Sicherheitshinweis: Datenzugriff durch ungeschütze Zusatztools

Thema wurde von Wilken (Gambio), 29. Dezember 2017 erstellt.

  1. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Hallo zusammen,

    wir haben in den letzten 24 Stunden 5 Hilferufe von Shopbetreibern erhalten, die das gleiche Problem meldeten: Angreifer haben ihre Shops kompromitiert, alle auf die gleiche Weise. Die Sicherheit aller Gambioshops ist uns ein grosses Anliegen, darum möchten wir darüber reden, um euch zur Selbstkontrolle und bei Bedarf zur Verbesserung zu animieren, damit niemand weiterem ähnliches wiederfährt.

    Der Zugriff erfolgte in allen Fällen über das zusätzliche zum Shop installierte Fremdtool MySQLDumper, mit dem sich Datenbanksicherungen des Shops erzeugen, herunter- und heraufladen, sowie rücksichern lassen. Mit diesen Möglichkeiten bewaffnet, kann ein Angreifer grosse Schäden anrichten.

    Fatal hier:
    Den MySQLDumper unter einer leicht erratbaren Adresse wie www.shop.de/mysqldumper oder www.shop.de/msd zu installieren, begünstigt das auffinden immens. Hier zu glauben weil diese nicht öffentlich verlinkt sind würde das sicher gut gehen, ist eine falsche Annahme. Es gibt Tools, mit denen man Webseiten auf solche verbreiteten und zudem ungeschützt liegenden Hilfsmittel unter üblichen URLs scannen kann, die dann bei Ablauf massenweise URLs scannen. Bei einem positiven Fund wird der ausführende benachrichtigt, und kann direkt und bequem beginnen unerwünschte Handlungen auszuführen.

    Das Risiko ist dabei nicht nur, dass der Shop in seinem Betrieb gestört und mit Malware infiziert wird, auch die Daten eurer vorhandenen Kunden sind dann für dritte zugänglich, und das ist dann wenns passiert eine ernste Angelegenheit.

    Gegen den MySQLDumper ansich spricht dabei nichts, das Tool ist wertvoll und solide. Die entsprechenden Shopbetreiber haben aber alle keine funktionierenden Absicherungen vorgenommen, obwohl die Installationsanleitung des Tools und die Startseite desselbigen auf deren Nötigkeit hinweisen. Stattdessen wurde an dem Punkt, ab dem das Tool grundsätzlich nutzbar ist die Bearbeitung der Anleitungsschritte in den meisten Fällen abgebrochen.

    Gambio selbst beinhaltet keine solchen Werkzeuge und liefert oder installiert diese nicht mit dem Shop. Es handelt sich immer um Zusatzinstallationen durch euch, die wir aber frequent bei der Bearbeitung von Kundenanliegen vorfinden.

    Bitte überprüft euch einmal selbst, wenn ihr dieses oder andere Zusatztools für den Zweck installiert habt. Alles, was eure Daten zugänglich macht, also Datenbank- und Dateizugriffstools, sollte auf keinen Fall ungeschützt liegen.
     
  2. Developer

    Developer Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    2.884
    Danke erhalten:
    617
    Danke vergeben:
    113
    Das Problem gibt es leider seitdem es solche Tools gibt.

    Man sollte so etwas eigentlich wissen, bevor man so ein Instrument benutzt. Spätestens dann, wenn man damit arbeitet und beispielsweise auf der Startseite von dem Dumper steht, ob man ein Verzeichnisschutz anlegen möchte. Eigentlich nicht zu übersehen. Es ist traurig aber wahr.

    Übrigens: Dumper ist auch so ein Wort, welches gerne als Verzeichnisnamen genommen wird. :rolleyes:
     
  3. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    1. September 2012
    Beiträge:
    2.422
    Danke erhalten:
    417
    Danke vergeben:
    157
    auch wir nutzen den MSD, aber nicht in einem typischen MSD-Ordner sondern mit einem anderen Namen.
    Zusätzlich wurde bei der Installation ein htaccess/htpassword vorgesetzt um auf den Ordner zuzugreifen. Reicht das?
    Gruß
     
  4. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Ja, wenn das so ist, ist alles gut.
     
  5. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. April 2011
    Beiträge:
    993
    Danke erhalten:
    208
    Danke vergeben:
    100
    hab ich kein Mitleid für ...
     
