schuele2 Posted March 24, 2009 Report Share Posted March 24, 2009 hallo forumsuser, bin vor gut zwei wochen gehackt worden. habe darauf hin recherchiert und folgendes forum gefunden... http://apfelz-shop.info/blackboard/ die versuchen die zugangsdaten zum shop zu knacken und ändern dann im adminbereich so einiges... z.b. kontodaten.... vielleicht sollte man versuchen dem admin die rechte zu geben, sich nicht mit einer mailadresse anmelden zu müssen.... also ich hoffe euch bleibt das erspart. schuele2:confused: Link to comment Share on other sites More sharing options...
dukie6666 Posted March 24, 2009 Report Share Posted March 24, 2009 das liegt nicht an der Anmeldeart. Das liegt entweder an einer anderen schadhaften Software und/oder an unsicheren Kennwürtern der Administratoren Link to comment Share on other sites More sharing options...
schuele2 Posted March 24, 2009 Author Report Share Posted March 24, 2009 ... ich wollte hier keinem zu nahe treten, sondern einfach mal nur darauf hinweisen... ich weiss, dass wir ein unsicheres passwort hatten... gruß schuele2 Link to comment Share on other sites More sharing options...
schuele2 Posted March 25, 2009 Author Report Share Posted March 25, 2009 Hallo ..., das Problem ist recht ernst. Ursache ist eine Sicherheitslücke in Deiner Shop-Software, die auf PHP basiert (also mit der Sprache PHP programmiert wurde). Nicht Du bist "schuld", sondern die Ersteller der Software. PHP bzw. darauf basierende Systeme sind immer wieder beliebtes Ziel für Hacker. Durch genaue Kenntnis der Ziel-Software wird versucht ganz spezielle Anfragen an den Server/die Shopsoftware zu schicken, die dann Login-Namen, Passwörter oder was auch immer gewünscht zurückgibt. Genau das ist bei dir offenbar passiert! Jemand hat sich intensivst mit der Shopsoftware beschäftigt, hat einen Weg gefunden, Passwörter offenzulegen und hat dann bei veschiedenen Shops, die die Software nutzen, ausprobiert. Und zwar erfolgreich, wie man sieht. Er selbst war nicht "wirklich" kriminell, denn er hat ja zunächst keinen Schaden verursacht, sondern "nur" die Logins/Passwörter im Internet veröffentlicht mit der freundlichen Bemerkung "..viel Spass damit..". Irgendjemand anderes (muss nicht der Hacker selbst gewesen sein), hat sich dann ganz problemlos bei deinem Shop als admin angemeldet und die Kontodaten geändert. Ein "besseres" Passwort nützt garnix, denn der Hacker kann dieses ja jederzeit wieder herausfinden. Das Problem kann nur durch eine Aktualisierung des Shop-Systems behoben werden. Da musst du dich mal dringend mit deinem Shop-Anbieter in Verbindung setzen. Möglicherweise ist das Problem schon bekannt. Bis dahin kannst Du nur möglichst oft dein Passwort ändern täglich/stündlich. Das ist natürlich nachts schwierig. Oder den Shop vosichtshalber sperren/runterfahren lassen. Ich hoffe, das bringt Dich etwas weiter. ... genau das hat mir nun ein guter freund geschickt... also doch nicht sicher???? was soll ich davon halten??? vielleicht sollte man doch eine sicherheitsfrage stellen, bevor man in den adminbereich darf!!! um diesen so vor fremdzugriff zu sichern!!! schuele2 Link to comment Share on other sites More sharing options...
mzanier Posted March 25, 2009 Report Share Posted March 25, 2009 Ein "besseres" Passwort nützt garnix, denn der Hacker kann dieses ja jederzeit wieder herausfinden. blödsinn. Passwörter sind verschlüsselt und können nicht entschlüsselt werden. In aktuellster 3.0.4 SP2.1 ist kein SIcherheitsloch bekannt. Unsichere Passwörter (zb wörter des normalen sprachgebrauchs) können sehr schnell durch bruto force wörterbuch attacken geknackt werden. -> sichere passwörter verwenden (>10 Zeichen, Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen) -> jede Software am Server aktuell halten Link to comment Share on other sites More sharing options...
