In einem Kundenshop hat sich ein Hacker Zugriff zum Server verschafft mit einem Tiny File Manager. Den hat er mehrfach im Ordner /vendor/... versteckt und auch einige Male aufgerufen. Kann man den Ordner mit einem Eintrag in die .htaccess schützen?
Wenn man die Zwei-Faktor-Authentisierung nutzt, dürfte das nicht mehr passieren. Ansonsten den Inhalt auf dem Server auf einen Tag oder mehrere Tage zurücksetzen. Danach die Passwörter ändern. So würde ich das machen.
Du hast recht. Mache ich auch mit 2FA und das beruhigt mich sehr. Doch wie ist es mit registrierten Kunden. Da frag ich mich, ob das nicht problematisch werden könnte.
Wenn die Jungs bereits Dateien auf den Server geladen haben nutzt 2FA nichts mehr. Mit dem hochgeladenen Editor haben sie vollständigen Zugriff auf die PHP Serverdateien und können lesen, hochladen, editieren usw. Maßnahmen: Den Shop mit .htaccess komplett sperren und nur die eigene IP zulassen Mit einem Script (von ChatGPT) den Server durchsuchen und hochgeladene Schaddateien löschen Die Namen und Pfade der gefundenen Dateien notieren Alle Adminpassworte und DB Passwort ändern Dann den Shop wieder freigeben und regelmäßig die Logdateien durchsuchen ob die gefundenen Dateien wieder aufgerufen werden. Für diese Aufrufe die IP des Angreifers speichern und die Logdatei nach weiteren Aufrufversuchen mit dieser IP durchsuchen. Mit diesen Pfaden dann den Server durchsuchen. Beispiel eines erfolgreichen Aufrufes: (200) Code: 45.204.9.56 - - [28/Jul/2025:08:25:16 +0200] "GET /GXUserComponents/Extender/index.php HTTP/1.1" 200 2761 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36" 490 2998 Beispiel eines erfolglosen Aufrufes: (404) Code: 45.204.9.56 - - [29/Jul/2025:02:53:42 +0200] "GET /GXUserComponents/Extender/index.php HTTP/1.1" 404 265 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36" 792 466
Guten Morgen zusammen, die Tipps von Mike sind schon einmal sehr gut! Dieser Punkt ist der aufwendige. Zumal Dateien die da nicht hin gehören eigentlich nur mit einem Dateivergleich einer sauberen Version ausffindig gemacht werden müssen. Und dann muss man noch bedenken dass auch Originaldateien inhaltlich manipuliert werden können und dies bei einem solchen Hack auch in der Regel passiert. D.h. die Dateibereinigung ist in aller Regel aufwendiger als man denkt. Aber ist machbar! Wichtig: Das komplette Prozedere ist meist völlig überflüssig wenn man die Lücke nicht findet. Und die kann vielschichtig sein (Admin-Passwort geleakt und man weiß nicht warum, Sicherheitslücke im Shop da Shopversion veraltet oder es eine unbekannte Lücke gibt, FTP-Passwort geleakt und man weiß nicht warum usw.). Viele Grüße Walter
Aktuell ein neuer Fall. Shopversion 4.4.0.3 Die Angreifer kamen vermutlich rein weil das Security Update 2024-02 v1.0.0 für GX4 v4.0.0.0 bis v4.9.2.0 nicht installiert war.
Ich hatte auch gerade einen Fall Shop Version 4.8.0.0 Security Update war nicht installiert. Noch paar Tipps Regelmäßig FTP Passwörter ändern, all-inkl.com Kunden können Ihre FTP und SSH Accounts deaktivieren. Für den Admin Zugang, wenn möglich keine E-Mail-Adressen verwenden, die zur Shop-Domain passen, Regelmäßig Passwörter ändern und Doppel Opt In einrichten. P.s. Hatte aber auch schon Fälle, wo das Securityupdate installiert war. Was auffällig ist, die sind alle Anfang Juni das erste mal gehakt worden zwischen 11.06 und 18.06 Kleiner Nachtrag, in dem Shop war der Dateimanager nicht aktiv, bzw. gar nicht installiert.
Ich habe mir jetzt mal eine Software gebaut, mit der ich per SSH den Shop Ordner nach back door Signaturen Scanne. Verdächtige Dateien, werden am Schluss mit den Original Gambio Dateien verglichen. Wenn Veränderungen da sind, werden diese in eine Liste geschrieben. In einer zweiten Liste werden dann alle Dateien geschrieben, die es in Gambio nicht gibt. Das durfte die Suche erheblich erleichtern. Ich bin am Testen, mal sehen was dabei herauskommt.
