Jump to content
xt:Commerce Community Forum
Sign in to follow this  
schuele2

Sicherheitslücke!!!

Recommended Posts

hallo forumsuser,

bin vor gut zwei wochen gehackt worden. habe darauf hin recherchiert und folgendes forum gefunden...

http://apfelz-shop.info/blackboard/

die versuchen die zugangsdaten zum shop zu knacken und ändern dann im adminbereich so einiges... z.b. kontodaten....

vielleicht sollte man versuchen dem admin die rechte zu geben, sich nicht mit einer mailadresse anmelden zu müssen....

also ich hoffe euch bleibt das erspart.

schuele2:confused:

Share this post


Link to post
Share on other sites

Hallo ...,

das Problem ist recht ernst.

Ursache ist eine Sicherheitslücke in Deiner Shop-Software,

die auf PHP basiert (also mit der Sprache PHP programmiert wurde).

Nicht Du bist "schuld", sondern die Ersteller der Software.

PHP bzw. darauf basierende Systeme sind immer wieder beliebtes Ziel

für Hacker. Durch genaue Kenntnis der Ziel-Software wird versucht

ganz spezielle Anfragen an den Server/die Shopsoftware zu schicken,

die dann Login-Namen, Passwörter oder was auch immer gewünscht zurückgibt.

Genau das ist bei dir offenbar passiert! Jemand hat sich intensivst mit

der Shopsoftware beschäftigt, hat einen Weg gefunden, Passwörter

offenzulegen und hat dann bei veschiedenen Shops, die die Software nutzen, ausprobiert.

Und zwar erfolgreich, wie man sieht. Er selbst war nicht "wirklich"

kriminell, denn er hat ja zunächst keinen Schaden verursacht, sondern

"nur" die Logins/Passwörter im Internet veröffentlicht

mit der freundlichen Bemerkung "..viel Spass damit..".

Irgendjemand anderes (muss nicht der Hacker selbst gewesen sein),

hat sich dann ganz problemlos bei deinem Shop als admin angemeldet und

die Kontodaten geändert.

Ein "besseres" Passwort nützt garnix, denn der Hacker kann dieses ja

jederzeit wieder herausfinden.

Das Problem kann nur durch eine Aktualisierung des Shop-Systems behoben

werden. Da musst du dich mal dringend mit deinem Shop-Anbieter in

Verbindung setzen. Möglicherweise ist das Problem schon bekannt.

Bis dahin kannst Du nur möglichst oft dein Passwort ändern täglich/stündlich.

Das ist natürlich nachts schwierig.

Oder den Shop vosichtshalber sperren/runterfahren lassen.

Ich hoffe, das bringt Dich etwas weiter.

... genau das hat mir nun ein guter freund geschickt... also doch nicht sicher????:confused:

was soll ich davon halten???:rolleyes:

vielleicht sollte man doch eine sicherheitsfrage stellen, bevor man in den adminbereich darf!!! um diesen so vor fremdzugriff zu sichern!!!

schuele2

Share this post


Link to post
Share on other sites

Ein "besseres" Passwort nützt garnix, denn der Hacker kann dieses ja

jederzeit wieder herausfinden.

blödsinn.

Passwörter sind verschlüsselt und können nicht entschlüsselt werden.

In aktuellster 3.0.4 SP2.1 ist kein SIcherheitsloch bekannt.

Unsichere Passwörter (zb wörter des normalen sprachgebrauchs) können sehr schnell durch bruto force wörterbuch attacken geknackt werden.

-> sichere passwörter verwenden (>10 Zeichen, Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen)

-> jede Software am Server aktuell halten

Share this post


Link to post
Share on other sites

In aktuellster 3.0.4 SP2.1 ist kein SIcherheitsloch bekannt.

warum trifft es dann ausgerechnet xt-commerce shopsoftware??? :confused:

und das eine passwort "613kdb2n7" ist ja wohl kryptisch genug! oder?

ich will hier keinesfalls ein disput vom zaune brechen, sondern lediglich auf evtl. lücken aufmerksam machen. und wie diese sicherer gemacht werden können.

schönen abend noch...

schuele2

Share this post


Link to post
Share on other sites

warum trifft es dann ausgerechnet xt-commerce shopsoftware??? :confused:

und das eine passwort "613kdb2n7" ist ja wohl kryptisch genug! oder?

ich will hier keinesfalls ein disput vom zaune brechen, sondern lediglich auf evtl. lücken aufmerksam machen. und wie diese sicherer gemacht werden können.

schönen abend noch...

schuele2

unser shopsystem rennt bei über 100.000 installationen, da wäre hier etwas mehr los diesbezüglich wenn es eine aktuelle lücke geben würde.

es muss nicht umbedingt eine lücke im shop geben damit jemand in das system einbrechen kann, dafür genügt (uns ist es in den meisten fällen auch) eine lücke in anderen system die am server laufen, zb foren, phpmyadmin, etc, schwache root passwörter uvm.

