Frage zu Wichtiges Security Update 2025-12

Anonymous · 2. Januar 2026

Zitat von Anonymous: ↑

Trotzdem ist ein Modul langwieriger, Tests machen, veröffentlichen, etc. zeitaufwendiger, als mal eben 4 Dateien zu kopieren. Das sollte auch ein Anfänger schaffen, die Dateien manuell zu kopieren.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Absolut.
Immerhin muss man ein normales Update auch erstmal in den entsprechenden Ordner auf den Server laden und dann noch über das Backend installieren.
Das hier ist eine Sache von einer Minute.

Anonymous · 2. Januar 2026

Zitat von juergen963: ↑

In der Mail stand, "Ergänzend ... das Passwort Deines Shops ändern....

Welches PWD ?
PWDs aller Admin-User ?
PWDs aller User?
Nur für Cloud Hosted relevant?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das Passwort für den Admin ist damit gemeint und es wird allen Shopbetreibern empfohlen dieses zu ändern. Das ist eine reine Vorsichtsmaßnahme auch wenn dein Shop bisher unauffällig ist.

Anonymous · 2. Januar 2026

Aktuell auf Heise:
Cyberangriff auf „Fänshop" von Baden-Württemberg, viele weitere Shops gefährdet.
https://www.heise.de/news/Baden-Wue...f-auf-Online-Shop-von-THE-LAeND-11127295.html

Anonymous · 2. Januar 2026

P.S.:
Gibt es eine Möglichkeit zu erkennen, ob der eigene Shop angegriffen wurde, oder nicht?
Verräterisches in den Logfiles?

Anonymous · 2. Januar 2026

Du könntest einer Bestellung bis zur Bezahlung Paypal folgen und checken, ob du wirklich bei Paypal landest.
Wichtig ist also auch schon das Sicherheitsupdate 02.2024 und natürlich eine aktuelle Version.
Hier ähnliche Symptome und Gastkonten mit kryptischen Namen.

Grüße

Totti

Anonymous · 3. Januar 2026

Also von uns sind 3 Gambio Shops betroffen!

Leider wurde unser Ticket gestern mit folgender Aussage abgetan:

Hallo,

wir haben deinen Shop geprüft und festgestellt, dass bei mind. bei einer Datei (checkout_payment.php) Dateien schadhafter Code eingefügt wurde.

Eine mögliche Ursache für die Manipulation von Shopdateien sind unbefugte Zugriffe auf den FTP-Server, wobei die FTP-Zugangsdaten beispielsweise über einen Trojaner auf dem Computer ausgespäht und die Sicherheitsmechanismen von Shop und Server somit umgangen werden.

Wir empfehlen, auf allen von dir für die Shop-Administration verwendeten Computern eine vollständige Systemprüfung mit einer aktuellen Anti-Viren-Software durchzuführen. Ändere anschließend das Passwort für den FTP-Server.

Bitte wende dich an deinen Webhoster und lasse dort ein Backup von dem Stand einspielen, wo die Dateien noch nicht kompromitiert waren. Wir haben leider keinerlei Kapazitäten derzeit eine Wiederherstellung vorzunehmen.

Wenn der Shop bereinigt wurde, sollte schnellstmöglich das Update auf eine aktuelle Shopversion dann ausgeführt werden und als erstes im Gambio Store die Security Patches installiert werden.

Unter folgendem Link kannst du danach zudem über den Gambio Update Assistenten einen Installationsauftrag für ein Update auf die aktuelle Shopversion im Gambio Kundenportal buchen oder dir anzeigen lassen, welche Updates für deine Shopversion zur Verfügung stehen und ein Gesamtpaket für das Update herunterladen:

(Link nur für registrierte Nutzer sichtbar.)

Bitte beachte, dass hierfür dein Shop im Gambio Kundenportal hinterlegt worden ist und deine derzeitige Shopversion korrekt angegeben wurde.

Wenn du bereits einen gültigen Shopkey verwendest, dann wird deine aktuell genutzte Shopversion automatisch übermittelt

Viele Grüße
Michael
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Dabei ist Gambio die Sicherheitslücke bekannt - daher ja auch der Patch.
(Link nur für registrierte Nutzer sichtbar.)

