Das ist doch auch nur Theorie. Die Lücke zu finden wird unmöglich sein, wo willst du da anfangen? Passwörter usw. tauschen ist halt das Erste, alle FTP löschen und und und, aber was bedeutet das schon...?... Zumal der Zeitpunkt der Infiltration auch unbekannt ist. Rückstellen auf ein Backup ist nur binnen 7 Tagen (und für 7 Tage) bei unserem Provider möglich (providerseitig), die waren auch schon infiltriert. Sind aber lauffähig, wohl nicht sauber. Die Infiltration kann vor Monaten gewesen sein, theoretisch, mit Auslösedatum eben am Tag x. Also kann es nur um Reparieren gehen, nicht um löschen und neu aufsetzen. Und da finde mal die Spezialisten für die einzelnen Plattformen. Gruß Totti
Nein, ich bekomme weder den wichtigsten Shop gefixt noch die beiden Foren. Sind alle "offline", der Gambio Shop in jetzt lauffähigem Backup im Wartungsmodus für eine Reparatur. Auftrag an Gambio ist Freitag raus, ich weiss nur nicht, wann die sich das anschauen, bzw. anfangen. Bisher ist es so, alles was vor das Datum des Hacks zurückgestellt wurde, läuft theoretisch wieder (wenn wir es online gehen lassen würden). Shop, Foren.
Ich gebe Dir teilweise Recht, teilweise aber auch nicht. ;-) Ein kleiner Einblick in unsere letzten Projekte mit gehackten Shops: Einmal war nachweislich ein Admin-Account einer Mitarbeiterin der dafür verantwortlich war Zugriff auf den Shop (inkl. Dateisystem) zu erhalten. Details darf ich nicht nennen. Einmal zu extrem hoher Wahrscheinlichkeit ein fehlenden Security-Update + veraltete Shopversion welches dafür verantwortlich war. Unsere Maßnahmen waren unterschiedlicher Art. Mal mit Austausch des kompletten Dateisystem (inkl. Update), mal ohne Austausch. Über das warum und weshalb kann ich auch hier leider keine Details nennen. Grüße Walter
Der Shop hat z.B. 4.9.2.0. Wenn ich mich nicht täusche, ist das eine spätere Version nach dem dringenden Security Update seinerzeit...?... Admin Passwörter usw. wurden gewechselt. Grüße Totti
Hallo Totti, was möchtest Du uns ganz genau mit diesen Infos mitteilen? Ich denke Du unterschätzt das Thema immer noch. Das kann aber auch nur mein Eindruck sein. Positiv ist schon mal dass der Shop halbwegs aktuell ist. Für das wechseln der Admin-Passwörter ist es jetzt zu spät bzw. ist dies vermutlich völlig wirkungslos wenn der Shop noch nicht bereinigt wurde und die Sicherheitslücke aufgespürt ist. Viele Grüße Walter
Wie gesagt, man müsste mal schauen, was da bei dir los ist. Bisher ist es nur ein Blick in die Glaskugel.