Kann natürlich auch an externen modulen liegen die eingebaut wurden ohne deren sicherheit zu überprüfen, nicht originalen xt:Commerce downloads die nicht alle sicherheitspatches beinhalten etc.

Share this post


Link to post
Share on other sites

und wenn man möchte kommt man überall rein, wo ein Benutzername und ein Passwort verlangt wird. Das kannst du gar nicht verhindern. Man braucht halt nur etwas Zeit. Und wenn man die nötige Hardware hat und umso kürzer das Passwort umso schneller ist man dann halt drin. Dabei ist es egal ob XTC oder eine andere Soft

Share this post


Link to post
Share on other sites

und wenn man möchte kommt man überall rein, wo ein Benutzername und ein Passwort verlangt wird. Das kannst du gar nicht verhindern. Man braucht halt nur etwas Zeit. Und wenn man die nötige Hardware hat und umso kürzer das Passwort umso schneller ist man dann halt drin. Dabei ist es egal ob XTC oder eine andere Soft

Jein. wenn das Passwort ne gewisse Länge hat, und zb auch Fehllogins mit 15 Minuten IP/Benutzernamen Sperre quitiert werden wie zb bei xt:Commerce 4, dann wird das mit einer Bruto Force Attacke schwer und unmöglich.

Share this post


Link to post
Share on other sites

Ist dann nur der Benutzername für die IP gesperrt oder komplett? Weil ein IP-Wechsel ist wohl das kleinste Problem. Klar wird es bei ner gewissen Länge nicht mehr sinnig, aber theoretisch ist es möglich. Vor allem wenn man überlegt wie sich die PCs weiterentwickeln.

Share this post


Link to post
Share on other sites

Ist dann nur der Benutzername für die IP gesperrt oder komplett? Weil ein IP-Wechsel ist wohl das kleinste Problem. Klar wird es bei ner gewissen Länge nicht mehr sinnig, aber theoretisch ist es möglich. Vor allem wenn man überlegt wie sich die PCs weiterentwickeln.

es ist die IP für andere benutzernamen gesperrt, und der benutzername selbst auch.

Share this post


Link to post
Share on other sites

Hallo ans Forum,

sehr interessantes Thema, vor allem weil es aktuell ist. Ich denke schon das es ein Sicherheitslücke gibt, da wir genau den selben Fall haben. Bei einem Shop mit über 5000 Artikel, wo man nicht ständig alle Preise im Auge hat, wurde der Admin Zugang gehackt (alles per "access_log") nachverfolgbar.

Die waren so dreist und haben sich vor 2 Wochen angemeldet, mehrere Artikel über 1000 Euro auf z.B. 10 Euro gesenkt und heute wurde der Artikel natürlich 40 mal bestellt.

Die Bestellung wurde natürlich storniert, worauf der "verärgerte Kunde" angerufen hat und seinen Artikel haben möchte. Er meinte dann noch, das Ihm dieser Artikel von einem Freund aus der Ukraine "empfohlen" wurde.

Das ist doch mal ziemlich krass oder? Habe alle Patches und Updates drauf und ich kenne mich auch ziemlich gut mit aktuellen Sicherheitsstandards aus. Habe natürlich die Auffällige IP per htaccess gesperrt und der Shopeigentümer hat Anzeige erstattet. Laut IP ist er aus Deutschland. Ich bin gespannt was dabei raus kommt.

Share this post


Link to post
Share on other sites

trotzdem muss hier der einbruch nicht durch den shop geschehen, das ist relativ unwarscheinlich.

wie oben geschrieben kann es hier eine vielzahl anderer ursachen geben die wesentlich warscheinlicher sind.

aber da bringt auch keine mutmaßung was, sondern nur eine analyse des access logs.

Share this post


Link to post
Share on other sites

Hallo ans Forum,

sehr interessantes Thema, vor allem weil es aktuell ist. Ich denke schon das es ein Sicherheitslücke gibt, da wir genau den selben Fall haben. Bei einem Shop mit über 5000 Artikel, wo man nicht ständig alle Preise im Auge hat, wurde der Admin Zugang gehackt (alles per "access_log") nachverfolgbar.

Die waren so dreist und haben sich vor 2 Wochen angemeldet, mehrere Artikel über 1000 Euro auf z.B. 10 Euro gesenkt und heute wurde der Artikel natürlich 40 mal bestellt.