Für alle, die sich unsicher sind, ob Sie betroffen sind oder nicht - hier einmal ein Auszug aus der Kommunikation von Frank Woelky, der gestern einen unserer Shops bereinigt hat:

Angriffsvektor war eine sql injection. Damit wurden dann Datenbank und Dateimanager hochgeladen sowie die checkout_payment.php modifiziert. Der neueste Security Patch 2025-12 sollte das nun zuverlässig unterbinden.

jeden tag die datei checkout_payment.php via filezilla checken. änderungsdatum muss immer gleich bleiben. ist das datum neuer war der hacker sicher wieder drin und hat noch irgendwo eine backdoor versteckt. in dem fall bitte umgehend info an mich

der hoster soll mit dem hinweis "unser gambio shop wurde gehackt" in den nächsten wochen jede nacht per cron einen viren/malware scan auf den gesamten webspace laufen lassen und ihnen natürlich ergebnisse zur verfügung stellen

sollte das nicht möglich sein. filezilla. dateisuche am server. suche nach dateien änderungsdatum nach 1.1.26 in der schreibweise 2026-01-01. vorher lzo webp bilder, lzo cache und cache für module und seiten leeren.

weiterer tipp: /uploads/attachments runterladen. das sind die pdf anhänge der mails. sind oft mal schnell einige tausend dateien. löschen was älter als ein jahr ist. /admin/admin.php?do=Emails rechts unten. auch alte mails. vorher db backup ziehen! zuverlässig auf 2 festplatten lokal speichern!

der scan sollte dann jeweils binnen ca. 1h abgeschlossen sein.

sortieren nach dateityp und änderungsdatum checkout_payment.php, falls diese datei nochmals geändert wurde.

wichtig sind die php dateien. gibts hier neue verdächtige?

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Wenn Ihr auf dem FTP die Dateien gambio_upd.php und gma.php findet, seid ihr ganz sicher auch betroffen. Wenn die checkout_payment.php ein relativ neues Datum hat und ihr diese nicht verändert habt, dann sicherlich auch.

Gambio sollte hier wirklich besser kommunizieren. Jetzt müssen wir ziemlich viel Geld, Zeit und Nerven in die Hand nehmen, um die Probleme zu beheben.

Anonymous · 3. Januar 2026

Zitat von Anonymous: ↑

Also von uns sind 3 Gambio Shops betroffen!

Leider wurde unser Ticket gestern mit folgender Aussage abgetan:

Dabei ist Gambio die Sicherheitslücke bekannt - daher ja auch der Patch.
(Link nur für registrierte Nutzer sichtbar.)

Für alle, die sich unsicher sind, ob Sie betroffen sind oder nicht - hier einmal ein Auszug aus der Kommunikation von Frank Woelky, der gestern einen unserer Shops bereinigt hat:

Wenn Ihr auf dem FTP die Dateien gambio_upd.php und gma.php findet, seid ihr ganz sicher auch betroffen. Wenn die checkout_payment.php ein relativ neues Datum hat und ihr diese nicht verändert habt, dann sicherlich auch.

Gambio sollte hier wirklich besser kommunizieren. Jetzt müssen wir ziemlich viel Geld, Zeit und Nerven in die Hand nehmen, um die Probleme zu beheben.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Die Frage ist aber erstmal, ob das überhaupt auf die neuerliche Sicherheitslücke zurückzuführen ist...?...

Es gab ja bereits ein Problem, welches mit 02.2024 geschlossen werden konnte und davon waren eben die Shops betroffen, die eine ältere Version von vor dem Datum betreiben. Davon gibt es sehr sehr viele.
Wenn mit Sicherheitsupdate 02.2024 nicht geschlossen wurde, kann das Problem viel älter sein, aber jetzt erst aufgepoppt.
Bei mir trat ein Problem darum Anfang September 2024 auf und Anfang November erneut.

Ist bei den Shops das Sicherheitsupdate aus Februar 2024 funktionierend installiert worden und welchen Stand haben die Shops?

Anonymous · 3. Januar 2026

Bei allen drei Shops war Sicherheitsupdate aus Februar 2024 funktionierend installiert worden. Gut, die Shops sind nicht auf dem neusten Stand: 4.8.0.2