Liebe Shopbetreiber, es gibt heute ein vorsorgliches Sicherheitsupdate für eine ganze Reihe von Shopversionen, Ihr findet es im Downloadbereich des Kundenportals bei den Updates. Das Sicherheitsupdate ist für alle GX 2 Shopversionen von inklusive GX2 2.1.0.0 bis zum letzten 2.7.4.2, ausserdem für alle GX3 Shops in den Versionen GX3 3.0.0.0 bis inklusive 3.10.0.2. Die Sicherheitsverbesserungen sind in Servicepack 3.10.0.3 direkt enthalten. Diese neue Shopversion und zukünftige brauchen damit nicht gepatched zu werden. Auch wenn wir von keiner Ausnutzung der Schwachstellen wissen, empfehlen wir euch eure Shops umgehend upzudaten. Zur Erklärung: Wir bekamen vor kurzem eine Nachricht eines netten "White-Hat-Hackers", der uns auf einen möglichen Angriffsvektor im Shop hinwies. White-Hat-Hacker bedeutet dabei, dass jemand nichts gemeines mit seinem Wissen anstellt, sondern wenn er etwas findet die betroffenen Betreiber kontaktiert, und nett um Behebung der Schwachstelle bittet. Das landete also bei einem Shopbetreiber, der wiederum uns Bescheid gegeben hat. Da uns Sicherheit enorm wichtig ist, haben wir beschlossen die Sache sofort zu behandeln und zügig Abhilfe für alle zu liefern. Wir danken https://twitter.com/cyberanteater für die professionelle und angenehme Kooperation! Mit diesem Update stellen wir nun allen die Lösung bereit, so dass ihr eure Shops sichern könnt. Wir gehen davon aus, dass die Problematik bisher nur im kleinen Kreis (bei uns und dem Entdecker) bekannt ist, es gibt keine Attacken oder Ausnutzungen auf reale Shops von denen wir wissen. Der Patch selbst ist relativ einfach zu installieren, eine Installationsanleitung ist im Paket enthalten. Für diejenigen, die das dennoch nicht selber machen möchten, bieten wir die Installation als günstige Dienstleistung an. Ihr könnt den Service per Button im Portal bei uns buchen. Der Patch ist über unsere Systeme auch ohne ein aktives Kundenkonto downloadbar, wir möchten, dass jeder Gambio Shopbetreiber Zugang dazu hat. https://www.gambio.de/758jQ
Installiert. Kann es sein das es Hauptsächlich der GP Protector ist der angepasst wurde? Unter Dateien sehe ich ansonsten nur die Versions_Info Datei mit 2 php Seiten ;-)
Ich habe seit einigen Tagen folgende Fehler-log, kann das am letzten update liegen? 2018-11-17 00:17:30 (3e79dcd47ebcd1e3efd8489efa23a34e) GPROTECTOR ERROR: "Die Regel "Integer-Filter 46" hat einen unerwarteten Variablenwert erkannt und erfolgreich gefiltert." in /www/htdocs/w00xxxx/includes/application_top.php:39 #1 File: /www/htdocs/w009xxxx/includes/application_top.php:39 Function: require_once('/www/htdocs/w009xxxx/GProtector/start.inc.php') Code: │ line 37: if(file_exists(str_replace('\\', '/', dirname(dirname(__FILE__))) . '/GProtector')) │ line 38: { ├─ line 39: require_once(str_replace('\\', '/', dirname(dirname(__FILE__))) . '/GProtector/start.inc.php'); │ line 40: } │ line 41: #0 File: /www/htdocs/w00xxxxx/advanced_search_result.php:21 Function: require_once('/www/htdocs/w00xxxxx/includes/application_top.php') Code: │ line 19: --------------------------------------------------------------------------------------- */ │ line 20: ├─ line 21: require_once('includes/application_top.php'); │ line 22: │ line 23: // bof gm Request: GET /advanced_search_result.php?keywords=qwe&inc_subcat=1%bf' - duration: ~6ms - server: Apache - server address: 85.13.145.42 - user agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36 - remote address: 3e79dcd47ebcd1e3efd8489efa23a34e Get: - keywords: qwe - inc_subcat: 1
Das Security Log ist kein Fehlerlog im eigentlichen Sinn. Es listet dem Shop übergebene unsinnige und/oder böswillige Anfragen, die dieser verwirft bevor sie tatsächlich verarbeitet werden.
