Selbst beim Download der PHP Datei schlägt der Virenscanner auf dem Lokalen Windows Rechner sofort an. Die Virus Erkennung identifiziert die Shell als einen alten Bekannten, obwohl im Quelltext der Datei eine neue Versionsnummer angegeben wurde.

Aufgeschreckt wurde ich in den vergangenen Tagen gleich mehrfach und die Shop Betreiber, vornehmlich xt-Commerce 3.x Betreiber haben sich per PN und eMail mehrfach über Foren und Mail Accounts mit mir in Verbindung gesetzt. Sobald die ersten Meldungen auftauchen denkt man erst einmal an Einzelfälle, mit der Masse der eingehenden Mails summiert sich das dann aber doch zu einem Problem.

Bereits am 13.02.2009 hatte ich erstmals über SHELL99 berichtet und da wurde im xt-Commerce Forum bei Zanier und Winger und auf anderen Webseiten alles runtergespielt, am Shop System kann das nicht liegen, alles quatsch und künstliche Aufregung.

Natürlich ist es "peinlich" wenn Hacker täglich mehrfach das "eigene" GPL Shop System hacken, wir hatten mit der Ecombase SEO Shop Version ja diese und viele andere Sicherheitslücken geschlossen, während es jede Menge xt-Commerce und Gambio 2006/2007 Shops gibt, die heutigen Sicherheitsstandards nicht mehr entsprechen.

Natürlich können weder Zanier noch Winger persönlich etwas dafür dass Leute und Anwender die Sicherheits Fixes nicht "mitnehmen" und Installieren, auf der anderen Seite war die Geschäftspolitik maßgeblich daran miverantwortlich, dass die Zustände in der xt-Commerce Anwender Szene so sind wie sie heute sind.

GPL Anwender wurden zu Kunden degradiert mit der Folge, dass diese aus dem Support Spektakel das neuerdings aus Innsbruck initiiert wird nicht mehr mitmachen wollen. Schon logisch dass man sich nicht wie eine Weihnachtsgans ausnehmen lassen will und bezahlter Support gehört garantiert nicht in eine GPL Umgebung und Kunden die NICHT zahlen von Sicherheistleistungen ausschliessen - auf die Idee muss man erst einmal kommen.

Was darf man erwarten ?

Nun, es versteht sich von selbst dass man alle bekannten Anwender über so Probleme informiert.  Wie und wo die Hacker in die Shops eindringen soll erst einmal zweitrangig sein, aber es ist oberste Pflicht "ALLE" greifbaren Personen über so Sicherheistlücken oder Sicherheitsprobleme zu Informieren.

Die Shell sieht diesmal ein wenig anders aus als in der Vorgänger Version.
Hier ist ein Screenshoot zu sehen bei dem kein Zugriff auf den Server erfolgen konnte.
( Ich darf aber versichern, es geht )

Die Hacker, hier KEREMHAN, betreiben eine Webseite auf der viele der gehackten Shops und Webseiten aufgeführt sind. Ebenfalls findet man Informationen über die Server und die gemachten Hacks.

Leider bietet die Webseite keine Suchfunktion die zufriedenstellende Ergebnisse liefert, aber die haben wie man sehen kann, Server gleich dutzendweise in ihre Gewalt gebracht und können damit machen, was auch immer sie wollen, vom Abzug der Datenbank, Manipulationen an Preisen, Geld abbuchen, Geld umverteilen, den Betreiber vom Shop aussperren, machbar ist so ziemlich alles wenn die Hacker die Server Ebene ereicht haben..

Ob man selber betroffen ist kann man hier sehen.: Eigene Seite Suchen

Ebenfalls kann man SEINE Seite Testen !

www.deine-domain.de/media/content/r57.php und den roten Teil der Url anfügen
( Cut`n Paste ) - wenn dann eine SHELL erscheint, hat man ein Problem !

 

Von KEREMHAM gehackte Deutsche und EU Seiten.:

 

Was bei der neuen SHELL99.C Version sofort ins Auge fällt. Diesmal sind türkische Hacker über russische Server unterwegs und irgendwo muss es scheinbar einen Weg geben, Schadcode ( Shell99 ) in die Shops und auf deren Server zu bekommen.

Es wird zzt ebenfalls beobachtet, dass Hacker gezielt xt-Commerce System angreifen und SQL Injections versuchen abzusetzen. Wie und auf welchem Wege die SHELL99.C auf den Server kommt ist bisher nicht geklärt.

Gehen wir die Sache logisch an, könnte man sagen, da hat ein Hoster seinen Server auf wie ein Scheunentoor und die Hacker kommen direkt über die Server Administrative Ebene und hätten zugriff auf alle darauf gehosteten Systeme. Gut, würde dann 100, 1000 oder auch meinetwegen 10.000 Systeme erwischen.

Zanier und Winger sagen ja, 100.000 installierte xt-Commerce Shops sollen angeblich im Umlauf sein.

1000 Systeme die nun eine Shell99.c drauf haben wären dann immerhin 1% aller bekannten Systeme.
Wie man sehen kann, hat alleine DIESER Hacker an die 2000 Systeme gehackt. Wenn das theoretisch alles xtc Shops sind, wären wir bei beachtlichen 2% aller xtc Shops die betroffen wären - und die liegen garantiert nicht alle auf einem Host - geschweige dass der schnellste Hacker die Shell gleich massenweise auf alle Hostings "mal eben" schnell verteilen könnte.

Gehen wird das sicher, aber die Hoster vermelden zzt keinerlei "nennenswerte" Mehrbelastungen bei den sowieso täglichen hunderten Hackversuchen. Ebenfalls geht bei jedem Hoster die Rote Lampe an, wenn sich sowas auch nur ansatzweise summieren würde. Das wird es folglich nicht sein.

Bleibt die Frage Zwei. Was haben alle Shops gemeinsam ? Benutzen die alle die selben Module, haben die alle EIN gefaktes Bild was Software irgendwie auf die Shop Root Ebene oder in neue Ordner die erst anzulegen sind befördern kann ?

Nein, auch das wird nicht der tatsächliche Grund für die Shell99 Hackattacken sein. Weil es schlicht unlogisch ist. Ausser, sowas wird in einer gefakten Shop Version die meinetwegen irgendwo frei zum Download steht gleich mit verteilt ? Ich will da Zanier und Winger nichts Unterstellen und ehrlich gesagt traue ich den Beiden sowas auch nicht zu. Wenn sowas raus käme, brennt die Leitung.

Also muss man sich mal fragen, wie genau kommt die SHELL99 Schadsoftware auf diese Menge Systeme, denn von bedauerlichen Einzelfällen kann man im zweiten Rutsch ja wohl kaum noch sprechen ?