Shopware 6 Flooding?

Shopware 6 (German) Administration
1

Hallo,

Wir haben unseren Shop auf der 6.6.5.1 am laufen, haben aber das Problem, das immer nach einem Tag die Datenbank über 3-4 GB groß wurde. Nun habe ich rausgefunden, das die Tabelle für die Warenkörbe dafür verantwortlich war.

Nach Durchsicht der Webserver Logs, haben wir ein Flooding am laufen:

154.196.27.216 - - [20/Sep/2024:17:11:47 +0200] "POST /checkout/line-item/add HTTP/1.1" 400 132897 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko"
154.196.27.216 - - [20/Sep/2024:17:11:47 +0200] "POST /checkout/line-item/add HTTP/1.1" 400 132905 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko"
154.196.27.216 - - [20/Sep/2024:17:11:48 +0200] "POST /checkout/line-item/add HTTP/1.1" 400 132896 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko"
154.196.27.216 - - [20/Sep/2024:17:11:48 +0200] "POST /checkout/line-item/add HTTP/1.1" 400 132896 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko"

154.196.27.216 - - [20/Sep/2024:17:14:28 +0200] "POST /checkout/line-item/add HTTP/1.1" 400 132897 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko"
154.196.27.216 - - [20/Sep/2024:17:14:31 +0200] "POST /checkout/line-item/add HTTP/1.1" 400 132896 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko"
154.196.27.216 - - [20/Sep/2024:17:14:32 +0200] "POST /checkout/line-item/add HTTP/1.1" 400 132896 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko"

Das läuft nun schon seit Stunden so in den Logs, erst ist das garnicht aufgefallen, da der Nginx ein DDOS Plugin hat, der Verlangsamt ab einem Rating die Anfragen auf 5-6 pro Sekunde.

Wie kann man diesen mist Stoppen?

2

Ist es das? Attacke auf Shop?! - riesige Warenkörbe

Wenn du eine kommerzielle Shopware-Lizenz hast, dann bitte melden auf account.shopware.com direkt an Shopware.

3

Jupp der Beitrag trifft zu, haben zwar eine Kommerzielle Lizenz und auch Support, aber juckt die Herrschaften bestimmt eh wieder nicht, oder es kommt wieder so eine 0-8-15 Antwort.

4

Du hast somit direkten Support von Shopware und eine unterstützte Version, also warum nicht probieren?
@Benjamin_Hummel: kannst du hier was spontan sagen?

5

Das sind bekannte Query Injection Angriffe.

Kurz gesagt, da hast du einfach Pech. Der Bot hört erst nach Stunden bis Tagen auf. Hatte neulich in einer Testinstallation an die 50GB Logs.

Da hilft nur eine vernünftig konfigurierte Firewall wie UFW mit IPTables oder ähnlich.

1 „Gefällt mir“
6

@raymond-de Wie ich es gesagt habe, der Support hat geantwortet…

"aktuell gibt es kein generelles Sicherheitsproblem mit den Warenkörben.
Verstehen wir das richtig, dass ein Kunde plötzlich scheinbar viele Produkte im Warenkorb hatte? Tritt das Problem häufiger auf, oder ist es ein einziges mal aufgetreten?

Damit wir das Problem gezielt untersuchen können, ist es zwingend notwendig, dass es sich um ein reproduzierbares Verhalten handelt. Sollte das Problem tatsächlich nur ein mal aufgetreten sein, kann es viele Ursachen gehabt haben. Beispielsweise ein Problem beim Client/Kunde, oder ein Problem mit einem der Drittanbieter Erweiterungen.

Viele Grüße aus Schöppingen"

Klaro, es gibt ein Problem beim Kunden der 10 mal innerhalb 1 Sekunde Produkte in den Warenkorb hinzufügt…

7

das könnte es nicht lösen?:

Einstellungen > Warenkorb:
{8EFED141-ED41-4157-8918-630B69523022}

8

Einfach diese IP Range blocken: 154.196.27.0/24

Oder kommen die Anfragen von verschiedenden Netzen? Du kannst auch eine WAF vorschalten. (z.B. Cloudflare) Solche Layer7 Attacken sind doch sehr einfach zu blocken.