Extrem viele Bestellungen über Paypal Express (BUG oder BOT-Attack?)

Hallo zusammen!

Wir hatten gestern recht viele & merkwürdige Bestellungen von der gleichen IP-Adresse, die alle über Paypal Express liefen (Standard Shopware Paypal Plugin v 6.1.10). Das Ganze sieht für mich nach einem Angriff aus.

Bei den Bestellungen wurde immer ein Artikel 12 mal in den Warenkorb gelegt und über Paypal Express bezahlt und so stellt sich das im access_logs da:

Endpunkt und Methode:

46.5.228.xxx - - [07/Oct/2024:20:28:24 +0200] "GET /widgets/PaypalUnifiedV2ExpressCheckout/createOrder?addProduct=true&productNumber=XX0276&productQuantity=12 HTTP/2.0" 200 3966 "https://www.unser-shop.de/producturl" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36"

Dieser Log-Eintrag von der IP-Adresse 46.5.228.xxx zeigt dabei einen Aufruf der PayPal-Checkout-Funktion über den Endpunkt createOrder. Die URL enthält die gleichen Parameter wie in diversen vorherigen verdächtigen Anfragen, die darauf hindeuten, dass eben ein Produkt in großer Menge hinzugefügt wurde.

Die Methode ist ja ein GET-Request, was bei einer sensiblen Aktion wie der Erstellung einer Bestellung ungewöhnlich ist, da normalerweise POST-Requests verwendet werden, um sicherzustellen, dass Daten korrekt und sicher übermittelt werden, oder?

Parameter:

• addProduct=true: Es wird ein Produkt zum Warenkorb hinzugefügt.
• productNumber=XX0276 und productQuantity=12: Dies ist wieder dasselbe Produkt (XX0276) und es wird in einer Menge von 12 Stück hinzugefügt. Dies wiederholt das Verhalten aus den vorherigen Logs und bleibt verdächtig.

So ging das mehrfach verteilt über den Tag, bis wir Paypal Express deaktiviert haben.

Nun frage ich mich folgendes:

Wie kann ein direkter Zugriff auf den createOrder-Endpunkt erfolgen?:

Ähnlich wie bei den vorherigen Einträgen erfolgt der direkte Zugriff auf den sensiblen createOrder-Endpunkt ohne eine sichtbare Interaktion durch den Benutzer (z. B. eine POST-Anfrage zur Bestätigung). Dies, so denke ich, kann auf einen versuchten Missbrauch des Bestellsystems hinweisen, möglicherweise in Kombination mit Bot-Aktivitäten.

Hat jemand schon mal ähnliches beobachtet oder weiß hier vielleicht jemand von den Admins bescheid? Für Antworten - egal von wem - bin ich sehr dankbar.

Besten Dank vorab…

Was derartige Bots automatisiert versuchen, ergibt nicht immer Sinn. Nach meiner Beobachtung versuchen sie eine Code-Injection auszuführen. Das muss nicht der erste GET Request sein, sondern kann auch nur der erste Schritt dahin sein, um später im Prozessfluss einen POST Request zu erreichen oder diesen noch zu finden.
Einen gewissen Schutz bieten Anwendungen wie eine Firewall zur Sperrung von IP Adressen, Fail2ban oder mod_security. In deinem konkreten Fall würde die Sperrung der IP in der Firewall helfen.

Danke für Deine Infos!

Heute ging es schon wieder los und ich kann mir nicht erklären, warum das genau klappt, also das die Bestellungen einfach durchgehen!?!?!?

Hallo Murmeltier,

wie ist das bei euch denn ausgegangen?

Wir hatten letzte Woche den gleichen Spaß in einem SW6 Shop, und können uns nicht wirklich erklären, was derjenige mit dem Bot bezwecken will ?

Konntet ihr den Express Check-out wieder aktivieren?