Jeder, der osCommerce benutzt, um sich damit ein weiteres Standbein aufzubauen, der weiss auch wie wichtig Kunden sind. Wenn diese Kundendaten allerdings für Spam missbraucht werden, kann die ganze Arbeit auf einen Schlag zunichte gemacht werden.

Jedem ist bestimmt schon einmal die Funktion zum Versenden von Mails an alle Newsletter-Abonnenten oder gar an alle Adressen, die Kunden auf eurer Seite hinterlassen haben, aufgefallen. Wenn diese Funktion allerdings komplett von einem Fremden für seine Zwecke benutzt werden kann, bringt das meistens nur Ärger – für die Kunden und folglich das Geschäft. Die Mails gehen nämlich von eurer Seite aus und generieren unter Umständen ein hohes Spamaufkommen, welches bei eurem Provider zu Problemen führen kann. Die andere Sache ist, dass standardmäßig eure Absender-Adresse in dem „From“ Feld eingetragen ist. Wenn euch also jemand schaden möchte, belässt er eure Adresse dort und jeder, der eine Spam E-Mail von eurer Seite mit eurem Absender erhält, dürfte wohl in Zukunft als Kunde wegfallen.

osCommerce_mail.php Je nach Installation sieht die Pfadstruktur anders aus. Die Datei mail.php befindet sich in dem Verzeichnis „admin“. Übergibt man der Variable „action“ jetzt den Wert „send_email_to_user“ ist man in der Lage, die von osCommerce mitgelieferte E-Mail-Funktion nutzen zu können.Wie ihr auf dem Bild sehen könnt, stehen dem Benutzer auch andere Funktionen zur Verfügung.

Bei dem osCommerce Ableger osCMax gibt es ebenfalls diese Schwachstelle, nur ein wenig abgeändert: admin/mail.php/login.php?action=send_email_to_user

Maßnahmen:

– Löscht unbedingt die Datei: /admin/file_manager.php , auch wenn die Funktion zum uploaden von Files bequem zu sein scheint, so solltet Ihr auf jedenfall auf andere Upload-Programme zurückgreifen.

Folgende Codezeile müsst ihr dann noch in der Datei admin/includes/boxes/tools.php löschen:

'<a href="' . tep_href_link(FILENAME_FILE_MANAGER) . '">' . BOX_TOOLS_FILE_MANAGER . '</a>
' .

– Ebenfalls zu löschen ist die Datei: admin/define_language.php; Sie ist für die selben Angriffe anfällig wie der File Manager

– Schützt eure Webseitenbreiche mittels .htaccess – addon (insbesondere den Admin-Bereich)

– Eure Ordnerberechtigungen sollten niemals höher als 755 sein, falls euer Hoster eine Berechtigung von 777 verlangt, solltet ihr ihn wechseln!

– Das gilt auch bei allen Dateien; nie höher als 644! Ausgenommen hiervon sind die beiden configure.php Dateien, diese können auch die Rechte 444 oder 400 haben (Server bedingt)

– Updated regelmäßig eure Software, viele Communities bieten für neue Releases oder Sicherheitspatches extra Newsletter an

osCMax Newsletter
osCommerce Newsletter