Keine Panik, betrifft nicht Shopware, sondern xtCommerce… Aber bei dem hier versammelten Know-How wollte ich doch mal fragen, ob jemand weiß, wo das “Loch” in xtc für diesen Angriff ist. Folgende eMail erhielt einer unserer Kunden (xtCommerce), seine Datenbanken sind tatsächlich alle verschwunden…. Habt Ihr Informationen darüber, über welches „Loch“ diese Mistkerle da eindringen können? =========================================== Hallo lieber Administrator von ……… , wie Sie villeicht bemerkt haben wurden Ihre gesamten Daten gelöscht. Falls Sie interesse haben Ihre Daten wieder zu erlangen senden Sie mir bis Freitag den 10. Juni 2011 um 12 Uhr 300€ in Form von Ukash (http://www.ukash.com , erhältlich an jeder Tankstelle) Sie haben 3 Optionen : Option 1 : Sie bezahlen innerhalb der Frist den genannten Betrag, erhalten Ihre Daten und Ich sage Ihnen, wie Sie Ihren Shop sichern können. Option 2 : Sie bezahlen bis zu 3 Tage nach Ablauf der Frist, jedoch 50% mehr, erhalten Ihre Daten und Ich sage Ihnen, wie Sie Ihren Shop sichern können. Option 3 : Sie bezahlen nicht, Ihre Daten landen im Netz bei verschiedenen Portalen, was sicherlich eine gute Werbung für Sie ist, Ihr Kunden werden natürlich per Mail informiert. Ich schicke Ihnen Ihre kompletten Datenbanken, diese können Sie einfach importieren und alles funktioniert sofort wie vorher. Sie haben die Entscheidung in der Hand, zahlen und beruhigt und sicher in die Zukunft Ihres Shops zu blicken oder eben anders. Bei Fragen stehe ich Ihnen gerne zur Verfügung, Lg ===========================================
[quote=„avenger“]Keine Panik, betrifft nicht Shopware, sondern xtCommerce…[/quote] Nachtrag: der Kunden hat auch einen Shopware-Shop, an dessen DB sind die Mistkerle wohl nicht gekommen…
Ist ja nicht das erste mal das XT gehackt wurde… Hat er schon Anzeige erstattet?
Hi, welche xtCommerce-Version verwendet der Kunde den? Hast du ein Log von den Zugriffen der Seite? Normalerweise kann man damit den Angriff nachstellen. Wenn du ein solchen Log hast, kannst du mir das ruhig zu Analyse schicken. 
Eine aktuelle Sicherheitslücke habe ich in den bekannten Datenbanken übrigens nicht gefunden. Es kann aber trotzdem eine Sicherheitslücke existieren, da xtCommerce ja ne frickel Software ist. Gruß Heiner
Das ist ja der HAMMER! Nachdem ich zu einen anderen Provider umgezogen bin Ende des Monats, hatte sich einen Tag später auch jemand in meine Datenbank bei HE eingehackt. IP aus Dänemark. Gott sei dank konnte kein Schaden mehr angerichtet werden. Wie sowas möglich ist, ist uns auch ein Rätsel!
Es gibt verschiedene Möglichkeiten: Trojaner/Viren aufem Client-PC, veraltete Server-Software, Sicherheitslücken im PHP-Code…
Ich sage nur “havij”! Googelt mal danach… Durch eine SQL-Injection kommt man mit dem Tool an Benutzernamen und Passwörter. Da wird einem echt mulmig in der Magengegend… Für die Kiddies wird es immer einfacher. :x
die Forderung von den 300,00 Euro lassen auf alle Fälle darauf deuten das es welche sind.
[quote=“Christian”]Ich sage nur “havij”! Googelt mal danach… Durch eine SQL-Injection kommt man mit dem Tool an Benutzernamen und Passwörter. Da wird einem echt mulmig in der Magengegend… Für die Kiddies wird es immer einfacher. :x[/quote] Über die Schiene lief das wohl… Ich habe nämlich jetzt in einem Content-Upload-Verzeichnis die Dateien “shell.php” und “itsecteam_shell.php” gefunden (und gelöscht)! Mal sehen, dass wie wir das Loch jetzt stopfen…
Ja, haben wohl über einen SQL-Injection die Zugangsdaten für das Backend bekommen und dann die Skripte darüber hochgeladen. In Deutschland wäre übrigens das Shell-Script wohl verboten. Aber im Internet kann man einfach nach „itsecteam“ suchen und auf der ersten Seite das Shell-Script herunterladen…
Haben die echt “lg” am Schluß geschrieben. Das ja witzig. Die Strafen für soetwas müssten höher sein, da es da um so sensible Daten geht. Die erpressen den Kunden.
