Da kann ich mich nur meinem Kollegen Walter anschließen. Wir hatten auch schon solche Fälle. Es kommt halt darauf an, wie groß die offene Scheune ist.
Ich habe mir ein Script erstellt mit dem ich den gesamten Shop durchsuche. Alle (php) Dateien mit Inhalt Code: 'eval(', 'base64_decode(', 'gzinflate(', 'system(', 'shell_exec(', 'exec(', 'passthru(', 'assert(', "preg_replace('/.*/e',", 'create_function(', '/[A-Za-z0-9\/+=]{80,}/', // sehr lange base64-Zeichenkette werden gezeigt. Zusätzlich kann ich noch bestimmte Ordner (cache,logfiles) ausschließen. Weiterhin werden nur Dateien gezeigt die einen späteren Datumsstempel haben als ein bestimmtes Datum. Das hilft zumindest bei schon länger installierten Shops und reduziert die Ausgabe der Dateien schon gewaltig. Natürlich weiß ich daß man auch Zeitstempel verändern kann, das habe ich aber bei den bisher gefundenen Dateien noch nicht beobachtet.
Das klingt alles SUPER! Nur was machen die Leute die von den ganzen Dateikram keine Ahnung haben? Sollte die Software nicht vom Hersteller aus sicher genug sein um ein eindringen von Hackern zu vermeiden? Es sollte doch in der heutigen Zeit einen ausreichenden Schutz ohne pastelei geben. Oh Man, muss ich jetzt meinen Shop schließen weil ich nur Gewürzhändler und kein Programmierer bin. Grüße Mario
Du musst deinen Shop nicht schließen. Im Moment reicht es wenn du alle Sichersupdates einspielen läßt. Wenn dein Shop mal gehackt wurde brauchst du eh einen Programmierer.
Gambio selbst bietet natürlich auch Hosting über ihren eigenen Service an. Da übernehmen die die Sicherheitsgarantie. Das gleiche gilt für andere Shop-Anbieter... Natürlich sollte man auch halbwegs davon ausgehen dürfen, dass nichts passieren kann, wenn man den Shop aktuell hält. Das Gilt wie @M. Zitzmann sagt aber nicht für Shops, die schon gehackt wurden. Dann hilft nur noch ein Programmierer oder alles neu einrichten.
Das mit den Dateiabgleichen ist ja alles schön und gut und funktioniert auch bestimmt. Aber sobald Fremdmodule mit reinkommen, wird's schon wieder schwierig..... Mailbeez, Module von Modulentwicklern, kleinere Eigenanpassungen, die man im Lauf der Zeit vergessen hat usw. Dennoch, ein guter Ansatz. Aber es geht nichts über ein verlässliches Backup über einen etwas längeren Zeitraum, auf das man zurückgreifen kann. Bin gerade dabei, ein Script zu entwickeln, das Vollbackups jeden Sonntag macht und dazwischen inkrementelle Backups und die für vier Wochen aufhebt. Inkl. DB Backup. Wenn's interessiert, stelle ich es zur Verfügung (Powershell für Windows 10, könnte aber auch Python).
