» »

Na spletu je več milijonov zastarelih, okuženih spletnih trgovin

Na spletu je več milijonov zastarelih, okuženih spletnih trgovin

osCommerce je brezplačna in odprtokodna spletna trgovina na LAMP platformi, enostavna za inštalacijo in z mnogo različnimi temami; nadgrajevati pa jo je vseeno treba.

vir: Wikipedia
Heise - Nemški urad za informacijsko varnost je izdal opozorilo uporabnikom pred valom okuženih spletnih trgovin z zastarelo različico odprtokodnega programskega paketa osCommerce. Konec julija je bila namreč objavljena stara varnostna pomankljivost v različici 2.2, ki omogoča dostop do administratorskega vmesnika trgovine. Napako so odpravili že lani novembra, vendar veliko trgovin nikoli ni nadgradilo svoje spletne strani. To je napadalcem omogočilo serijsko okužbo trgovin; na prvo stran umestijo okvir (iframe), ki s pomočjo javascripta preiskusi več varnostnih pomankljivosti v brskalniki IE, MS Windows Help centru, java pluginu oz. adobe acrobat readerju. Če test uspe, se uporabniku brez vprašanj na sistem namesti škodljiva programska oprema (drive-by download), ki napadalcu omogoča kontrolo nad zadevnim računalnikom, zbiranje gesel, kreditnih in očitno tudi oddajo računalnika naprej.

Heisejevi strokovnjaki so z Google iskanjem po okuženi kodi našli več milijonov zadetkov; ena trgovina ima sicer lahko več okuženih strani, a vseeno naj bi bilo skupno število okuženih trgovin več sto tisoč. Številka je močno narasla v prvih dveh tednih avgusta, s kakih 100 tisoč na omenjenih 3.8 milijonov.

Urad je uporabnike interneta opozoril, naj redno posodabljajo svoj brskalnik (vključno z razširitvami) ter istočasno uporabljajo protivirusni program s svežimi definicijami, da se morebitno nameščen malware takoj odkrije. Trgovce so poprosili k nadgradnji svoje programske opreme (2.3.1 z lani novembra, sveža različica je 3.0.2). Zanimivo je že, koliko trgovcev je bilo v želji dobiti zastonj platformo za spletno prodajo tako malomarnih, da v skoraj letu dni niso posodobili svojih sistemov.

17 komentarjev

MrStein ::

Zanimivo je že, koliko trgovcev je bilo v želji dobiti zastonj platformo za spletno prodajo tako malomarnih, da v skoraj letu dni niso posodobili svojih sistemov.

Automatic update.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Relanium ::

Obstaja eno staro pravilo:
Don't fix it if it works...

Ampak racunalnistvo je tak podrocje za sebe

Ales ::

If it ain't broke, don't fix it. Ampak v takih primerih je še kako pokvarjeno / polomljeno. Žal obstaja veliko lastnikov strani, ki ne znajo prav dobro skrbeti zanje, prav tako pa obstaja tudi veliko nameščenega programja, ki sploh ni aktivno v uporabi. Software rot.

SlimDeluxe ::

Problem z updateom osc2 je v tem, da si za normalno delovanje z lastnim templatom moral razturiti 60% sistema (tudi core zadeve), saj o kakšni MVC separaciji v tem dinozavru ni možno govoriti.
Update osc2 je daleč od drag and drop manevra.
Kolikor vem, 3.x še ni production ready (bistvo 3.x releasea je novi framework)... Vsaj zadnjič ko sem gledal je manjkalo pol zadev.
Desktop: R5 3600X | MSI MPG B550 | RX580 8GB | 32GB DDR4 | be quiet! 650W
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS

MrBrdo ::

oscommerce obup!! sem se nekaj let nazaj pošteno zaj*, ko sem ga uporabil, zdaj ga pa vsake pol leta shekajo... mam že ene 10 različnih security patchov not, ker uradnega updejta pa itak ni bilo že ne vem koliko let. obup res, za izogibat se tega dreka
MrBrdo

Ales ::

OSC je, kar se kode tiče, res obup. Žal pa pred leti ni bilo velike izbire na tem področju in posledično ima OSC veliko uporabnikov.

bf4ed ::

Katera je pa potem trenutno vredna omembe?

SlimDeluxe ::

IMHO nobena, zato delam lastno implementacijo :)
Malo za hec, malo za res.
Te sem kot razvijalec za razne stranke dal skozi in jih ne priporočam: osc2, opencart, prestahop
Če bi se danes odločal, bi pogledal Magento in CS Cart.
Desktop: R5 3600X | MSI MPG B550 | RX580 8GB | 32GB DDR4 | be quiet! 650W
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS

amigo_no1 ::

Kaj uporabljajo slovenske online trgovine ?

opeter ::

Latne rešitve od Domenca ipd. podjetij, če se ne motim. Recimo prodajalna od AGT uporablja rešitve od http://www.vpo.si/
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

MisterR ::

Ales je izjavil:

If it ain't broke, don't fix it. Ampak v takih primerih je še kako pokvarjeno / polomljeno. Žal obstaja veliko lastnikov strani, ki ne znajo prav dobro skrbeti zanje, prav tako pa obstaja tudi veliko nameščenega programja, ki sploh ni aktivno v uporabi. Software rot.


To drži le delno. Dosti je takih, ki so kupili postavitev spletne trgovine, strošek vzdrževanja pa se jim je zdel previsok oziroma nepotreben in zato so tam kjer so.

Ales ::

Predvsem sem mislil prav na te, ki so plačali za namestitev oz. jim jo je kdo celo naredil zastonj, potem pa so iz nekega razloga zanemarili vzdrževanje... Neznanje, varčevanje na napačnem mestu, kakorkoli, žal delajo narobe.

Res pa je, da stare verzije OSC s kakim kompleksnejšim dodatkom ali modifikacijo sploh ni tako lahko nadgraditi.

SlimDeluxe ::

Problem je v tem, da je to zelo nehvaležno in nekonstruktivno delo :) Tak code monkey job na nekem arhaičnem sistemu.
Desktop: R5 3600X | MSI MPG B550 | RX580 8GB | 32GB DDR4 | be quiet! 650W
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS

gregy ::

Ne vem sicer koliko smo zanimivi za heckerje, ampak v 7ih letih kulkr laufamo oscommerce smo imeli samo en defacement.
Zadeve delujejo .. je pa res, da ko bomo veliki in bogati (upam, da še v tem stoletju) bomo rekli hvala lepa Oscommercu ..
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br />
Vstopnice.com so moja strast ...

amigo_no1 ::

K-u-p.si uporablja (ni reklama)
http://www.opencart.com

Kako se obnese ?

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

PaX_MaN ::

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

Steinkauz ::

amigo_no1 je izjavil:

K-u-p.si uporablja (ni reklama)
http://www.opencart.com

Kako se obnese ?


Am http://www.kup.si/index.php?route=produ... tole zgleda čist hijackano, tko da verjetno obup :))


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkrita zlonamerna koda v usmerjevalnikih (strani: 1 2 )

Oddelek: Novice / Varnost
6741307 (23339) AC_DC
»

Rails fail

Oddelek: Novice / Varnost
207567 (6176) Daedalus
»

Kako ukrasti listo kontaktov v GMailu

Oddelek: Novice / Varnost
176030 (4042) Bistri007
»

Varnostne pomankljivosti Symantec / Netgear / Linksys opreme

Oddelek: Novice / Varnost
244301 (3041) Damjan Jagar
»

Posebno opozorilo

Oddelek: Omrežja in internet
131794 (1181) krneki0001

Več podobnih tem