Darf kurz ein Update geben, heute hatten wir wieder einen Versuch: Code: Eine verdächtige Anfrage auf das Modul 'Parcelshopfinder' wurde blockiert. Anfragedatum: 2025-10-30 09:48:46 IP-Adresse: 174.138.**.*** HTTP-Methode: GET Angeforderte URL: /shop.php?do=Parcelshopfinder/AddAddressBookEntry Parameter des Aufrufs: array ( 'do' => 'Parcelshopfinder/AddAddressBookEntry', ) CreateGuest: Code: 174.138.**.*** - - [30/Oct/2025:09:47:54 +0100] "GET /shop.php?do=CreateGuest HTTP/1.0" 200 26792 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 2_2_1 like Mac OS X) AppleWebKit/535.0 (KHTML, like Gecko) FxiOS/18.4f9736.0 Mobile/21B782 Safari/535.0" 174.138.**.*** - - [30/Oct/2025:09:49:45 +0100] "GET /shop.php?do=CreateGuest/Proceed HTTP/1.0" 200 26826 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 2_2_1 like Mac OS X) AppleWebKit/535.0 (KHTML, like Gecko) FxiOS/18.4f9736.0 Mobile/21B782 Safari/535.0" ParcelShopFinder Versuch exploit zu nutzen: Code: 174.138.**.*** - - [30/Oct/2025:09:49:53 +0100] "GET /shop.php?do=Parcelshopfinder/AddAddressBookEntry HTTP/1.0" 403 6214 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 2_2_1 like Mac OS X) AppleWebKit/535.0 (KHTML, like Gecko) FxiOS/18.4f9736.0 Mobile/21B782 Safari/535.0" Versucht die Datei zu öffnen: Code: 174.138.**.*** - - [30/Oct/2025:09:50:24 +0100] "GET /6efh2j.php HTTP/1.0" 404 6023 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 2_2_1 like Mac OS X) AppleWebKit/535.0 (KHTML, like Gecko) FxiOS/18.4f9736.0 Mobile/21B782 Safari/535.0"
Heißt man müsste die parcelshopfinder app deaktivieren? Reicht das? Es kann doch nicht sein, dass das ein offenes Tor ist!?
Nein, das reicht nicht. Wichtig ist auf jeden Fall, dass der Patch eingespielt ist. Ist das nicht der Fall, kann man wirklich, wie Du es formulierst, von einem offenen Tor sprechen. Es kommt aber auch noch, ohne technisch zu werden, auf andere Besonderheiten an.
Ich hatte meinen Shop von Gambio Anfang des Monats bereinigen lassen, Sicherheitspatch einspielen lassen, dann direkt unangetastet umgezogen zu einem anderen Provider und heute früh eine Virusmeldung mit 2 .php Dateien. Vollkommen unerklärlich jetzt, alle Passwörter wurden natürlich geändert. Was mir jetzt gerade aufgefallen ist, dass es gestern eine Neukunden Registrierung gab aus Belgien mit wirren Namen (wirre Buchstabenfolge) als Gast. Wie auch immer, ich habe Gastkonten deaktiviert. Evtl. gibt es da einen Zusammenhang, ich weiss es nicht. Die Lust hatte ich ja bereits im September verloren, jetzt werde ich aber langsam noch ziemlich sauer. Ich habe den User gelöscht, aber das löst das Problem sicher nicht. Von den Anmeldungen gab es auch ein paar vor dem ersten Hack, die hatte ich natürlich auch gelöscht.
Niemand von uns kann hier nachvollziehen wie vorgegangen wurde, also wie die Bereinigung gemacht wurde. Es kennt auch niemand Deine genaue Shopversion und kann nachprüfen ob alle Sicherheitsupdates installiert wurde. Und niemand kennt weitere Fakten die für einen solchen Vorfall wichtig sind. Daher, jede Aussage wäre eine Vermutung aber nichts fundiertes. Ich kann nur empfehlen Dir einen fundierten Dienstleister ins Boot zu holen der mit solchen Fällen Erfahrung hat. Grüße Walter
Ja, das sind euer beiden Standard-Antworten, ist bekannt. Das sind markige Sprüche, die man von allen Seiten hört und am Ende ist das Ergebnis bisher immer gewesen: Ich habe gedacht. Ohne euch zu nahe treten zu wollen, aber das habe ich in den letzten Monaten schon mehrfach gehört und bisher hatte einzig und alleine Gambio den Shop wieder zum Laufen gebracht. Ist ja nicht so, dass vorher Andere am Werk waren. Also seht meinen Beitrag nur als irgendeinen Beitrag als Betroffener, was mir selbst im Backend aufgefallen war.