schuele2 Posted March 25, 2009 Author Report Share Posted March 25, 2009 In aktuellster 3.0.4 SP2.1 ist kein SIcherheitsloch bekannt. warum trifft es dann ausgerechnet xt-commerce shopsoftware??? und das eine passwort "613kdb2n7" ist ja wohl kryptisch genug! oder? ich will hier keinesfalls ein disput vom zaune brechen, sondern lediglich auf evtl. lücken aufmerksam machen. und wie diese sicherer gemacht werden können. schönen abend noch... schuele2 Link to comment Share on other sites More sharing options...
mzanier Posted March 25, 2009 Report Share Posted March 25, 2009 warum trifft es dann ausgerechnet xt-commerce shopsoftware??? und das eine passwort "613kdb2n7" ist ja wohl kryptisch genug! oder? ich will hier keinesfalls ein disput vom zaune brechen, sondern lediglich auf evtl. lücken aufmerksam machen. und wie diese sicherer gemacht werden können. schönen abend noch... schuele2 unser shopsystem rennt bei über 100.000 installationen, da wäre hier etwas mehr los diesbezüglich wenn es eine aktuelle lücke geben würde. es muss nicht umbedingt eine lücke im shop geben damit jemand in das system einbrechen kann, dafür genügt (uns ist es in den meisten fällen auch) eine lücke in anderen system die am server laufen, zb foren, phpmyadmin, etc, schwache root passwörter uvm. Kann natürlich auch an externen modulen liegen die eingebaut wurden ohne deren sicherheit zu überprüfen, nicht originalen xt:Commerce downloads die nicht alle sicherheitspatches beinhalten etc. Link to comment Share on other sites More sharing options...
AzgP Posted March 25, 2009 Report Share Posted March 25, 2009 und wenn man möchte kommt man überall rein, wo ein Benutzername und ein Passwort verlangt wird. Das kannst du gar nicht verhindern. Man braucht halt nur etwas Zeit. Und wenn man die nötige Hardware hat und umso kürzer das Passwort umso schneller ist man dann halt drin. Dabei ist es egal ob XTC oder eine andere Soft Link to comment Share on other sites More sharing options...
mzanier Posted March 25, 2009 Report Share Posted March 25, 2009 und wenn man möchte kommt man überall rein, wo ein Benutzername und ein Passwort verlangt wird. Das kannst du gar nicht verhindern. Man braucht halt nur etwas Zeit. Und wenn man die nötige Hardware hat und umso kürzer das Passwort umso schneller ist man dann halt drin. Dabei ist es egal ob XTC oder eine andere Soft Jein. wenn das Passwort ne gewisse Länge hat, und zb auch Fehllogins mit 15 Minuten IP/Benutzernamen Sperre quitiert werden wie zb bei xt:Commerce 4, dann wird das mit einer Bruto Force Attacke schwer und unmöglich. Link to comment Share on other sites More sharing options...
AzgP Posted March 25, 2009 Report Share Posted March 25, 2009 Ist dann nur der Benutzername für die IP gesperrt oder komplett? Weil ein IP-Wechsel ist wohl das kleinste Problem. Klar wird es bei ner gewissen Länge nicht mehr sinnig, aber theoretisch ist es möglich. Vor allem wenn man überlegt wie sich die PCs weiterentwickeln. Link to comment Share on other sites More sharing options...
mzanier Posted March 25, 2009 Report Share Posted March 25, 2009 Ist dann nur der Benutzername für die IP gesperrt oder komplett? Weil ein IP-Wechsel ist wohl das kleinste Problem. Klar wird es bei ner gewissen Länge nicht mehr sinnig, aber theoretisch ist es möglich. Vor allem wenn man überlegt wie sich die PCs weiterentwickeln. es ist die IP für andere benutzernamen gesperrt, und der benutzername selbst auch. Link to comment Share on other sites More sharing options...
Plasticman Posted April 1, 2009 Report Share Posted April 1, 2009 Hallo ans Forum, sehr interessantes Thema, vor allem weil es aktuell ist. Ich denke schon das es ein Sicherheitslücke gibt, da wir genau den selben Fall haben. Bei einem Shop mit über 5000 Artikel, wo man nicht ständig alle Preise im Auge hat, wurde der Admin Zugang gehackt (alles per "access_log") nachverfolgbar. Die waren so dreist und haben sich vor 2 Wochen angemeldet, mehrere Artikel über 1000 Euro auf z.B. 10 Euro gesenkt und heute wurde der Artikel natürlich 40 mal bestellt. Die Bestellung wurde natürlich storniert, worauf der "verärgerte Kunde" angerufen hat und seinen Artikel haben möchte. Er meinte dann noch, das Ihm dieser Artikel von einem Freund aus der Ukraine "empfohlen" wurde. Das ist doch mal ziemlich krass oder? Habe alle Patches und Updates drauf und ich kenne mich auch ziemlich gut mit aktuellen Sicherheitsstandards aus. Habe natürlich die Auffällige IP per htaccess gesperrt und der Shopeigentümer hat Anzeige erstattet. Laut IP ist er aus Deutschland. Ich bin gespannt was dabei raus kommt. Link to comment Share on other sites More sharing options...