  6. KDM

    KDM Erfahrener Benutzer

    Registriert seit:
    13. November 2012
    Beiträge:
    105
    Danke erhalten:
    16
    Danke vergeben:
    106
    Hallo zusammen,

    und wenn wir schon dabei sind - Auch nicht vergessen, wenn zusätzlich ein Blog betrieben werden sollte - Hat ja auch eine Datenbank - Wird meistens auch mit dem MySQL-Dumper gesichert.

    Was nützt vorne am Eingang ein großes Schloß, wenn hinten die Balkontüre offen steht.

    In der Ruhe liegt die Kraft - Alles wird gut !
    Arbeit ist ja auch nur eine Übergangslösung !
     
  7. Developer

    Developer Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    2.884
    Danke erhalten:
    617
    Danke vergeben:
    113
    Du bist ja gemein. :D
     
  8. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    25. Februar 2013
    Beiträge:
    69
    Danke erhalten:
    6
    Danke vergeben:
    18
    Wir haben auch lange den MySQL-Dumper genutzt, das Verzeichnis ist allerdings per .htaccess und .htpasswd abgesichert. Allerdings wird bei einer DB Sicherung per MySQL-Dumper die .sql Datei reichlich aufgebläht, weil zu jedem einzelnen Tabelleneintrag der jeweilige Spaltenname zusätzlich gespeichert wird. Da finde ich die Datenbank-Sicherungsfunktion im Gambio Admin wesentlich angenehmer und die dort erstellte Tabellensicherung platzsparender als den MySQL-Dumper.
     
  9. Developer

    Developer Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    2.884
    Danke erhalten:
    617
    Danke vergeben:
    113
    Hast Du unter Konfiguration > Allgemein die GZip-Kompression nicht aktiviert?
     
  10. FlorianR

    FlorianR Erfahrener Benutzer

    Registriert seit:
    20. November 2015
    Beiträge:
    1.314
    Danke erhalten:
    236
    Danke vergeben:
    932
    Wäre es möglich, die Lösung zur Behebung des Problems hier zu posten?

    Habe nämlich das gleiche Problem und vermute, dass es das Problem ist, dass die anderen 5 Shopbetreiber haben.

    P.S.: Warum mein mysqldumper Ordner nicht per htpassword und htaccess geschützt war, ist mir nach wie vor ein Rätsel, denn sowohl in der "Password speichern" Funktion in Chrome wie auch in meinem KeePass waren für diesen Ordner Zugangsdaten hinterlegt, die ich aber plötzlich beim Zugriff nicht mehr brauchte.... Da ich nicht täglich in diesen Ordner reinschaue - die Sicherungen liefen ja einwandfrei - kann ich auch nicht sagen, seit wann der Schutz nicht mehr drauf war :-(
     
  11. KDM

    KDM Erfahrener Benutzer

    Registriert seit:
    13. November 2012
    Beiträge:
    105
    Danke erhalten:
    16
    Danke vergeben:
    106
    Hallo Florian,

    wollte gerade Ihre Website matchashop.de besuchen - Es kam folgende Meldung im FF.

    Firefox hat die Seite blockiert usw. ...
     

    Anhänge:

  12. Alexander Hess

    Alexander Hess Erfahrener Benutzer

    Registriert seit:
    10. Juni 2011
    Beiträge:
    504
    Danke erhalten:
    96
    Danke vergeben:
    20
    #12 Alexander Hess, 2. Januar 2018
    Zuletzt bearbeitet: 2. Januar 2018
    Ich hatte Gambio im Juni 2015 mit der Umstellung von der Version GX auf GX2 beauftragt. Hier wurde seitens des Gambio-Mitarbeiters der MySqldumper eingesetzt und auf unseren Server hochgeladen. Seinerzeit gab es Verwirrung warum der Verzeichnisschutz nicht aktiviert wurde. So lagen die Daten 2 Wochen ungeschützt auf dem Server. Glücklicherweise hab ich dies bemerkt und den Schutz danach sofort aktiviert. Vorsichtshalber habe ich das Verzeichnis /msd heute gelöscht.

    Hier sollte Gambio bzw. jeder Auftraggeber mal schauen, ob es aus dem Updateaufträgen evtl. ungeschützte msd gibt.
     
  13. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    gilt.