Welche Antwort möchtest Du hören? Das wir Dienstleister in die Glaskugel schauen sollen und dir dann ganz genau und exakt sagen, was für Extreme deine Webseiten haben? Ohne das Du es jetzt falsch verstehst: Irgendeine Ursache gibt es, warum Du solche Probleme hast. Die können wir hier im Forum nicht klären, weil das den Rahmen sprengen und es hier ein Fass ohne Boden sein würde. Zwei Beispiele: Hast Du Fahrzeugprobleme, gehst Du auch in die Werkstatt. Wenn das Problem nicht offensichtlich ist, muss das Fahrzeug dableiben und eine weiterführende Diagnostik durchgeführt werden. Hast Du gesundheitliche Probleme, wie zum Beispiel innere Schmerzen, musst Du zum Arzt gehen. Wenn das Problem nicht abgeklärt werden kann, kann es im Worst-Case-Szenario passieren, dass Du zu einem Spezialisten musst, der die Geräte hat, um dann zu schauen, was bei dir los ist. Ohne zu schauen, können wir dazu nichts sagen. Es mag ja sein, dass andere Personen bei dir am Werk waren. Jedoch ist hier die Frage zu klären, wie sie vorgegangen sind.Dabei spreche ich hier nicht von Gambio. Die verstehen sicherlich auch ihr Handwerk. Ich weiß nicht, ob die anderen Personen, die bei dir am Werk waren, meine nicht Gambio damit, so vorgehen würden, wie wir Agenturen, die das täglich machen und die Erfahrung aufweisen, um solche Probleme abzustellen. Dir muss immer klar sein und das sind jetzt auch hier nur zwei Beispiele: Ein Jurist, wo der Fall nicht einfach gelagert ist, wird dir immer sagen: Vor Gericht und auf hoher See ist man in Gottes Hand. Ein Mediziner wird dir vor einer OP nie zu 100% sagen, dass nichts passiert, also keine Komplikationen zu erwarten sind. Im Gegenteil, er wird sich schön deine Unterschrift holen, damit er diesen Eingriff durchführen kann. Wie dem auch sei, um mal den Bogen zu kriegen: Wenn Du möchstest, dass wir dir helfen, biete ich dir meine Hilfe an. Aber auch meine anderen Kollegen hier im Forum, die das wirklich täglich und seriös machen, können dir bei dieser Herausforderung helfen und dich vernünftig beraten. Viele Grüße
Hi, ja, ich habe dich schon verstanden. Ich wollte auch nur ausdrücken, unabhängig von euren Fähigkeiten welche ich nicht einschätzen kann, dass bereits mehrere Leute sehr viele Stunden Zeit vertan haben, ohne am Ende den Shop bereinigen zu können. Und ich für mich keine Lust mehr habe, erneut jemanden zu konsultieren, der wieder von vorn anfängt. Was andere Betroffene machen, müssen die für sich selbst entscheiden. An meinen Shop kommt daher nur noch Gambio selbst und die waren in kurzer Zeit erfolgreich, nachdem sie angefangen hatten. Allerdings ist der Shop nun nach 3 Wochen wieder mit Schadcode behaftet, nachdem er makellos lief und vor Inbetriebnahme und nach Bereinigung unmittelbar umgezogen wurde. Meine Intention war es darum hier nur, euch nochmal darüber zu informieren und mitzuteilen, was mir zufällig jetzt aufgefallen war: Ein Gastkonto, obschon ich Gastkonten nicht zulasse und die auch früher vor dem ersten Schadcode aufgetaucht waren. Alle mit Land Belgien mit wirren Buchstabenfolgen als Namen. Vielleicht hilft das dem einen oder anderen User. Vielleicht auch nicht. Anbei auch einen Screen über den gefunden Schadcode vom seinerzeit ungereinigten Shop. Da wurden 5 Dateien bemängelt, trotz Einspielung eines Backups vom Vortag des "Ereignisses". Und jetzt eben die beiden neuen Dateien. Mein Shop hat die Version 4.9.2.0 und das war die letzte Version vor dem Sicherheitsupdate. Das Sicherheitsupdate wurde aber im Rahmen der Bereinigung von Gambio eingespielt. Das war wie gesagt, vor 3 Wochen. Ich nehme an, dass es mit einem einfachen Löschen der Dateien jetzt nicht getan ist. Allerdings funktioniert der Shop aktuell, was vor 2 Monaten nicht der Fall war. Da war nur noch die Startseite erreichbar, weiterklicken und einloggen nicht mehr möglich. Wenn man seinerzeit auffällige Dateien gelöscht hatte, war auch gleich der Shop nicht mehr erreichbar (weisse Seite, Forbidden You don't have permission to access this resource.). Praktisch jede .htaccess-Datei der Webseiten wurde seinerzeit verändert. Grüße Totti
@Totti-Amun: Dass dein Shop ein zweites Mal kompromittiert wurde ist entweder einfach nur Pech, oder es wurde beim "Bereinigen" etwas vergessen. Zu Ersterem sei gesagt, dass dir niemand - sei es Gambio oder ein externer Dienstleister - garantieren wird, dass dein Shop zu 100% sicher vor Hackern ist. Interessant zu wissen wäre, wo die Schwachstelle beim ersten und zweiten Mal gewesen ist. @all: Sehe ich das richtig, dass jeder Angriff auch mit der Erstellung von kryptischen Gastkonten einher geht? Was ist hier der technische Hintergrund? Und würde eine Anwendung wie immunify360 am Webserver die Wahrscheinlichkeit etwas verringern?
