Hallo, bei einem Kundenshop finden zur Zeit massive Hackerangriffe statt. Von drei verchiedenen IP-s werden solche Seiten aufgerufen: Code: http://www.DOMAIN.de/r154hdnqwv-for-sengy-test.html http://www.DOMAIN.de/r154nmdf-mustard-koyasan-13118458.html In den Logdatein steht dann: Code: PHP Fatal error: Uncaught Exception: Product ID can't be 0 in /pages/80/5e/xxxx/home/htdocs/domain/GambioShop/Product/ValueObjects/ProductId.php:37 Daduch werden php-Dateien auf den Webspace geladen die mit wp-... beginnen. Hier mal ein Log-Auszug: Code: 2021] [fcgid:warn] [pid 21758] [client 66.249.65.0:49471] mod_fcgid: stderr: PHP Fatal error: Uncaught Exception: Product ID can't be 0 in /pages/80/5e/xxxxx/home/htdocs/domain/GambioShop/Product/ValueObjects/ProductId.php:37 [Mon Nov 29 09:26:27.743067 2021] [fcgid:warn] [pid 21758] [client 66.249.65.0:49471] mod_fcgid: stderr: Stack trace: [Mon Nov 29 09:26:27.743087 2021] [fcgid:warn] [pid 21758] [client 66.249.65.0:49471] mod_fcgid: stderr: #0 /pages/80/5e/xxxxx/home/htdocs/domain/GambioShop/Product/SellingUnit/Database/Listener/OnSellingUnitIdCreateListener.php(29): Gambio\\Shop\\Product\\ValueObjects\\ProductId->__construct(0) [Mon Nov 29 09:26:27.743100 2021] [fcgid:warn] [pid 21758] [client 66.249.65.0:49471] mod_fcgid: stderr: #1 /pages/80/5e/xxxxx/home/htdocs/domain/GambioCore/Event/EventDispatcher.php(78): Gambio\\Shop\\Product\\SellingUnit\\Database\\Listener\\OnSellingUnitIdCreateListener->__invoke(Object(Gambio\\Shop\\SellingUnit\\Unit\\Events\\OnSellingUnitIdCreateEvent)) [Mon Nov 29 09:26:27.743113 2021] [fcgid:warn] [pid 21758] [client 66.249.65.0:49471] mod_fcgid: stderr: #2 /pages/80/5e/xxxxx/home/htdocs/domain/GambioShop/SellingUnit/Unit/Factories/SellingUnitIdFactory.php(87): Gambio\\Core\\Event\\EventDispatcher->dispatch(Object(Gambio\\Shop\\SellingUnit\\Unit\\Events\\OnSellingUnitIdCreateEvent)) [Mon Nov 29 09:26:27.743126 2021] [fcgid:warn] [pid 21758] [client 66.249.65.0:49471] mod_fcgid: stderr: #3 /pages/80/5e/xxxxx/home/htdocs/domain/product_info.php(105): Gambio\\Shop\\SellingUnit\\Unit\\Factories\\SellingUnitIdFactory->createFromCustom(Array, Array, Object(Gambio\\Shop\\Language\\Va in /pages/80/5e/xxxxx/home/htdocs/domain/GambioShop/Product/ValueObjects/ProductId.php on line 37 Ich habe jetzt erstmal die IP-s geblockt. Wie kann es sein daß solche URL aufgerufen werden können? Muß ich hier die Datenbank nach Scripten durchsuchen?
Von aussen kann ja jemand versuchen aufzurufen was er will. Wenn der Aufruf blödsinnig genug ist, dann wirft das Fehlermeldungen, weil der nicht sinnvoll verarbeitet werden kann. Das passiert draussen in unfassbar grossen Mengen und ist normal kein Problem. Das dann Dinge in den Logs landen ist auch ok, aber es dürft normal keine php Dateien ablegen können. WP klingt so nach Wordpress. Ist da ein Wordpress paralell, dass angegriffen wird? Von dem Shop sollten wir vielleicht mal ein Ticket bekommen, um da auch mal mitzuschauen.
Habe es gerade mal getestet: Wenn die Artikel nicht da wären würden sie einen 404 Fehler auslösen. Eine solche Fehlermeldung konnte ich damit nicht produzieren.