Das ist wie im wahren Leben: Zum Arzt gehen, wenn Du eine Lösung für dein gesundheitliches Problem brauchst. Das Shopsystem ist eine Open Source Software, so dass jeder sehen kann, wie was programmiert worden ist. Der Quellcode ist offen. Hinzu kommt, dass von Service Pack zu Service Pack immer potenzielle Sicherheitslücken entstehen können. Ich habe miterleben dürfen, wie die Shopsysteme entstanden bzw. gewachsen sind, also den osCommerce, XT:Commerce, modified Shopsoftware, Gambio etc. Mittlerweile sind so viele Dateien und Ordner im Gambiosystem enthalten, so dass es unmöglich ist, jede einzelne Datei manuell auf Sicherheitsrisiken zu überprüfen. Hinzu kommen noch die Drittanbieter Module. Da muss man auf andere Instrumente zurückgreifen, damit es keine Sisyphusarbeit wird. Bekannte Sicherheitslücken können geschlossen werden, aber, was ist mit den noch nicht entdeckten und neuen Sicherheitslücken? Klar, man kann Vorkehrungen treffen und versuchen das Risiko, so gering wie möglich zu halten. Eine 100%ige Sicherheit, wird es meines Erachtens nie geben. Kommen wir noch zum Gambio Hub: Dazu kann ich nicht wirklich was sagen, weil wir Agenturen keinen Einblick in die Gambio Server Landschaft haben und bekommen werden. Dennoch kommen sicherlich nicht nur eigenentwickelte Software/Scripte im Einsatz. Ich kann mir aber sehr gut vorstellen, dass sich damals helle Köpfe zusammengesetzt und genau über solche Szenarien gesprochen haben. Gambio kann bestimmt mehr Einblicke hierzu geben. Das Best-Case-Szenario lautet: Man sollte immer mit der Zeit gehen und mit der Shopsoftware auf dem Laufenden sein und die besten Vorkehrungen treffen, sofern der Kunde das wünscht und bezahlt. Zurück zum Thema: @MTG_Gewürze: Stell dir einfach vor, man kann via Google Street View schauen, wie Du zum Teil wohnst, dein Grundstück aussieht und wie man am Besten bei dir einsteigen kann. Den kriminellen Leuten wird es heute sehr, sehr einfach gemacht. Dank dem Internet. Von der KI möchte ich erst gar nicht sprechen. Es wäre schön, wenn dies so wäre. Dazu passiert einfach zu viel hinter den Kulissen, was die Shopsoftware berifft. Nein, musst Du natürlich nicht. Es gibt genug Kollegen, die sich auskennen. Allein schon wir, die hier was dazu gesagt haben, haben schon bei unseren Kunden die Erfahrungen mit Viren/Schadcode und offenen Scheunentoren gemacht. Aus reiner Neugier und ohne es falsch zu verstehen: Auf welcher Grundlage stellst Du diese Behauptung auf? Warum sollte Gambio eine Garantie geben?
Hallo zusammen, was ich mich immer wieder frage - und hier beim Thema Sicherheit umso mehr. Warum haben einige (ich möchte nicht von "viele" oder gar "alle") den Anspruch die technischen Themen rund um den Shop selbst beherrschen zu können. Es sind selbstverständlich alle ausgenommen die das notwendige Wissen haben! Ich käme im Leben nicht auf die Idee an meinem Auto selbst herum zu schrauben wenn das nicht mein Fachgebiet oder mindestens intensives Hobby ist. Ebenso würde ich mir nicht zutrauen einen Bau eines Balkons statisch zu planen und dann selbst zu betonieren. Dafür gibt es Spezialisten und Experten! Beim Thema Sicherheit wäre bei mir spätestens der Punkt erreicht an dem ich das einem Experten überlasse - in allen Lebensbereichen - auch beim Shop. Das ging mir soeben nur durch den Kopf weil ich hier aufmerksam mit lese und von mancher Aussage recht erschrocken bin. Insbesondere vom Gedanken es könnte irgendjemand Garantieren für die Sicherheit in egal welcher Software geben. Zum Schluss möchte ich noch betonen dass ich hier niemanden zu Nahe treten möchte und beziehe meine Gedanken auch nicht auf spezielle Personen - sondern auf das Grundrauschen hier im Thema. Grüße Walter
Das war dann falsch formuliert, entschuldige. Damit meinte ich, dass sich der Anbieter um alle sicherheitsrelevanten Themen kümmert. Also hauptsächlich Updates. Sowohl auf den Shop als auch andere Elemente der Server bezogen. Sowie die möglichst fachgerechte Konfiguration.