Bei mir wurde ja beim ersten Mal der gesamt Server infiltriert und das Einfallstor war offenbar der Shop, fehlendes Sicherheitsupdate. Das wurde aber mit der Bereinigung installiert. Ja, ich hatte heute Nacht erneut 2 kryptische Gastkonten und darauf eben die erneute Virusmeldung vom Provider. Allerdings funktioniert der Shop technisch, ist natürlich jetzt vom Netz. Vor 2 Monaten waren alle Webseiten beschädigt und nicht mehr funktionsfähig. Ich habe Gastkonten deaktiviert. Oder irgendwo was übersehen zu deaktivieren, ich weiß es nicht. Grundsätzlich hatte ich aber nie Gast-Bestellungen und mir werden auch keine angezeigt. Grüße
Ja, das sieht ganz danach aus, denn im Internet gibt es sogar eine Anleitung, wie die Sicherheitslücke ausgenutzt werden kann. Ein erster Schritt dabei ist das Anlegen eines Gastkontos über die API. Das geht immer, auch wenn keine Gastkonten zugelassen sind.
Hallo Totti-Amun, danke für das Teilen deiner Meinung. Es tut mir leid, dass Du diese Erfahrungen machen musstest und es ist auch dein gutes Recht, deine Meinung zu äußern. Man sollte meines Erachtens nicht, anfangen Dinge zu pauschalisieren. 1. Auch, wenn Du die Gastkonten deaktivieren würdest, kommen die Leute trotzdem durch. 2. Mit Belgien hat das nicht wirklich viel zu tun. Belgien steht bei der Registrierung zufällig als erstes Land im Dropdown. Ich habe da auch schon andere Länder drin gesehen. 3. Bei den befallenen Shops, die ich gesehen habe, ist meist der Ursprung der kriminellen Energie, das Land Ukraine bzw. dem slawischen Raum zuzuordnen. Bitte an dieser Stelle nicht politisch werden. Das Problem an der Stelle ist, dass meist die Daten abgegriffen werden. Um dich mal zu sensibilisieren: Dies sind in der Regel Kundendaten und Zugänge. Daher würde ich ernsthafte Vorkehrungen treffen, denn mal von der Datenpanne abgesehen. Richtig, eine 100% Garantie kann man an dieser Stelle nicht geben, aber man kann sehr viele Vorkehrungen treffen, um das Risiko zu minimieren. Aber: Es kommt immer wieder auf den Fall an. Man muss halt schauen, was da los ist. Wo wir wieder bei der Glaskugel sind. In den vielen letzen Angriffen, die ich gesehen habe, ist es in der Tat so gewesen. Nur soviel dazu: Meist ist das Abgreifen von Daten der Hintergrund oder auch das Umleiten von Zahlungen. Wenn die Lücke nicht geschlossen ist, dann ist das kein Pech, sondern eine weitere Einladung, um sich auszutoben. Viele Grüße