Nicht nur der Corona-Virus macht aktuell von sich reden. Die Nachricht über 2000 gehackte Magento-Shops kursiert seit dem letzten Wochenende und bringt viel Unruhe in die Magento-Gemeinde. Zunächst waren keine Details bekannt wie und was vorgefallen ist aber im Stundentakt wurde mehr bekannt. So war der Sinn des Hacks Zahlungsdaten von Kunden abzufangen. Das Skript installiert einen Keylogger, der eingegebene Daten mitschreibt und an Dritte übermittelt.
Nun wurde veröffentlicht, dass der Hack eine Sicherheitslücke im Zusammenhang mit Magento Connect bzw. dem Downloader von Magento ausnutzt. Hierüber wird ein Schadcode in die prototype.js kopiert, der auf ein Widget auf einem externen Server m c d n n .net (ohne Leerzeichen) verweist.
Mehr Informationen gibt es hier
Wir haben ein ganz einfaches Skript geschrieben, welches Euren Onlineshop nach diesem Schadcode überprüft. Es muss einfach nur die komplette URL des Shops eingegeben und auf “Check” geklickt werden. Das Skript prüft dann, ob in der (öffentlich zugänglichen) prototype.js ein Verweis auf o.g. externe Domain vorhanden ist.
Das Skript bietet auch die Möglichkeit mehrere URLs zu prüfen. Dafür einfach eine URL pro Zeile eingeben und prüfen lassen.
Was hilft gegen diese Sicherheitslücke? Einfachste Antwort: Magento 2, alternativ hätte in diesem konkreten Fall (nach aktuell vorliegendem Stand) auch die Deaktivierung der Magento Connect-Funktion geholfen (ganz einfache Möglichkeit: den Ordner “downloader” im Rootverzeichnis löschen oder umbenennen). Bei unseren Kundenprojekten ist diese standardmäßig deaktiviert, um solche Sicherheitslücken von Magento Connect generell auszuschließen.
Das Skript zum Test (unter Ausschluss jeglicher Gewährleistung!) gibt es HIER
Wenn es weitere Neuigkeiten gibt, werden wir den Artikel updaten.
Für Fragen oder Unterstützung – einfach bei uns melden.