Spambot attacken

Shopware 5 Allgemein
1

Hallo zusammen,

in letzter Zeit wird eine meiner verwalteten Shops durch automatisierte Scripte heimgesucht. Durch die aktivierte Funktion, sende Fehlerberichte an den Shopbetreiber, konnte ich das Verhalten genauer beobachten.

Anscheinend ist Shopware mittlerweile ein Ziel für solche automatisierten Scripte. Glücklicherweise sind diese aber noch nicht weit fortgeschritten. Dadurch das dem Angreifer anscheinend ein gültiger CSRF Token fehlt, scheitern die Anfragen jedes mal. Aber auch erstaunlich, dass die Angreifer kein Problem mehr mit dem Captcher haben.

Hier mal einige Anfragen:

Time:	2017-01-26T02:27:51.005266+0100
Channel:	core
request:	{
    "uri": "/ticket/index/id/16",
    "method": "POST",
    "query": {
        "module": "frontend",
        "controller": "ticket",
        "action": "index",
        "id": "16"
    },
    "post": {
        "sCaptcha": "XJ7dXN6T",
        "nachname": "Anitra",
        "anrede": "Frau",
        "email": "c1ftw9tjmh@hotmail.com",
        "inquiry": "Third Flw0er̷o;My wife and that i are now delighted that Albert could perform his scientific studies on account of the thoughts he had by means of your web content. It’s every so often perplexing to simply normally be freely giving measures which some individuals mi…",
        "telefon": "dDGTqKlSw",
        "forceMail": "0",
        "vorname": "Anitra"
    }
}
session:	No session data available

Time:	2017-01-26T02:15:34.740244+0100
Channel:	core
request:	{
    "uri": "/reiseangebote/busreisen/busreise-2.bundesliga-spvgg-greuther-fuerth-hannover-96-am-03.02.2017-116?action=rating&c=13",
    "method": "POST",
    "query": {
        "action": "rating",
        "c": "13",
        "module": "frontend",
        "controller": "detail",
        "sArticle": "116",
        "rewriteUrl": "1",
        "sCategory": "13"
    },
    "post": {
        "sCaptcha": "4F7HKfv1W",
        "sVoteStars": "8",
        "sVoteSummary": "685Qh6SzlcK9",
        "sVoteMail": "83qy8bz4ixe@gmail.com",
        "sVoteName": "Honey",
        "sVoteComment": "أشكرك أخيمØÂÂ-مود على هذا التوثيق الرائع بالمستند وللمزيد من؈™…™Â„تç‚دÙÂÃÙÂÂلا تبخل علينا بما هو جديد وموثق نافع لديكم"
    }
}
session:	No session data available

Davon hatte ich die letzte Nacht knapp 57 solcher Mails. Alle zwischen 2:15 - 4:00 Uhr in der Nacht. Solche Angriffe könnten auch dazu dienen, die letzte Schwachstelle aktiv aus zu nutzen. Ich gehe mal davon aus, dass die Schwachstelle nicht nur im Ticketsystem existierte sondern auch in den anderen Formularen??? Ich hoffe das wurde soweit durchgetestet.

Die Angriffe wurden immer im wechsel von zwei IP-Adressen durchgeführt:

188.143.232.27 und 188.143.232.32

Logeinträge:

188.143.232.32 - - [26/Jan/2017:02:13:01 +0100] "POST /ticket/index/id/16 HTTP/1.0" 400 13937 "https://[URL]/anfrage-formular?sInquiry=detail&sOrdernumber=FYT-60000615" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:02 +0100] "POST /ticket/index/id/16 HTTP/1.0" 400 13937 "https://[URL]/anfrage-formular?sInquiry=detail&sOrdernumber=FYT-60000615" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:03 +0100] "GET /ticket/index/id/16 HTTP/1.0" 200 7405 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:05 +0100] "GET /anfrage-formular?sInquiry=detail&sOrdernumber=FYT-60000615 HTTP/1.0" 200 7480 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:06 +0100] "GET /anfrage-formular HTTP/1.0" 200 7405 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:08 +0100] "GET /agb HTTP/1.0" 200 13292 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:09 +0100] "GET /faq HTTP/1.0" 200 12864 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:11 +0100] "GET /ueber-uns HTTP/1.0" 200 8201 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:13 +0100] "GET /zahlungsmoeglichkeiten HTTP/1.0" 200 8033 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:13 +0100] "GET /kontaktformular HTTP/1.0" 200 7411 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:14 +0100] "GET /datenschutzerklaerung HTTP/1.0" 200 8726 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:16 +0100] "GET /impressum HTTP/1.0" 200 9265 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:18 +0100] "GET / HTTP/1.0" 200 6811 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:21 +0100] "GET /note HTTP/1.0" 200 7014 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:22 +0100] "GET /account HTTP/1.0" 200 9953 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:26 +0100] "GET /reiseangebote/flugreisen/ HTTP/1.0" 200 7931 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:28 +0100] "GET /neuigkeiten/ HTTP/1.0" 200 9415 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:29 +0100] "GET /reisereport/ HTTP/1.0" 200 10113 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:30 +0100] "GET /ticket/index/id/16 HTTP/1.0" 200 7405 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
188.143.232.32 - - [26/Jan/2017:02:13:32 +0100] "GET /checkout/cart HTTP/1.0" 200 6852 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Die Seite wurde systematisch gescannt und die POST Anfragen entsprechend abgesetzt. Gern übermittel ich die gesamten Logfiles zur genaueren Analyse.

2

Ich hatte es vor einiger Zeit auch, dass zur Uhrzeit X massig Suchanfragen über die Shopware Suche gestellt worden sind, welche den halben Shop gelahmt haben. Aber hier muss man einfach Serverseitig eingreifen und die IP`s welche diese massigen Post Anfragen absetzen blocken. Das ist auch nicht direkt eine Schwachstelle von Shopware, sondern vom Server. Denn dieser sollte erkennen, wenn es eine massige Anzahl an Requests von einer IP kommen.

Hast du einen eigenen Server?

Dann solltest du dir bspw. mal ISPProtect ansehen: ISPProtect BanDaemon - ISPProtect

ISPProtect kann hier bspw. auch GET & POST Anfragen überwachen.

CloudFlare wäre auch eine zusätzliche Option.

1 „Gefällt mir“
3

Hast du einen eigenen Server?

Ja, vielen Dank!

Wir nutzen dort Plesk. Ich habe jetzt das gesamte Subnetz gesperrt.

Nachtrag: Wie du sicherlich erkennen kannst, setzt der Angreifer nur alle Paar Sekunden eine Anfrage ab. Wir sind bereits durch hetzner mit einer guten DoS Firewall geschützt. Die bringt aber bei dem Beispiel nicht viel.

Mein Beispiel sollte Shopware weitere Infos an die Handgeben um Ihr System noch sicherer zu machen. Wer die Captchas auslesen kann, vor dem ist das angewendete System nicht mehr sicher und wer über diesen Weg speziell Shopware im Auge hat, könnte in Zukunft noch mehr anrichten.