Hi, oder einfach egal, soll Shopware nutzen ;-)…
das erfüllt auch den tatbestand der erpressung, egaql wie hoch oder niedrig der Betrag ist. das noch andere sachen wie Z.B Diebstahl dazu kommen wird da eher zweitrangig werden. ich hoffe die können die Personen finden, denn bei sowas hört definitiv der spass auf und kann ein unternehmen mit angestellten ruinieren. Kopfschütteln wenn manche sowas als Spass ansehen mal ein wenig Geld haben zu wollen.
[quote=“artep”]Das ist ja der HAMMER! Nachdem ich zu einen anderen Provider umgezogen bin Ende des Monats, hatte sich einen Tag später auch jemand in meine Datenbank bei HE eingehackt. IP aus Dänemark. Gott sei dank konnte kein Schaden mehr angerichtet werden. Wie sowas möglich ist, ist uns auch ein Rätsel![/quote] War das eine Shopware DB?
[quote=„avenger“][quote=„artep“]Das ist ja der HAMMER! Nachdem ich zu einen anderen Provider umgezogen bin Ende des Monats, hatte sich einen Tag später auch jemand in meine Datenbank bei HE eingehackt. IP aus Dänemark. Gott sei dank konnte kein Schaden mehr angerichtet werden. Wie sowas möglich ist, ist uns auch ein Rätsel![/quote] War das eine Shopware DB?[/quote] Ja! Und vor längerer Zeit hatte ich im FTP mal nen Virus drin: Liste_von_Dateien_mit_upperdarby26.com_im_Dateiinhalt: ./www/XXXXXXX/backup_305/files/engine/modules/articles/bundle/number_format.js ./www/XXXXXXX/backup_305/files/engine/modules/articles/js/SuperBoxSelect/SuperBoxSelect.js ./www/XXXXXXX/backup_305/files/engine/modules/categories/js/articles.js
Solche Angriffe sollten doch bei Shopware (das ADOdb verwendet), durch das Verwenden gebundener Parameter bzw. dadurch, dass man keine Variablen in SQL-Anweisungen verwendet, nicht möglich sein. Oder gab es da schon mal Probleme?
Ja, stimmt in Shopware ist es dadurch normalerweise nicht möglich. Für die restlichen Fälle gibt es in Shopware das Plugin “InputFilter”. Damit werden alle Versuche am Ansatz geblockt. No Chance. edit: Der Virus ist wahrscheinlich über sein PC durch ein ungesicherten FTP-Aufruf auf sein Server gekommen.
[quote=„avenger“][quote=„Christian“]Ich sage nur „havij“! Googelt mal danach… Durch eine SQL-Injection kommt man mit dem Tool an Benutzernamen und Passwörter. Da wird einem echt mulmig in der Magengegend… Für die Kiddies wird es immer einfacher. :x[/quote] Über die Schiene lief das wohl… Ich habe nämlich jetzt in einem Content-Upload-Verzeichnis die Dateien „shell.php“ und „itsecteam_shell.php“ gefunden (und gelöscht)! Mal sehen, dass wie wir das Loch jetzt stopfen…[/quote] In einer meiner älteren Demoshops (kein Shopware!) habe ich in die .htaccess folgendes eingetragen: SetEnvIf User-Agent Havij badbot Order Allow,Deny Allow from all Deny from env=badbot Das funktioniert aber auch nur, weil havij Spuren hinterlässt. Ob es letztendlich was bringt, weiß ich nicht 100%ig. Bin kein Profi…
http://www.ip-adress.com/whois/91.211.117.25 Daher kommt der Mistkerl… Unsere neuen Freunde aus Osteuropa…
Könnte vom gleichen Verein kommen. Wollen auch Geld per uKash. http://www.n24.de/news/newsitem_6810364.html