{"id":208820,"date":"2018-09-06T10:43:56","date_gmt":"2018-09-06T08:43:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208820"},"modified":"2023-02-13T03:42:05","modified_gmt":"2023-02-13T02:42:05","slug":"tausende-magento-shops-kompromittiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/09\/06\/tausende-magento-shops-kompromittiert\/","title":{"rendered":"Tausende Magento-Shops kompromittiert"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Aktuell sind wohl Tausende an Online-Shops, die mit dem E-Commerce-Programm Magento betrieben werden, kompromittiert. Angreifer nutzen injizierten Skimming-Code, um Kreditkarteninformationen abzugreifen und nach Moskau zu senden.<\/p>\n<p><!--more--><\/p>\n<p>Der niederl\u00e4ndische Sicherheitsforscher Willem de Groot ist auf diese Geschichte gesto\u00dfen und hat Ende August per Twitter auf das Thema aufmerksam gemacht.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"en\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/t.co\/LOlUG9WG7L\">https:\/\/t.co\/LOlUG9WG7L<\/a> skimmer planted on 7337 stores; removes competing skimmers; periodically resets admin passwords to \"how1are2you3\" <a href=\"https:\/\/t.co\/vQpNYwVqx6\">https:\/\/t.co\/vQpNYwVqx6<\/a><\/p>\n<p>\u2014 Willem de Groot (@gwillem) August 30, 2018<\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Angriff einer einzelnen Gruppe l\u00e4uft wohl schon seit sechs Monaten, wie de Groot <a href=\"https:\/\/web.archive.org\/web\/20220901175026\/https:\/\/gwillem.gitlab.io\/2018\/08\/30\/magentocore.net_skimmer_most_aggressive_to_date\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> schreibt. heise.de berichtet <a href=\"https:\/\/www.heise.de\/security\/meldung\/Magento-Tausende-Online-Shops-greifen-heimlich-Kreditkarten-Informationen-ab-4155752.html\" target=\"_blank\" rel=\"noopener\">hier<\/a>, dass sich unter den Online-Shops auch Betreiber aus dem Bereich 'millionenschwerer Gro\u00dfunternehmen' befinden.<\/p>\n<h2>Angriff auf das Magento-Control-Panel<\/h2>\n<p>Der Angriff verl\u00e4uft immer nach dem gleichen Muster: Die Kriminellen versuchen Zugriff auf das Control-Panel der\u00a0 E-Commerce-Site zu bekommen. Dazu werden Brute-Force-Angriffe (automatisches Ausprobieren vieler Passw\u00f6rter, manchmal sogar \u00fcber Monate hinweg) auf die Administratorkonten gefahren. Hat man Zugriff auf das Control-Panel, wird ein Script in die Magento-Software eingef\u00fcgt. Dieses zeichnet einfach alle Tastatureingaben der Shop-Besucher auf und versendet diese an einen unter \"magentocore.net\" registrierten Server in Moskau.<\/p>\n<h2>Schadsoftware mit Skimmer und Backdoor<\/h2>\n<p>Die Schadsoftware modifiziert auch den Cron-Job <em>cron.php<\/em> und f\u00fcgt dort eine Backdoor ein. Dies erm\u00f6glicht den periodischen Download weiterer Schadsoftware. Nach deren Ausf\u00fchrung l\u00f6scht sich die Schadsoftware selbst, um keine Spuren zu hinterlassen. Wird das infizierte Script in der Magento-Shop-Software entfernt, k\u00f6nnen die Kriminellen \u00fcber die Hintert\u00fcr in <em>cron.php<\/em> den Shop neu infizieren.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"en\">\n<p dir=\"ltr\" lang=\"en\">Google added magentocore[.]net to Chrome's blacklist, as shown by the plummeting infection rate. <a href=\"https:\/\/t.co\/CEXp64H1E0\">pic.twitter.com\/CEXp64H1E0<\/a><\/p>\n<p>\u2014 Willem de Groot (@gwillem) <a href=\"https:\/\/twitter.com\/gwillem\/status\/1036555669355282432?ref_src=twsrc%5Etfw\">September 3, 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Laut obigem Tweet hat Google die Domain magentocore[.]net in seine Blacklist aufgenommen, so dass die Zahl der Infektionen zur\u00fcck geht.<\/p>\n<h2>Was kann man tun?<\/h2>\n<p>Willem de Groot hat auf <a href=\"https:\/\/github.com\/gwillem\/magento-malware-scanner\/blob\/master\/rules\/burner-domains.txt\" target=\"_blank\" rel=\"noopener\">Github<\/a> eine Liste von Domains ver\u00f6ffentlicht, die von Malware benutzt werden. In seinem englischsprachigen <a href=\"https:\/\/web.archive.org\/web\/20220901175026\/https:\/\/gwillem.gitlab.io\/2018\/08\/30\/magentocore.net_skimmer_most_aggressive_to_date\/\" target=\"_blank\" rel=\"noopener\">Beitrag hier<\/a> gibt de Groot auch Hinweise, wie die Infektion erkannt und beseitigt werden kann. Bleeping Computer hat <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/magentocore-malware-found-on-7-339-magento-stores\/\" target=\"_blank\" rel=\"noopener\">diesen Beitrag<\/a> vor einer Woche zum Thema ver\u00f6ffentlicht. Wer das Ganze lieber auf Deutsch liest, sollte sich <a href=\"https:\/\/www.heise.de\/security\/meldung\/Magento-Tausende-Online-Shops-greifen-heimlich-Kreditkarten-Informationen-ab-4155752.html\" target=\"_blank\" rel=\"noopener\">den heise.de-Beitrag<\/a> ansehen. Dort hat die Redaktion das Thema umfassend aufbereitet.<\/p>\n<blockquote><p>Passend dazu f\u00e4llt mir der gestrige PlusMinus-Beitrag ein, der mobiles Bezahlen per Smartwatch und Smartphone (mostly Android) propagiert. Der Beitrag ist in der <a href=\"https:\/\/web.archive.org\/web\/20180907060231\/https:\/\/www.ardmediathek.de\/tv\/Plusminus\/Mobiles-Bezahlen-vor-dem-Durchbruch\/Das-Erste\/Video?bcastId=432744&amp;documentId=55792418\" target=\"_blank\" rel=\"noopener\">Mediathek abrufbar<\/a>. Da kann dann nix mehr schief gehen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Aktuell sind wohl Tausende an Online-Shops, die mit dem E-Commerce-Programm Magento betrieben werden, kompromittiert. Angreifer nutzen injizierten Skimming-Code, um Kreditkarteninformationen abzugreifen und nach Moskau zu senden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-208820","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208820"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208820\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}