologies in the coming days will make one of these issues widely known, possibly alerting hackers who may try to exploit it. Ensure the patches are in place as a preventative measure before the issue is publicized.“

Nicht betroffene Shops haben folgende Eigenschaften:

  • Adminbereich ist nicht unter /admin/ erreichbar.
  • Der Security-Patch (SUPEE-5344) ist installiert.

Wir gehen davon aus das die BruteForce Attacke erfolgreich war da die mit Malware beladene Extension über MagentoConnect geladen wurde. Es finden sich gleichnamige Dateien im Cache Ordner des Downloaders:

downloader/.cache/community/File_System-1.0.0.tgz

Die dazugehörige Magento Extension wird noch von Google gelistet, der Link zu MagentoConnect leitet allerdings auf eine 404-Seite weiter.

Magpleasure_Filesystem_Helper_Data

Über die gravierende Sicherheitslücke wurde in den letzten Tagen in Blogs berichtet:

https://blog.sucuri.net/2015/04/critical-magento-shoplift-vulnerability-supee-5344-patch-immediately.html
http://www.itespresso.de/2015/04/20/check-point-deckt-massive-sicherheitsluecke-in-magento-auf/

Update folgt!