Das ist richtig, normal kommen da auch 404er. Wenn man aber die Requests mit noch ein paar Parametern und etwas mehr Requestbodies vollstopft, wie es Bots tun können, kann auch mal was anderes rauskommen als ein 404er, nämlich ne Fehlermeldung. Aber das sollte trotzdem in keinem Fall dazu führen, dass irgendwas PHP Dateien ablegen könnte. Wäre das so, hätten wir ein Problem.
Ich habe diese IP-s geblockt: Code: order allow,deny deny from 91.218.247. deny from 114.119.133. allow from all Sobald ich eine dieser IP-s wieder freigebe dauert es 10 Sekunden dann werden die Dateien wieder erzeugt. Beispiel: wp-xmlmap.php mit schönem Hackerscript drin... Im ganzen Webspace war noch nie ein Wordpress. Solange die IP-s geblockt sind ist Ruhe...
Nachtrag Ich habe mal die Domain http://www.DOMAIN.de/r154hdnqwv-for-sengy-test.html aufgerufen solange die Scripte vorhanden waren. Es kam eine Meldung mit "Test Erfolgreich" Wie kann das sein?
Wenn da irgendwie mal ein PHP-Skript abgelegt wurde und das bleibt, dann ist alles vorbei. Da bräuchte es ja nur ein Skript, das beliebige weitere Dinge tun kann, wie weitere Skripte nachladen und auch ablegen, dann könnte ein Angreifer tun was er will, wann er will. Oder wenn sich Skript so ablegt, dass es beim jedem Seitenaufruf durch Besucher automatisch mitausführt, dann kann man auch den Shopbesuchern unterschieben was man will. Das ist in tun was der Angreifer will mit drin. Es ist einfach genau gar nichts mehr sicher. Folge 1 ist also: Der Shop gehört sofort aus dem Netz. Keine andere Option ist vertretbar. Folge 2 ist: Der Shop gehört analysiert und bereinigt. Kein Rumgespiele. Beides muss eingeleitet werden.
Auch die Server-Logdatei gibt nichts her. Es werden nur die .html aufgerufen und trotzdem erscheinen die Dateien ohne irgendeinen Log-Eintrag. Mein Kunde wendet sich nun an den Hoster (Strato...) Zu Joomla-Zeiten konnte man die Hacker noch mit der Logdatei "verfolgen"...
Für dich gelten dann dieselben Vorbemerkungen. Grundsätzlich: Uns ist zum aktuellen Zeitpunkt weder eine Sicherheitslücke bekannt, noch wüssten wir von anderen Kunden, die ähnliches erleiden. Sicher ist aber auch: Das ist definitiv ein Grund zur Sorge und ihr könnt eure Shop so nicht am Netz lassen. Irgendwas ist da mindestens für eure beiden Shops nicht dicht, und muss mindestens dort abgestellt werden. Kümmert euch um eine Untersuchung, macht Tickets auf.
Hast du beherzigt was ich dir direkt davor geschrieben hab? Wenn du nichts gemacht hast, dann wäre eine Änderung halt auch ein Wunder.
Wir haben solche Probleme durchaus schon mal gesehen. Meist war ein FTP-Passwort war unsicher, Schläferdateien wurden auf dem FTP-Server geparkt und machen erstmal eine Weile nichts. Werden diese angesprochen, werden andere Dateien nachgeladen. Da hilft auch das Ändern der FTP-Daten nichts, solange diese Dateien nicht identifiziert und entfernt worden sind. Daher: Die Shops müssen vom Netz und analysiert werden. Wir brauchen da Tickets, sonst können wir nicht helfen. Und nicht nächste Woche - sofort.
Solche schon relativ massiven Sicherheitsprobleme sollte man umgehend analysieren mit allen Mitteln die einem zur Verfügung stehen. Ticket an Gambio = Shopdateien auf nicht zum Shop gehörende Dateien prüfen lassen / manipulierte Dateien usw. Hoster - Logs schauen lassen wer über welche wege diese Dateien da hochgeladen hat. ebenfalls - Passwörter ändern Jedenfalls sollte man nicht erwarten das sich was ändern wenn man nix unternimmt. Finde das sehr fahrlässiges Verhalten wenn man weiß das jemand zugriff auf den Server hat und man nichts dagegen unternimmt. die könnten ja dadurch so ziemlich alles an daten abgreifen, shop komplett killen kundendaten abgreifen usw. Normal müsste man das sogar fast schon melden, weil gefahr besteht das schon jemand kundendaten geklaut hat bei euch.