Jump to content
xt:Commerce Community Forum
Sign in to follow this  
Buggyboy

Account wurde zum Aufspielen von Phishing Site benutzt V2.0

Recommended Posts

Hallo!

Anscheinend hat man meinen Shop dazu benutzt auf meinem Webspace in einem Verzeichniss eine Phishing Site aufzuspielen und zu aktivieren.

Ich bekam an 2 oder 3 Tagen ca. 4000 Mails...bzw. Benachrichtigungsmails, das die Mail nicht zugestellt werden konnte oder so ähnlich...

Kann es da ein Sicherheitsloch geben?

Ich kann mich errinnern das ich den Account nur schwer löschen konnte, über den anscheinend der Angriff kam...

Leider hab ich schon alles gelöscht, so das ich es hier nicht nachvollziehen kann.

Hat soetwas schonmal jemand bei seinem V2.0 Shop gehabt?

Und wenn ja, kann man da was gegen machen???

Mit verspielten Grüßen

Peter

Share this post


Link to post
Share on other sites

Hallo!

Kann mir jemand sagen ob der Shop 3.04 SP2.1 gegen solche Attacken gesichert ist???

Den evtl. liegt es an meinem Shop V2.0. Im Moment hat mein Hoster alles von mir gesperrt, da es zum wiederholten Male vorkam, das ein Phishing Bot auf meinem Webspace war.

Peter

Share this post


Link to post
Share on other sites

Hallo,

habe es mal durchgeschaut...

Anscheinend hat man meinen Shop dazu benutzt auf meinem Webspace in einem Verzeichniss eine Phishing Site aufzuspielen und zu aktivieren.

Dies kann ich mir nicht so 100%ig vorstellen, dürfte fast nur gehen, wenn du ein schwaches Passwort für irgendeinen Adminaccount hast. Konnte zumindest keinen Anhaltspunkt dafür finden.

Bei den E-Mails kann es wiederum ggf. schon sein.

Man korrigiere mich, wenn ich was übersehe, aber ich verstehe den Ablauf so:

1) HTML-Emails müssen im Shop aktiviert sein

2) Mr. X nutzt das Kontaktformular zum Versand von Spam

3) Zur Umgehung der Zustelleinschränkung auf den Shopbetreiber fügt

Mr. X Headerinformationen in den E-Mail-Text ein.

4) hier wird $_POST['message_body'] an die Funktion xtc_php_mail

übergeben

5) $mail->Body bekommt hier $message_body_html zugewiesen.

Bis dahin habe ich keine Prüfroutine gefunden... Wie gesagt, man korrigiere mich bitte, wenn ich mich täusche, ich hoffe, dass ich es tue :)

Gruss

SNCJansen

Share this post


Link to post
Share on other sites

Hallo allerseits, mein erster Post hier im Forum,

die Suche habe ich schon bemüht und diesen Thread gefunden.

Ich habe eine ganz aktuelle 3er xt-Commerce installation inkl. Short URLS. Ganze zwei Tage nach Aufsetzen muss irgendein fieser Bot den Shop gefunden haben und Massig Spam verschickt haben. so 50.000 Mail steckten im Server.

- Es war kein Relay Problem (Relay Test negativ)

- Der Shop läuft auf einer eigene IP, sonst läuft da nichts auf dem Server

Wie es scheint hat sich der Bot also an einem Out-of-the box xt-commerce vergreifen können.

Mein uraltes oscommerce (1.0 Version) auf einem anderen Server hat nie solche Probleme gehabt, ist es was xtcommerce spezifisches?

Darf ich fragen, ob da jemand anderes in letzter Zeit ähnliche Erfahrungen hatte? Hat jemand ggf. Konfigurationsvorschläge oder Workarounds?

Vielen Dank!

the_other_robert

Share this post


Link to post
Share on other sites

habe gleiches problem liess mal unten, hast du schon eine lösung?

sehr geehrter kunde,

besten dank für ihre nachricht!

über ihre domain, respektive unter ihrem user werden cgi-script aufgerufen, welche zum entsprechenden spamversand führen: wo diese genau passiert, lässt sich eben kaum ergründen; dass es aber passiert lässt sich via ihre logfiles verifizieren.

die verbleibende laufzeit würden wir ihrem neuen account gutschreiben: kontaktieren sie uns einfach diesbezüglich, sobald sie den ehemaligen account nicht mehr benötigen.

betreffend migration der daten: ich empfehle ihnen eine neuinstallation des shops (aktuellste version!). das anschliessende importieren von artikeln sollte von einer anwendung wie XTC unterstützt werden - genaues wollen sie aber beim applikationsanbieter resp. in entsprechenden foren ausfindeig machen.

von einer migration ihres accounts rate ich definitiv ab: damit würde der schadcode mit grösster sicherheit gleichermassen migriert und auf dem neuen server gleichen schaden anrichten.

mit begeisterung!

optimaNet schweiz ag

hostfactory.ch

Share this post


Link to post
Share on other sites
Sign in to follow this  

×
×
  • Create New...