Aha, danke für die schnelle Antwort! Nun kommt das ständig immer wieder, kann ich nur warten, bis diese Anfragen aufhören? Dann schaue ich mal, wie das die nächsten Tage weiter geht...
Im Prinzip ja. Man kann noch schauen per Webserver Zugriffsprotokoll ob diese Anfragen einer bestimmten Quelle zuzuordnen ist und diese pauschal blockieren oder falls beeinflussbar zur Ordnung rufen.
Also die Meldungen hören nicht auf, der support von all-inkl.com hat mir aber schnell geantwortet: " den Verursacher können Sie mit Hilfe der accesslog welche im FTP unter /www/htdocs/w0099596/logs zu findne sind selbst heraussuchen. Wir haben einmal alle Logfiles nach den genannten Aufruf "GET /advanced_search_result.php" und der Uhrzeit 00:17:30 durchsucht. Dabei kam unter anderem folgendes Ergebnis: 212.83.177.250 - - [17/Nov/2018:00:17:30 +0100] "GET /advanced_search_result.php?keywords=qwe&inc_subcat=1%bf' HTTP/1.1" 200 10798 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36" Die IP hat hier 5 derartige Aufrufe ausgeführt. Um diese permanent unabhängig von unserem System zu sperren. Können Sie dies per .htaccess und Allow,Deny Regel effizient blockieren. Order Allow,Deny Allow from all Deny from 212.83.177.250 Auffällig ist auch das der Aufruf auf die Suchdatei ohne Referrer Ihrer Domain stattfindet. Zum Test können Sie dies auch mittels .htaccess-Rewrite-Regel blockieren. Kontrollieren Sie aber hier unbedingt alle Funktionen Ihrer Webseite, um nicht richtige Aufrufe auf die Suche zu blockieren. Ob dies so möglich ist können Sie beim Support des Scriptes erfragen. Eine solche Regel könnte so aussehen (Achtung ungetestet !!!): RewriteEngine On RewriteCond %{HTTP_REFERER} !.*solaur-autark.com.* RewriteCond %{REQUEST_URI} (.*)advanced_search_result.php(.*) [NC] RewriteRule ^(.*) - [F] ..." Die IP-Adresse (Frankreich) scheint für Portscans bekannt zu sein und ist schon von einigen gesperrt worden. Ich warte noch etwas und wenn es nicht aufhört, muss ich die Sperre halt einrichten... Aus Frankreich hatte ich schon häufig solche multiplen Aufrufe im shop...
Wenn das nur relativ wenig Requests sind (würde ich taxieren mit nicht mehr als 1 pro Minute) würde ich das schlicht ignorieren. Portscans können dir als Webhostingkunde auch komplett egal sein, das ist Serverbetreiberland.
Danke für die info. Es ist halt blöd, wenn ein paar Hundert Besucher am Tag, neben den ganzen bots, zusätzlich von dieser einen Adresse erzeugt und die Besucherzahlen verfälscht werden. Sicher, das kann man wie oben beschrieben auf Server-Ebene für eine Adresse oder einen Bereich sperren. Morgen ist es dann eine andere Adresse. Könnte man nicht für die Suchanfragen ein Anzahl/Zeit-Limit einführen? So etwas gibt es doch bei einigen Seiten, die von vielen besucht und genutzt werden, ohne das der Betreiber da großartig was von hat, daher wird eine Grenze gesetzt. Fände ich eine nützliche Funktion.