Bots / Hacker greifen Shop an

Hallo, die letzten Tage stellen wir vermehrt Angriffe auf unseren Shop fest. Das ging soweit das die Datenbank gelöscht wurde und die User aus dem Backend gehakt wurden. Sprich es konnten sich ein Bot im Backend einloggen (trotz 128 bit Passwörter) und dort sein Unheil treiben. Wir konnten feststellen das es sich um eine IP aus dem Irak (Bagdad) handelt. Die IP haben wir gesperrt. Keine Ahnung was das soll und was das Ziel dahinter ist. Ich bin jetzt auf der Suche nach einer 2 Faktor Authentifizierung für Shopware 5 aber das sieht im Store sehr schlecht aus. Es gibt nur ein Plugin mit einer Software 2 Faktor Auth und das funktioniert nicht richtig. Also quasi gibts keine Lösung. Wie geht Ihr das Thema bisher an?

Eventuell kann man IP Adressen in eine Whitelist eintragen, damit nur diese das Backend aufrufen können oder ähnliches? Was habt Ihr für eine Lösung oder Vorschläge?

Ein vernüftiges Passwort kann in aller Regel nicht einfach so geknackt werden - Zumal der Login bei X Versuchen gesperrt wird.

Kann es evtl. eher sein, dass es ein sehr unsicheres PW war oder es ggf. irgendwo anders schon hacked worden ist? 

Check das ggf. mal auf https://haveibeenpwned.com/Passwords

Bzgl. Sicherheit: Ich würde hier Cloudflare vorschalten, was schon einmal ordentlich was abfängt. Die Datenbank niemals über remote erreichbar machen. Das vergessen viele. Die DB sollte also nur lokal aufrufbar sein. Zusätzlich kann man auch das Backend per .htaccess schützen & das Backend nur für eine bestimmte IP erreichbar machen.

Hi ShapeAndShift,

danke für deine Rückmeldung. Kannst du mir noch sagen wie man das Backend nur für eine bestimmte IP aufrubar machen kann und wie am besten mit htaccess geschützt werden kann?

Mal anständige Passwörter für Datenbank, FTP, SSH (alles automatisch generiert). Und backend Passwort wenn möglich auch lang und generiert.

Shopware Version? Oft kommen hier auch Sicherheitsfixes.

Hi Raymond, Passwörter sind alles automatisch generiert wurden (128bit). Die Passwörter sind jetzt alle länger als 30 Zeichen. Wir haben die Shopware Version 5.6.5.

FTP sollte man wenn möglich sowieso deakivieren, dass ist mit eines der größten Sicherheitsrisiken. Nur keybasierter SSH Zugang, PW komplett deaktivieren.

Google nach “htaccess password ordner” oder “htacess restrict folder ip”.

Beispiel IP: https://docs.joomla.org/How_do_you_restrict_directory_access_by_IP_address_using_htaccess%3F

https://serverfault.com/questions/358420/i-want-to-restrict-access-to-apache-folder-via-ip-is-this-possible

htacess password: https://www.redim.de/blog/passwortschutz-mit-htaccess-einrichten

Bei der IP musst du natürlich sicher sein, dass du eine feste IP hast und die sich nicht ändert. Ich persönlich nutze einen eigenen VPN, da ich von vielen verschiedenen Standorten zugreife.

Bei welchen Hoser bist du denn?

Kleiner Tipp: Ich sperre, wenn möglich, viele dieser Hacker-Länder (Brasilien, Irak, Iran, China etc.pp) einfach komplett aus. Bei vielen Providern kann man so etwas ganz leicht über die .htacceess machen! Musst mal bei Deinem Provider fragen, ob die z.B. _ GeoIPEnable On _ unterstützen!?

Beispiel:

#########################
#BLOCK SOME BAD COUNTRIES
#########################
GeoIPEnable On
# AFGANISTAN
SetEnvIf GEOIP_COUNTRY_CODE AF BlockCountry
# ALBANIA
SetEnvIf GEOIP_COUNTRY_CODE AL BlockCountry
# etc.pp
Deny from env=BlockCountry

Ist zwar auch kein 100%iger Schutz (zwecks Proxy etc.) aber bringt schon mal recht viel, da diese Länder dann Deine Seite einfach gar nicht zu sehen bekommen! Wenn Du also nicht in diese Länder verkaufen willst, würde ich Dir raten, diverse “Hacker-Länder” schon mal von vorne herein komplett auszuschließen! Nur bei Amerika wird es echt schwer, zwecks Google! 

Im übrigen kann man über die .htaccess echt vieles etwas sicherer gestalten, also diverse Dateien oder Aufrufe komplett schützen usw.usf.