Einer meiner Kunden war wieder Ziel des Angriffes über den Parcelshopfinder. Der Gambio-Support macht jetzt scheinbar eine Anpassung in der shop.php: Code: if (isset($_GET['do']) && preg_match("#^Parcelshopfinder(/.*)?0", $_GET['do'])) { http_response_code(403); exit("Zugriff auf Parcelshopfinder nicht erlaubt."); } Dieser Eintrag erzeugt aber einen Fehlerlog. WARNING: preg_match(): No ending delimiter '#' found Laut KI müsste es so aussehen: Code: if (isset($_GET['do']) && preg_match("#^Parcelshopfinder(/.*)?0#", $_GET['do'])) { http_response_code(403); exit("Zugriff auf Parcelshopfinder nicht erlaubt."); } Das habe ich angepasst, der Logeintrag ist weg.
Gut, dass Du das sagst! Danke. Gerade gestern habe ich im Security Log einen Hinweis zu shop.php bekommen. Das Modul "DHL Paketshops" habe ich soeben deinstalliert. Wäre cool, wenn Du uns auf dem Laufenden hältst, wie das Modul richtig abgesichert werden kann. Danke.
Macht mich nicht schwach, ich bin noch lange nicht mit allen durch und jetzt geht das von vorne los, wenn das stimmt, sind ja potenziell alle Shops gefährdet.
Bei allen meinen Kunden die erfolgreich angegriffen wurden war - nachdem das Security Pack installiert wurde - Ruhe. Alle weiteren Versuche sind bisher ins Leere gelaufen. Ich weiß nicht ob die Anpassung in der shop.php überhaupt notwendig ist. Dazu kenne ich die Lücke nicht gut genug. Die Angriffe kommen immer auf die gleiche Weise. Es wird ein Gastkonto über /shop.php?do=Parcelshopfinder.... mit Namen aus Hieroglyphen angelegt und dann eine oder zwei Dateien ins Stammverzeichnis abgelegt. Wer solche seltsamen Namen bei seinen Kunden findet sollte mal mit FTP ins Stammverzeichnis sehen.
Kaum geschrieben - schon überholt... Hab bei einem Kunden mal wieder reichgeschaut. Schon wieder gehackt trotz Security-Update. Shopversion 4.8.0.2 Ich mach jetzt mal die Änderung in der shop.php...
Ja, so ist die Vorgehensweise, aber wenn man nicht schnell genug reagiert, kann das ganz andere Ausmaße annehmen. bis dahin, dass ein Hosting komplett gelöscht und neu aufgesetzt werden muss. Weil sobald man Schaddateien löscht, sich diese von selbst wiederherstellen innerhalb von Sekunden, trotz neuer Passwörter. Schaut Euch ganz genau die index.php Dateien und .htacess Dateien an, und vergleicht die mit den Originalen. Ich kann Euch, den Link geben, wo genau beschrieben wird wie man das Hacken kann, den Link veröffentliche ich hier aber nicht, wer Interesse hat, gern PN
Wie ich es sehe, ob mit Installation oder Deinstallation, kann man dennoch über das Script Dummheiten machen, sofern dort noch eine Lücke wäre. Vorsichtig formuiert: Ich gehe davon aus, dass durch das Einspielen des Patches, die Lücke geschlossen ist. Seit dem sind nämlich keine weiteren Fälle vorgekommen. Es heißt abwarten.
Update... Ich habe ein hochgeladenes Script von der KI analysieren lassen. Es liest die Shop-Konfiguration /includes/configure.php Mit der Funktion extract_define werden die Werte für DB_SERVER, DB_SERVER_USERNAME, DB_SERVER_PASSWORD, DB_DATABASE ausgelesen. Es stellt eine Verbindung zur Datenbank her und fragt Kundendaten (E-Mail Adresse, Passwort) ab. Dann wird eine csv mit den Daten erstellt. Die Passwörter der Kunden sind verschlüsselt und somit nicht lesbar. Aber was das alles bedeutet muß ich nicht weiter erklären. Was sagt Gambio zu dem Thema???
Da ich das Modul nicht brauche, blocke ich Parcelshopfinder komplett: Code: if (isset($_GET['do']) && preg_match('/^Parcelshopfinder/i', $_GET['do'])) {
Fragen als Laie: - auch wenn das Modul nicht installiert ist, sollte es dennoch mit obigen Code blockiert werden? - wo genau soll der Code in die shop.php bzw. wie soll die shop.php danach aussehen?