Code: <?php /* -------------------------------------------------------------- shop.php 2015-05-21 gm Gambio GmbH http://www.gambio.de Copyright (c) 2015 Gambio GmbH Released under the GNU General Public License (Version 2) [http://www.gnu.org/licenses/gpl-2.0.html] -------------------------------------------------------------- */ require_once('includes/application_top_main.php'); if (isset($_GET['do']) && preg_match("#^Parcelshopfinder(/.*)?0#", $_GET['do'])) { http_response_code(403); exit("Zugriff auf Parcelshopfinder nicht erlaubt."); } // includes classes and functions are needed for frontend output include_once DIR_FS_CATALOG . 'gm/inc/gm_get_privacy_link.inc.php'; if(!isset($GLOBALS['breadcrumb'])) { $GLOBALS['breadcrumb'] = new breadcrumb(); } include_once DIR_FS_CATALOG . 'includes/classes/boxes.php'; if(!isset($GLOBALS['messageStack'])) { $GLOBALS['messageStack'] = new messageStack(); } $httpService = StaticGXCoreLoader::getService('Http'); $httpContext = $httpService->getHttpContext(); $httpService->handle($httpContext); Du kannst den Security Patch im Adminbereich-> Gambio Store -> Modules installieren.
Danke für den Hinweis. Ich hab mir zusätzlich eine Mail Info integriert die mir einen Aufruf mit seinen Parametern übermittelt. Wenn es bei euch dazu etwas neues gibt, bitte posten.
Ich habe da auch noch eine Frage: Ich musste einen Shop ebenfalls neu aufsetzen. Der hatte die Version 4.8.0.2. Ich habe den auf 4.8.0.3 upgedated weil ich nur die Version als Installation da habe. Hat auch alles wunderbar geklappt. Wenn ich jetzt im neuen Shop das Security Update einspiele dann bleibt der Updater hängen und zeigt keine Version mehr an. Eine Version erzwingen geht auch nicht. Wenn ich in der 4.8.0.2 das Security Update über den Gambio store einspiele und dann im 4.8.0.3 er Shop nichts mehr mache läuft alles einwandfrei. Im Gambio Store wird aber das Security Update auch gar nicht mehr angezeigt (auch nicht als installiert). Ist das Security update mit der 4.8.0.2 damit erledigt, auch wenn ich den Shop 4.8.0.3 ganz neu intstalliere? Da müssten dann doch die entsprechenden Dateien fehlen - oder ist das eine reine Datenbanksache?
in der Version 4.8.0.3 ist das Securityupdate bereits inklusive, da brauchst du nichts mehr zu machen.
Hatte ich auch vermutet, aber GAMBIO stellt das Securityupdate ja als "Security Update 2024-01 v1.0.1 für GX4 v4.6.0.1 bis v4.9.2.0" vor. Dann ist das wohl etwas ungenau formuliert.
Irgendetwas war da: Soweit ich das noch in Erinnerung habe, wurde es ursprünglich für die Version v4.6.0.1 und höher zur Verfügung gestellt. Später, in welchem Zeitfenster dies war, weiß ich nicht mehr, dann auch für die älteren Version v4.0.0.0 und höher.
Ich habe einige Kundenshops nun schon geschützt mit den Änderungen. Nur bei einem Kunde ist der Hacker gerade wieder draufgekommen. Trotz der Anpassung in der shop.php wurden folgende Seiten aufgerufen: Code: 2a02:2378:1100:: - - [03/Sep/2025:11:31:47 +0200] "GET /shop.php?do=CreateGuest HTTP/1.1" 200 9754 domain.de "-" "python-requests/2.32.3" "-" 2a02:2378:1100:: - - [03/Sep/2025:11:31:48 +0200] "POST /shop.php?do=CreateGuest/Proceed HTTP/1.1" 302 20 domain.de "-" "python-requests/2.32.3" "-" 2a02:2378:1100:: - - [03/Sep/2025:11:31:49 +0200] "POST /shop.php?do=Parcelshopfinder/AddAddressBookEntry HTTP/1.1" 500 113 domain.de "-" "python-requests/2.32.3" "-" 2a02:2378:1100:: - - [03/Sep/2025:11:31:51 +0200] "POST /jISUlByBZf.php HTTP/1.1" 200 137 domain.de "-" "python-requests/2.32.3" "-" 2a02:2378:1100:: - - [03/Sep/2025:11:31:51 +0200] "GET /mini_db_dump.php HTTP/1.1" 200 443910 domain.de "-" "python-requests/2.32.3" "-" Dann habe ich es mal selber versucht und folgendes festgestellt: Nur diese shop.php läßt die Abfrage nicht durch: Code: <?php /* -------------------------------------------------------------- shop.php 2015-05-21 gm Gambio GmbH http://www.gambio.de Copyright (c) 2015 Gambio GmbH Released under the GNU General Public License (Version 2) [http://www.gnu.org/licenses/gpl-2.0.html] -------------------------------------------------------------- */ require_once('includes/application_top_main.php'); if (isset($_GET['do']) && preg_match("#^Parcelshopfinder(/.*)?$#", $_GET['do'])) { http_response_code(403); exit("Zugriff auf Parcelshopfinder nicht erlaubt."); } // includes classes and functions are needed for frontend output include_once DIR_FS_CATALOG . 'gm/inc/gm_get_privacy_link.inc.php'; if(!isset($GLOBALS['breadcrumb'])) { $GLOBALS['breadcrumb'] = new breadcrumb(); } include_once DIR_FS_CATALOG . 'includes/classes/boxes.php'; if(!isset($GLOBALS['messageStack'])) { $GLOBALS['messageStack'] = new messageStack(); } $httpService = StaticGXCoreLoader::getService('Http'); $httpContext = $httpService->getHttpContext(); $httpService->handle($httpContext); Es ist nur ein Zeichen im Script anders.
