Im Laufe des Nachmittages erreichten uns im Minutentakt zahlreiche Tickets unserer Kunden bzgl. nicht mehr funktionierender Magento Shops.
Eine Analyse zeigt folgende Gemeinsamkeiten:
- Magento Version 1.9 und höher
- Fehlender Sicherheitspatch SUPEE-3762 vom 12.08.2014
- Zugriffe auf die URL /index.php/api/v2_soap/index/ durch IPs aus dem Netz 178.62.128.0 – 178.62.255.255 direkt vor dem Ausfall
- Gefolgt von gezielten Aufrufen des Installers durch die IP 146.0.32.165 mit dem Useragent „Mozilla/5.0 (compatible; seoscanners.net/1; +spider@seoscanners.net)„
Wir haben bereits Gegenmaßnahmen eingeleitet und die o.g. IPs in unseren Firewalls gesperrt, damit wurde die erste Angriffswelle erfolgreich gestoppt.
Was muss ich als Shopbetreiber nun tun damit der Shop wieder funktioniert?
- Installation des fehlenden Sicherheitspatches SUPEE-3762
- Leeren des Magento Caches (var/cache/*)
- Neustart der PHP-Prozesse
Warum patcht rack::SPEED nicht alle betroffenen Shops automatisch?
Uns liegen zahlreiche Informationen durch Blogs und Twitter vor die darauf hindeuten das es nach der Installation des Patches zu Problemen mit dem Warenkorb kommen kann. Wir patchen daher nicht ungefragt die Shops unserer Kunden!
Gerne kannst du unseren Magento Patch-Service per Support-Ticket beauftragen, wir arbeiten die eingehenden Anfrage der Reihe nach ab.
Einen Hack unserer Server oder Infrastruktur können wir zu 100% ausschließen!
