Guten Abend Shopware Forum,
wir hatten offensichtlich Code Injection Versuche in unseren Shop. Jemand hat Kundenkonten angelegt und dabei scheinbar die Eingabefelder manipuliert und gleiches durch Übergabe von URL-Parametern versucht. Das Error-Log ist sehr umfangreich und daher etwas unübersichtlich. Nachfolgend beispielhaft einige Fehlermeldungen (teils betrifft es offenbar Formularfelder, teilweise URL-Parameter)
Die Kundenkonten wurden mit Mails in folgender Art erstellt: testing@example.com’||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(
Enlight_Exception: Invalid customergroup in /engine/Shopware/Controllers/Frontend/Register.php:463
RuntimeException: Billing address needs a country in /engine/Shopware/Controllers/Frontend/Register.php:136
errMsg: 5.1.3 Bad recipient address syntax , cmd: 501
Assert\InvalidArgumentException: Value "X7OYk2xz" is not numeric.
Value "-1 OR 2+477-477-1=0+0+0+1" is not numeric.
Value "0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z" is not numeric.
Value "maD9o0BJ'; waitfor delay '0:0:15' -- " is not numeric.
Value "-1' OR 2+374-374-1=0+0+0+1 or 'de6KFfK1'='" is not numeric.
Value "" is not an integer or a number castable to integer.
Unkown resource type 'frontend/listing/product-box/box-b0glGOXQ'; waitfor delay '0'
This action only admits post requests
General error: 1267 Illegal mix of collations (utf8_unicode_ci,IMPLICIT) and (utf8mb4_general_ci,COERCIBLE) for operation 'like'
Enlight_Controller_Exception: Action "Widgets_Index_indexAction" not found failure for request url https://domain.de/widgets/Captcha/-1'%20OR%203+335-335-1=0+0+0+1%20--%20 in /engine/Library/Enlight/Controller/Action.php:91
Parallel gab es Zugriffe auf unsere Seite - scheinbar durch einen Bot. Ich denke, in Folge dieser Zugriffe (zusammen mit den Code Injection Versuchen / den übergebenen URL-Parametern?) kam es zu Überschreitungen der max_user_connections, was zu mehreren Fehlermeldungen nachfolgender Art führte
RuntimeException: Could not connect to database. Message from SQL Server: SQLSTATE(HY000) (1203) User ****** already has more than 'max_user_connections' active connections in /engine/Shopware/Components/DependencyInjection/Bridge/Db.php:97
Würdet ihr sagen, dass das „generische“ Versuche sind? Oder zielt das spezifisch auf existierende / bekannte Lücken in Shopware ab?
Soweit ich das beurteilen kann, scheint Shopware die Versuche abgeblockt zu haben, aber kann ich irgendwie „sicher“ feststellen, dass die Versuche nicht erfolgreich waren?
Und wie kann ich solche Versuche reduzieren? Wäre es nicht praktisch, IPs systemseitig und automatisch zeitweise zu blocken, von denen solches Verhalten ausgeht? Der Unbekannte hat über einen längeren Zeitraum ständig solche Eingaben / URL-Aufrufe versucht. Auch die Bot-Zugriffe erfolgten über einen längeren Zeitraum und führten teilweise zu der max_user_connections Überschreitung, was kurzfristig zu einer Nicht-Erreichbarkeit der Seite führte.
Ich würde mich über eure Einschätzung freuen.
Danke und vorab einen guten Rutsch!
Kafla