Hab ich bereits am Montag geschrieben dass ich einen anderen Syntax im preg_match verwende. Warum machst du es so kompliziert?
@M. Zitzmann: Mit dem Zusatz in deiner shop.php blockierst Du aber gänzlich den Aufruf. Was ist mit den echten Anmeldungen? Hast Du das mal getestet?
Ich muss aus eigenem Anlass mal dazwischenposten: Ich kann seit heute nicht mehr auf meinen Shop zugreifen. Auch in das Backend kann ich mich nicht mehr einloggen. Ich habe über FTP nachgesehen, ob da noch etwas ist und erhebliche Veränderungen der Dateistruktur des Shops festgestellt, die im Zeitraum dieses Vormittags stattfanden. Und ein Großteil der Dateien im root-Verzeichnis fehlt. Ist das so ein Fall, in dem ich auf einen Hacker-Angriff bzw. Übernahme schließen kann? Ist Hochladen eines Backups in so einem Fall zielführend? Ich habe leider keinen (IT) Fachmann zur Hand.
Ok, Nachtrag: mein Provider hat mir gerade geschrieben: Im Unterordner ext > payone > php > Payone > Payone befindet sich zudem eine Remote Payload welche weitere Dateien auf dem Webspace/dem Ordner verbreitet haben könnte Dann hat sich meine Frage erübrigt und ich möchte es nur zur Kenntnisnahme bringen. Ich hatte Mitte August ein einzelnes neues Kunden-Konto mir kryptischen Angaben. Habe ich gelöscht. Heute Nacht ein zweites, auch gelöscht. Falls das auch verdächtig ist.
@Minor: Welche Shop-Version hattest Du vor dem Befall? Welche Datei im Unterordner ext >payone>php>Payone>Payone ist die Schaddatei (also die "Remote Payload"? Sprich, wonach muss man schauen, um festzustellen, ob ein Befall vorhanden ist=
Habe von diesen Aufrufen reichlich im Shop: /en/Fireplace-Set/Brunner/?begindate=giap1&categoryid=hv4l4&code=enu15&email_address=b4942&from=ybi70&input=%3C%2Fscript%3E%3Chopps9%3E&jsonp=k53t4&keywords=nfde9&month=ezoi6&p=ekaf0&password=zm2j8&redirect=pgkj4&srsltid=AfmBOoqhSFtCSvZRZ0Qmnzu6lcCpwUfrpi Deutet das evtl. auch auf einen Angriff hin? IP=103.213.239.72 (aus Dhaka). Habe ich im Gprotector gesperrt.
Habe dem Gprotector in meinem Cloud Shop gesucht und nichts gefunden. Kann es sein, daß es in Cloud Shops nicht geht? Habe immer noch das Problem mit der einen IP, die seit Monaten sekündlich den Shop aufruft, was mir nicht koscher vorkommt.
Meine gesamten Webseiten (einloggen und weiterklicken auf Artikelseiten ist nicht möglich) sind auch betroffen und das Problem besteht weiter. 2 Foren, 3 Webshops. Ein Backup auf den Tag vor dem Crash (08.09. bei mir) stellt die Funktion wieder her, der Schadcode ist aber zum Teil nach wie vor vorhanden. Seitdem sind alle meine Seiten im Wartungsmodus.
Als Erstes alles löschen, was auf dem Server ist, danach Backups einspielen und vor allem die Sicherheitslücke schließen.
Ich kann Kai nur zustimmen. Wenn die Sicherheitslücke nicht geschlossen wurde kannst Du voraussichtlich 10 mal das Backup (welches augenscheinlich sauber ist) wieder einspielen. Die Lücke wird (voraussichtlich) immer wieder ausgenutzt werden. Die Lücke kann erst einmal alles möglich sein. Eine veraltete Software (insbesondere wenn sich andere Systeme auch noch am Webspace befinden kann das jedes dieser Systeme sein), fehlende Sicherheitspatches, kompromittierte Admin-Accounts, ausgespähte FTP-Passwörter und und und... Grüße Walter
Die Frage, die sich stellt: Bekommst Du das selbständig gefixt oder brauchst Du Hilfe von externe Agenturen, wie wir hier, die sich damit auskennen. Der Kollege Walter, Kai, Dominik und ich können sicherlich Abhilfe schaffen. Nur so, wie das gerade läuft, haben die Leute Zugang zu deinen Daten. Ich rede nicht nur von den Passwörtern, sondern auch von KUNDENDATEN.