Seit 2 Tagen beobachten wir das Protokoll ein wenig genauer, denn ein Eintrag ist uns aufgefallen: 00:01:13 0 Guest 50.16.130.44 15:24:14 15:24:14 letzte URL /spicons/apache_pb.gif Die IP ist einem User in Bejing, also China, zugehörig. Die Frage stellt sich jetzt natürlich, ob es da jemand auf unseren Server abgesehen hat, denn die vom User gewählte URL gibt es (normalerweise) nicht auf selbigem.
Kann sein, Manfred! Aber zu dem o.a. Zeitpunkt was es China! Wir haben es auch oft, daß ein und dergleiche Artikel im Abstand von nur einer Sekunde von einer IP aus Deutschland und einer IP aus Japan, USA oder China angewählt wird. Hätte man nur 10 Artikel im Angebot, wäre der Zufall nicht verwunderlich ... bei rund 70.000 Artikel ist die Wahrscheinlichkeit eines (mehrmaligen) Zufalls jedoch mit der Chance auf den Lottojackpot vergleichbar. In diesem Fall vermuten wir aber, daß es irgendetwas mit einem Firmennetzwerk mit Stammsitz in Deutschland und einer Filiale im entsprechendem Ausland zu tun hat.
Und jetzt ... ganz aktuell aus Kharkov (Ukraine): Guest 178.151.202.242 16:39:03 16:39:03 letzte URL /index2.php4 Man sollte vielleicht darüber nachdenken, bestimmte IP´s oder besser Länder komplett zu sperren.
Manfred, es ist wie bei allen anderen Dingen auf der Welt auch: "Unmöglich is nix!!!" Was uns an den aufgerufenen URL´s komisch vorkommt: Es werden ausschließlich Seiten aufgerufen bzw. versucht aufzurufen, die es nicht gibt oder nicht geben sollte! Wir wollen auch keine Panik verbreiten, aber in der letzten Zeit häufen sich ja die Nachrichten, daß irgendwelche Firmen "gehackt" wurden. Es handelte sich dabei zwar immer um große, namhafte Unternehmen, aber vielleicht versucht sich hier ein "pizzafressender, colasaufender und verpickelter Anfängerfreak" seine ersten Sporen zu verdienen!
ich habe dazu schonmal einen Post eröffnet ( http://www.gambio-forum.de/threads/373-Sicherheitsfrage?highlight=sicherheitsfrage ), wir hatten vor drei Wochen genau das gleiche. Es wurden Scripte aufgerufen, die nicht existieren. Es ist nichts weiter passiert, nach ca. 2 Wochen war es vorbei. Was auch immer es war (ich habe keine Ahnung) es ist blöd das soetwas nicht gesperrt werden kann, denn die IP`s wechseln ständig. Es müßte möglich sein das bestimmte Scripte die aufgerufen werden denjenigen sofort den Zugang verbieten.
Ich habe vor langer Zeit aus ähnlichem Grund in unsere .htaccess dies eingebaut: Code: order allow,deny deny from 150.70 deny from borderware.com deny from trendmicro.com allow from all Damit war dann auch Ruhe ... jedenfalls aus dem IP-Bereich und von den Domainen!
Hi, ich würde hier keine Hostnamen angeben, da bei jedem Seitenaufruf der Reverse DNS Record abgefragt werden muss. Das macht den Shop unnötig langsam. Besser mit IP Bereichen arbeiten. Gruß Burn
Jetzt ist es amtlich: Seit dieser Nacht 01:27 Uhr ist unser Shop offline, da dieser einem Hackerangriff nicht widerstehen konnte. Laut Auskunft der Telekom-Techniker gibt es zwei Möglichkeiten des Angriffs: 1.) Es wurde auf dem Server ein Script hinterlegt, welches die Passworteingabe überwacht und protokolliert wahrscheinlicher ist aber 2.) Es gibt eine empfindliche Sicherheitslücke im Shop-Programm, wodurch sich die Daten die zur Serververbindung (Apache, SQL) zwingend notwendig sind, auslesen lassen. Es wird zur Zeit noch geprüft, welche der beiden Möglichkeiten in Frage kommen. Man sagte uns aber im Vorfeld, daß wir auf jeden Fall der Hersteller der Shopsoftware auf dieses Problem hinweisen sollen. Das haben wir noch in dieser Nacht, nach erster Rücksprache mit der Telekom, per SupportTicket unternommen, worauf bis dato keine Reaktion erfolgte. Entdeckt wurde der Angriff wie folgt: Wir haben heute mit der Telekom einen Termin vereinbart, an dem wir auf einen Server mit besserer Performance umziehen wollte. Dazu war eine Datensicherung vorab zwingend notwendig und wir wollten dieses zwischen 01:00 Uhr und 02:00 Uhr in der Nacht vornehmen. Als wir und dann als admin auf dem Server einloggten, bemerkten wir, daß schon jemand unter diesem Nick auf dem Server aktiv war. Da die Techniker der Telekom seltenst in der Nacht arbeiten, haben wir diese aber trotzdem angerufen, um zu fragen, on nicht doch vielleicht jemand derselbigen online sei. Dieses wurde jedoch eindeutig verneint und wir haben den ungebetenen Gast dann entfernt. Aber es war schon zu spät. Der Shop war nicht mehr erreichbar und der Server war beinahe überlastet. Vermutlich wurden von diesem gerade MassenSpams versendet. Was wir aber haben: 2 IP´s die auf die Herkunft des/der Hacker schließen lassen. Auch erstatteten wir mit allen uns zur Verfügung stehenden Daten, Anzeige gegen Unbekannt bei der Polizei. Wir sind uns bewußt, daß dieses nur in den seltensten Fällen zur Ergreifung der Täter führt, aber der aufnehmende Kriminalbeamte sagte nur: "...da täuschen Sie sich, die Aufklärungsquote in solchen Fällen steigt von Tag zu Tag, denn immer mehr Spezialisten nehmen sich einer solchen Sache an". Ok, aber eine Täterergreifung wäre erstrebens- und wünschenswert, aber das ist sekundär. Primär wichitg ist uns, daß wir nicht für Dinge haftbar gemacht werden wollen, die wir nicht zu verantworten haben. Wichtig ist aber auch, daß die zweifelsfrei vorhandene Sicherheitslücke umegehend (!) abgestellt wird und daß die Paßwörter noch kryptischer werden müßen!
