Hallo, mein Webshop wurde leider gehackt. Mein Provider hat den Verdacht geäußert, dass der Zugriff über das Plugin/Modul Payone erfolgt ist. Ich habe dieses nicht aktiviert, benutze es nicht. Wie gehe ich damit um? Ist eine Löschung aller Dateien im Verzeichnis ext/Payone über FTP wirkungsvoll? Überhaupt zielführend? (= Sicherheitslücke entfernen) Welche Vorgehensweise gibt es? Ich habe keine IT zur Hand und selbst nur wenig Ahnung. Ich habe die Scripte, die in manchen anderen Threads vorgeschlagen und geteilt wurden, bemerkt, aber nicht verstanden.
@Minor Uns ist bisher keine Lücke bekannt im PayOne Modul, allerdings wird das PayOne Modul mit der 4.9.5.0 und höher bereits gelöscht, sodass wir dir ein Update auf die neuste Version empfehlen.
Ok, danke für die Antwort. Der Schaden ist scheinbar weitaus größer als heute Nachmittag noch gedacht. Ich habe deswegen bereits ein Ticket eröffnet, denn es stellen sich mir als Betroffenen und Laien und vor die Aussicht gestellt, meinen Shop vielleicht komplett von Null aufbauen zu müssen, viele Fragen.
Um das noch etwas zu beleuchten und um das Ausmaß der Community nicht vorzuenthalten, möchte ich noch kurz etwas zu dem Fall mitteilen. Das hat der Support meines Hosters geschrieben: Ich habe keine Ahnung, wie ich mich vor soetwas hätte schützen können.
@Minor: Welche Shopversion hattest Du vor dem Befall? @Till (Gambio): Kann man den Ordner Payone per FTP einfach löschen, wenn man Payone nicht verwendet?
@Eisvogel Ja, du kannst den Ordner einfach löschen und danach die Cache Dateien aus dem Ordner /cache/ löschen.
@Till (Gambio): meinst Du spezielle Dateien aus dem Ordner /cache/ per FTP löschen (wenn ja, welche konkret), oder meinst Du, die Caches im Backend unter Toolbox>Cache leeren?
@Eisvogel wenn du im Gambio Admin die Caches erneuern kannst, dann reicht es dn Modul-Cache zu erneuern, wenn du aber nach dem Löschen der Dateien nicht mehr in den Gambio Admin kommst, musst du die Dateien per FTP löschen. Nur Dateien löschen keine Ordner die index.html und .htaccess Datei kannst du stehen lassen.
@Till (Gambio): Ich habe jetzt den Ordner Payone per FTP gelöscht und den "Cache für Modulinformationen" im Backend unter Toolbox>Cache geleert. Dann habe ich eine Testbestellung mit Vorkasse durchgeführt, diese ging durch, allerdings kam statt der checkout_success-Meldung folgendes: Unexpected Error occured: Failed opening required '.../ext/payone/php/Payone/Bootstrap.php' (include_path='.:/opt/RZphp81/includes') Wenn ich die Cache-Dateien in diesem Zusammenhang per FTP löschen will: sollen dann ALLE Dateien im Ordner /cache/ (außer index.html und .htaccess) gelöscht werden und zusätzlich alle Dateien in den anderen Ordnern (außer index.html), die sich im Ordner /cache/ befinden (also auch alle Dateien aus den Ordnern auto_updater, cronjobs, sessions, smarty)?
Nein, nur direkt aus dem /cache/ Ordner die Unterordner bitte so lassen wie sie sind, daraus bitte nichts löschen
@Till (Gambio): Nachdem ich nun per FTP auch alle Dateien (außer index.html und .htaccess) aus dem Ordner /cache/ gelöscht habe, kommt statt der checkout_success-Meldung immer noch die Fehlermeldung Unexpected Error occured: Failed opening required '.../ext/payone/php/Payone/Bootstrap.php' (include_path='.:/opt/RZphp81/includes') Liegt wohl grundsätzlich an dem gelöschten Payone-Ordner; habe den vor der Löschung gesichert, kann ihn also wieder hochladen - kann ich das einfach so machen, oder wären da Probleme zu erwarten?
@Eisvogel Der Shop funktioniert ohne Payone, wenn du das Modul nicht installiert hast. Daher sollten wir das prüfen und ggf. manuell löschen. Mach bitte ein Ticket auf. Außerdem wird PayOne mit dem Update 4.9.5.0 und höher gelöscht, sodass wenn du das Update von 4.8 auf 4.9.6.1 z.B. machst, löscht der Shop PayOne während des Updates automatisch.
Ticket ist erstellt Nachtrag nach der Ticketbearbeitung: es trat auch noch eine Fehlermeldung im Backend unter Module>Zahlungsweisen>Sonstige auf. Das Ticket wurde sehr schnell bearbeitet. Es stellte sich heraus, dass nach der Löschung des PayOne Ordners neben den Cache Dateien auch noch folgende Dateien gelöscht werden mussten: /includes/modules/payment/payone_cc.php /includes/modules/payment/payone_cod.php /includes/modules/payment/payone_elv.php /includes/modules/payment/payone_installment.php /includes/modules/payment/payone_invoice.php /includes/modules/payment/payone_otrans.php includes/modules/payment/payone_prepay.php /includes/modules/payment/payone_safeinv.php /includes/modules/payment/payone_wlt.php /system/overloads/CheckoutSuccessExtenderComponent/PayoneCheckoutSuccessExtender.inc.php
Das ist ganz genau die Vorgehensweise der Angriffe über den Parcelshopfinder. Die haben vermutlich die Scripte in deinen PayOne Ordner geschoben.
Es hat sich herausgestellt, dass da weitaus mehr Daten bewegt oder hin und her geschoben wurden, als auf den ersten Blick festgestellt wurde. Der Support hat immer mehr festgestellt, je weiter sie sich das angeschaut haben. Da waren schließlich etliche Module verseucht oder kaputt. Da war jemand oder etwas sehr, sehr emsig, Verwüstung anzurichten.
Hattest Du das Security Update 2024-02 installiert? Dieses schützt vor der Infiltration mittels des Parcelshopfinders (wie oben von M.Zitzmann, Posting #14 geschrieben).