In den nächsten Wochen wird der Datei-Scanner der Bedrohungs-Erkennung in SiteZen.io zu Gambio kompatibel werden. Dann wird der Server automatisch laufend auf Änderungen gegen einen Base-Line Checksum geprüft. Für Wordpress und SW6 ist dies bereits umgesetzt, da hier die Anbieter je Release eine Checksum-Datei bereit stellen.
Kai, darf ich fragen warum Du nur verdächtige Dateien mit dem Original vergleichst? D.h. wird eine Datei versehentlich nicht als verdächtig erkannt, welche aber Schadcode enthält, schlägt die Prüfung fehl. Warum prüfst Du nicht alle Dateien und bewertest dann die Abweichungen mit einer Sichtprüfung manuell? Cord, das hört sich sehr interessant an. Wie wird dabei mit Dateien umgegangen die nicht dem Original Gambio Core entsprechen (z.B. gewollte Anpassungen im Theme, externen Modulen oder im schlimmsten Fall auch im Core)? Grüße und einen schönen Sonntag Walter
Hallo @Walter Lenk, da ist ja nur ein Schritt von mehreren, Verdächtige Dateien sind ja erst mal die, die eine entsprechende Signatur beinhalten, danach erfolgt der Abgleich mit Originalen Dateien und eine Auflistung der Dateien, die zusätzlich da sind, also was dazu gekommen ist, durch Updates Module etc. diese müssten dann noch manuell geprüft werden. Wenn Du eine Idee hast, wie es schneller und besser gehen könnte, kannst Du mir das gern mitteilen. Bin ja noch am Bauen, alles ist machbar.
Guten Morgen Kai, schneller klappt der komplette Dateivergleich mit anschließender manueller Bewertung natürlich nicht. Aber bei einem gehackten Shop steht auch nicht der Zeitaufwand im Vordergrund sondern dass man alle verdächtigen Dateien lückenlos erwischt. Daher wird man um eine manuelle Sichtprüfung zur Bewertung ob schadhafter Code oder gewollter Code einer Anpassung nie drum rum kommen. Viele Grüße und einen guten Start in die Woche Walter
Würde es nicht genügen die Dateien im Stammverzeichnis zu vergleichen? Als erstes legen die Hacker immer dort Dateien ab.
@Kai Schoelzke Ich habe auch angefangen, einen ganz einfachen Scanner zu programmieren. Habe gerade aber anderes zu tun. Sinnvoll erscheint mir einen sicheren snapshot anzufertigen (alle Datei-Hashes zu speichern) und abzugleichen. Neue und geänderte Dateien schlagen alarm, mit gezielten ausnahmen. Z.B. Bilddateien in den Uploads, pdfs... Wenn ich mich recht erinnere müsste das auch mit rsync gehen. Womit scannst du zusätzlich nach Signaturen? Würde mich freuen, wenn du dein Ergebnis teilst, wenn du was gutes hast Ich selbst wäre an die veränderten Dateien dann wie @Walter Lenk mit einer Sichtprüfung ran gegangen und hätte sie ggf. der Liste der sicheren Dateien hinzugefügt. Die Erwähnten Ausnahmen (Bilder, PDFs) noch durch einen Scanner zu jagen erscheint mir sinnvoll. Ach so, ja klar. Wenn sie immer durch die Tür kommen können wir das Fenster ja offen lassen
Hallo zusammen! Nein auf keinen Fall. Wir hatten schon Fälle bei denen sich in zig Unterverzeichnissen neue Dateien oder manipulierte Dateien befanden! Grüße Walter
Am einfachsten geht es, wenn man eine Datensicherung hat, die kann auch etwas älter sein, dort erstelle ich erst mal ein Checksum für alle Dateien, lade die per FTP hoch und lasse dann ein Abgleich per SSH machen, dann werden mir alle Dateien die dazu gekommen sind, oder geändert wurden angezeigt, bzw. auf Backdoor Signaturen gescannt. Was dann noch übrig ist, muss man per Hand nachsehen und schauen, ob man was findet, was potenziell gefährlich ist
Ich formuliere es mal etwas überspitzt. Und wer sagt Dir dass dieses Backup nicht schon kompromittiert ist? Grüße Walter
@Walter Lenk, klar kann das sein, ich nehme ja auch kein Backup vom Tag zuvor, sondern, sondern zum Beispiele eines von nach dem letzten Update. Da ist die Gefahr wesentlich geringer und wenn es noch Unsicherheiten gibt, kann man das ja auch mit den Originalen Gambio Dateien machen. Ich weiß, du hast da deine eigenen Ansichten, aber wer bitte kann 20000 Dateien manuell abgleichen. Wenn ich das ganze mit Original Gambio Dateien abgleiche, bleiben einfach zu viele Dateien übrig, jedes Modul, jedes Update von Hub und anderen Updates über den Store, da muss man sich halt herantasten. Und selbst wenn du die alle manuell angesehen hast, kannst du keine 100 % Sicherheit geben, dass da nichts mehr ist.