oje, das ist eigentlich noch wichtiger als alles andere im Moment, ich hoffe das Gambio da schon drann ist? Ich wünsche dir maximalen Kampferfolg und hoffe für dich das deine Kundendaten nicht irgendwo veröffentlicht werden.
@Markus ... ist ja ein dicker Hund! Hältst Du uns bitte auf dem Laufenden!? Verkauft ihr irgendwelche strategisch wichtigen Sachen ... würde mich beruhigen.
Wir haben mal im Internet nach diesem Problem "gegoogelt" und siehe da ... das Problem kann/darf/muss GAMBIO nicht unbekannt sein! Es wurden schon einige Gambio-Shops auf diese Weise ins "Internetnirvana" geschickt. Nur scheint keiner die Sache auch noch live mitbeobachtet zu haben! Wir haben jetzt eine Liste per Fax von der Telekom erhalten, welche IP´s am gestrigen Tag bei uns online waren und auch hier bedarf es nur dem "Hobby-Sherlock-Holmes", um zu sehen, wer bei uns online, aber nicht an unseren Angeboten interessiert war! Diese Liste haben wir selbstverständlich sofort der Kripo zukommen lassen und erfahren, daß die Sache schon beim hiesigen LKA liegt und wir diese Liste denen doch direkt zukommen lassen möchten, was wir sofort erledigt haben. Das LKA in NRW hat seit ein paar Wochen eine extra Abteilung gegen Internetkriminalität jeglicher Art, welche mit 12 Personen besetzt ist und dann fiel uns ein, daß dieses vor geraumer Zeit auch so durch die Presse ging. Was wir verkaufen Manfred? Naja...ich bin Geheimnisträger und darf nur soviel verraten: Unsere Geschäfte ziehen momentan in den Nachrichten große Kreise, denn nicht alle sind davon begeistert, daß wir mit den Arabern einen Deal über 200 "gleiskettrige" Fahrzeuge mit "120mm Hohlrohrantenne" abgeschloßen haben! <lach!> Zudem mal eine Bemerkung am Rande, die man bitte NICHT als Werbung verstehen sollte: Wir haben selten einen solchen Service wie von den Technikern der Telekom erlebt (zumindest die, die für die Server zuständig sind!)! IMMER ansprechbar und IMMER für eine Problemlösung zu haben! Ok, die haben nicht die allerneuste Hardware- und die allerschnellste Performance, aber dafür stimmt eben der Service tadellos und das muß man erst einmal finden, denn wie gut ein Service ist weiß man erst, wenn man auf diesen angewiesen ist!
Tja, ...wer "Hohlrohrantennen" verkauft sollte sich auch nicht wundern! )) Wobei mir schon a´bisserl Sorge bereitet, dass der chinesische Bedarf an erlesenen Kartoffeln sprunghaft gestiegen ist! [Angst ON] Im Ernst ... Frage: Ist die IP-Liste geheim?
Da bin ich mir ziemlich sicher, Manfred! Denn das LKA hat gerade eben angerufen und möchte die Liste, die wir vorab per Fax zugeschickt haben, auch im Original zugesandt bekommen. Zudem baten Sie um die Ansprechpartner beim Service der Telekom, um genauere Daten der ShopSoftware, also Release-Stand (Hallo GAMBIO!), evtl. vorhandene Zusatzprogramme und um eine Aufstellung des in den letzten 4 Wochen durch den Shop erzielten Umsatz. Das alles hinterläßt bei mir den Eindruck, daß die ziemlich genau wissen was sie tun bzw. wo sie ansetzen und wonach sie suchen müßen. Ich will hier nicht spekulieren, aber ich gehe mal davon aus, daß auch die Shopsoftware geprüft wird und da bin ich dann mal auf das Ergebnis mehr als gespannt. Eine Kopie der Software wollten die nicht, denn sie sei ihnen bekannt ... was auch immer das heißen mag!
Google sprudelt zu dem Thema ja´ne Menge hervor ... u.a. auch diesen Tipp: 2. Die Ausführung von PHP-Scripten in allen Upload-Verzeichnissen mittels .htaccess unterbinden (um das Problem mit der mangelhaften Upload-Überprüfung auch zukünftig zu verhindern) -> auch PFLICHT! Ist das eine erste Option, ... so wenigstens für die heutige Nachruhe?
Als Laie eine Frage an Manfred: Müßen die 4 Zeilen so wie sie dort stehen einfach in die .htaccess kopiert werden? Ich frage mich natürlich dann Folgendes: Warum weist einen GAMBIO nicht darauf hin, denn das Problem kann denen nicht unbekannt sein und die Lösung dann (scheinbar) doch so einfach ist?