mzanier Posted April 1, 2009 Report Share Posted April 1, 2009 trotzdem muss hier der einbruch nicht durch den shop geschehen, das ist relativ unwarscheinlich. wie oben geschrieben kann es hier eine vielzahl anderer ursachen geben die wesentlich warscheinlicher sind. aber da bringt auch keine mutmaßung was, sondern nur eine analyse des access logs. Link to comment Share on other sites More sharing options...
schuele2 Posted April 2, 2009 Author Report Share Posted April 2, 2009 Hallo ans Forum, sehr interessantes Thema, vor allem weil es aktuell ist. Ich denke schon das es ein Sicherheitslücke gibt, da wir genau den selben Fall haben. Bei einem Shop mit über 5000 Artikel, wo man nicht ständig alle Preise im Auge hat, wurde der Admin Zugang gehackt (alles per "access_log") nachverfolgbar. Die waren so dreist und haben sich vor 2 Wochen angemeldet, mehrere Artikel über 1000 Euro auf z.B. 10 Euro gesenkt und heute wurde der Artikel natürlich 40 mal bestellt. Die Bestellung wurde natürlich storniert, worauf der "verärgerte Kunde" angerufen hat und seinen Artikel haben möchte. Er meinte dann noch, das Ihm dieser Artikel von einem Freund aus der Ukraine "empfohlen" wurde. Das ist doch mal ziemlich krass oder? Habe alle Patches und Updates drauf und ich kenne mich auch ziemlich gut mit aktuellen Sicherheitsstandards aus. Habe natürlich die Auffällige IP per htaccess gesperrt und der Shopeigentümer hat Anzeige erstattet. Laut IP ist er aus Deutschland. Ich bin gespannt was dabei raus kommt. hallo plasticman, ich hingegen habe kaum ahnung... vielleicht kannst du mir helfen, wie mann die ip herausfinden kann und wie man sie dann auch sperren kann. das wäre schon mal für mich ein erster schritt... danke. Link to comment Share on other sites More sharing options...
Plasticman Posted April 2, 2009 Report Share Posted April 2, 2009 hallo plasticman, ich hingegen habe kaum ahnung... vielleicht kannst du mir helfen, wie mann die ip herausfinden kann und wie man sie dann auch sperren kann. das wäre schon mal für mich ein erster schritt... danke. Im Adminbereich auf Deinen Zugang gehen, dort gibt es einen Button "IP-Log" Man sollte natürlich seine eigene IP kennen, wird wahrscheinlich immer die ersten 5 Zahlen das gleiche sein. Aber eine davon wahr komplett anders. IP herausfinden ist schwer. Erst einmal muss man sehen welchem Land die IP zugeordnet ist: Kann man hier machen http://www.db.ripe.net/whois Wenn Du das Glück hast und dort steht die Deutsche Telekom, gibt es für solche Sachen eine Extra Abteilung. Voraussetzung dafür ist: es muss eine polizeiliche Anzeige vorliegen. Sonst rücken die nix raus. Link to comment Share on other sites More sharing options...
Plasticman Posted April 2, 2009 Report Share Posted April 2, 2009 hallo plasticman, ich hingegen habe kaum ahnung... vielleicht kannst du mir helfen, wie mann die ip herausfinden kann und wie man sie dann auch sperren kann. das wäre schon mal für mich ein erster schritt... danke. Ja ich noch mal: eine IP sperrst Du aus indem Du in Deiner .htaccess die im root auf Deinem Server liegt folgenden Eintrag hinzufügst: deny from 12.345.XX.XX ErrorDocument 403 http://127.0.0.1 Für das 12.345 musst Du natürlich die Anfangszahlen Deiner verdächtigen IP eintragen. Die letzten Zahlen ändern sich ja ständig. Ich glaube nicht wirklich das es was hilft, die die ja sowieso Ihre IPs ständig wechseln, aber ein Versuch ist es wert. Link to comment Share on other sites More sharing options...
hubbabubba Posted April 2, 2009 Report Share Posted April 2, 2009 @Plasicman Meint man es gäbe eine Sicherheitslücke analysiert man das und dokumentiert es, daß es verifizierbar ist. Erst dann, und wenn man ganz sicher ist, veröffentlicht man die Analyse. Die Analyse wird überprüft und daraufhin ein Sicherheitsupdate erstellt und zur Verfügung gestellt. Falls man zu wenig Ahnung hat übergibt man den Fall an Leute die sich damit auskennen. Das einzige was du bisher vorgibst nachweisen zu können ist, daß einer in deinen Laden eingebrochen ist und dein PW kannte. Mehr nicht. Es ist nicht angemessen derart schwerwiegende Beschuldigungen auszusprechen wenn man keine Peilung hat was exakt abging. mfg Link to comment Share on other sites More sharing options...
Plasticman Posted April 2, 2009 Report Share Posted April 2, 2009 @Plasicman Meint man es gäbe eine Sicherheitslücke analysiert man das und dokumentiert es, daß es verifizierbar ist. Erst dann, und wenn man ganz sicher ist, veröffentlicht man die Analyse. Die Analyse wird überprüft und daraufhin ein Sicherheitsupdate erstellt und zur Verfügung gestellt. Falls man zu wenig Ahnung hat übergibt man den Fall an Leute die sich damit auskennen. Das einzige was du bisher vorgibst nachweisen zu können ist, daß einer in deinen Laden eingebrochen ist und dein PW kannte. Mehr nicht. Es ist nicht angemessen derart schwerwiegende Beschuldigungen auszusprechen wenn man keine Peilung hat was exakt abging. mfg Hallo hubbabubba an welche Leute sollte ich das übergeben? Wer ist denn derjenige der sich damit auskennt? Und noch etwas: welche schwerwiegende Beschuldigung??? Habe doch nur einem User gesagt das ich das gleiche Problem habe und nicht geschrieben das es am Shop liegt. Es kann viele Ursachen haben, das weiß ich auch. Wir haben aber einige Shops am laufen. Und bevor es noch anderen so ergeht, wollte ich einmal der Sache versuchen auf den Grund zu gehen. Mehr nicht. Ich stecke niemandem die Schuld in die Schuhe. Kann auch sein das mein Mac gehackt worden ist und alle Passwörter geklaut worden sind. Nobody knows!!! Link to comment Share on other sites More sharing options...
hubbabubba Posted April 2, 2009 Report Share Posted April 2, 2009 In diesem Forum hast du Kreide gefressen. Nebenan bei den Freakfreunden trägst du umso dicker auf. mfg Link to comment Share on other sites More sharing options...
Plasticman Posted April 2, 2009 Report Share Posted April 2, 2009 In diesem Forum hast du Kreide gefressen. Nebenan bei den Freakfreunden trägst du umso dicker auf. mfg Danke für Deine Hilfe hubbabubba. Nochmal zur Verständnis: Ich habe ein Problem! Was ist so schlimm daran wenn man sein Problem in 2 Foren postet. Das beide Foren Verständnisprobleme haben, dafür kann ich nichts! In dem einen Forum wird man wegen seinem Problem beschimpft. In dem anderen Forum wird versucht einem weiter zu helfen (was ja der eigentliche Sinn eines Forums ist). Was sagt mir das? Du bist mit Deinen Sprüchen nicht wirklich behilflich. Sorry. Link to comment Share on other sites More sharing options...
mzanier Posted April 2, 2009 Report Share Posted April 2, 2009 Bei Einer solchen Sache helfen Analysen über ein Forum nichts, das wurde hier ja mehrmals geschrieben. Das einzige was hier hilft -> Programmierer beauftragen die Webserver access logs nach auffälligen mustern zu durchsuchen, server auf root kits überprüfen etc. Link to comment Share on other sites More sharing options...
hubbabubba Posted April 2, 2009 Report Share Posted April 2, 2009 Ohne stichhaltige Belege lauthals das Stichwort "Sicherheitslücke" herumposaunen ist das auch ne Form von Verunglimpfung. Du behauptest andere Leute hätten Fehler gemacht die die Sicherheit von unzähligen weiteren Personen gefährden. Wenn du so austeilst solltest du auch damit klar kommen wenn ich dir deine Sprüche um die Ohren haue. mfg Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.