Die Bestellung wurde natürlich storniert, worauf der "verärgerte Kunde" angerufen hat und seinen Artikel haben möchte. Er meinte dann noch, das Ihm dieser Artikel von einem Freund aus der Ukraine "empfohlen" wurde.

Das ist doch mal ziemlich krass oder? Habe alle Patches und Updates drauf und ich kenne mich auch ziemlich gut mit aktuellen Sicherheitsstandards aus. Habe natürlich die Auffällige IP per htaccess gesperrt und der Shopeigentümer hat Anzeige erstattet. Laut IP ist er aus Deutschland. Ich bin gespannt was dabei raus kommt.

hallo plasticman,

ich hingegen habe kaum ahnung... :(

vielleicht kannst du mir helfen, wie mann die ip herausfinden kann und wie man sie dann auch sperren kann. das wäre schon mal für mich ein erster schritt...

danke.

Share this post


Link to post
Share on other sites

hallo plasticman,

ich hingegen habe kaum ahnung... :(

vielleicht kannst du mir helfen, wie mann die ip herausfinden kann und wie man sie dann auch sperren kann. das wäre schon mal für mich ein erster schritt...

danke.

Im Adminbereich auf Deinen Zugang gehen, dort gibt es einen Button "IP-Log"

Man sollte natürlich seine eigene IP kennen, wird wahrscheinlich immer die ersten 5 Zahlen das gleiche sein. Aber eine davon wahr komplett anders. :eek:

IP herausfinden ist schwer. Erst einmal muss man sehen welchem Land die IP zugeordnet ist: Kann man hier machen http://www.db.ripe.net/whois

Wenn Du das Glück hast und dort steht die Deutsche Telekom, gibt es für solche Sachen eine Extra Abteilung. Voraussetzung dafür ist: es muss eine polizeiliche Anzeige vorliegen. Sonst rücken die nix raus.

Share this post


Link to post
Share on other sites

hallo plasticman,

ich hingegen habe kaum ahnung... :(

vielleicht kannst du mir helfen, wie mann die ip herausfinden kann und wie man sie dann auch sperren kann. das wäre schon mal für mich ein erster schritt...

danke.

Ja ich noch mal: eine IP sperrst Du aus indem Du in Deiner .htaccess die im root auf Deinem Server liegt folgenden Eintrag hinzufügst:

deny from 12.345.XX.XX

ErrorDocument 403 http://127.0.0.1

Für das 12.345 musst Du natürlich die Anfangszahlen Deiner verdächtigen IP eintragen. Die letzten Zahlen ändern sich ja ständig. Ich glaube nicht wirklich das es was hilft, die die ja sowieso Ihre IPs ständig wechseln, aber ein Versuch ist es wert.

Share this post


Link to post
Share on other sites

@Plasicman

Meint man es gäbe eine Sicherheitslücke analysiert man das und dokumentiert es, daß es verifizierbar ist. Erst dann, und wenn man ganz sicher ist, veröffentlicht man die Analyse. Die Analyse wird überprüft und daraufhin ein Sicherheitsupdate erstellt und zur Verfügung gestellt. Falls man zu wenig Ahnung hat übergibt man den Fall an Leute die sich damit auskennen.

Das einzige was du bisher vorgibst nachweisen zu können ist, daß einer in deinen Laden eingebrochen ist und dein PW kannte. Mehr nicht. Es ist nicht angemessen derart schwerwiegende Beschuldigungen auszusprechen wenn man keine Peilung hat was exakt abging.

mfg

Share this post


Link to post
Share on other sites

@Plasicman

Meint man es gäbe eine Sicherheitslücke analysiert man das und dokumentiert es, daß es verifizierbar ist. Erst dann, und wenn man ganz sicher ist, veröffentlicht man die Analyse. Die Analyse wird überprüft und daraufhin ein Sicherheitsupdate erstellt und zur Verfügung gestellt. Falls man zu wenig Ahnung hat übergibt man den Fall an Leute die sich damit auskennen.

Das einzige was du bisher vorgibst nachweisen zu können ist, daß einer in deinen Laden eingebrochen ist und dein PW kannte. Mehr nicht. Es ist nicht angemessen derart schwerwiegende Beschuldigungen auszusprechen wenn man keine Peilung hat was exakt abging.

mfg

Hallo hubbabubba

an welche Leute sollte ich das übergeben? Wer ist denn derjenige der sich damit auskennt? Und noch etwas: welche schwerwiegende Beschuldigung???

Habe doch nur einem User gesagt das ich das gleiche Problem habe und nicht geschrieben das es am Shop liegt. Es kann viele Ursachen haben, das weiß ich auch. Wir haben aber einige Shops am laufen. Und bevor es noch anderen so ergeht, wollte ich einmal der Sache versuchen auf den Grund zu gehen.

Mehr nicht. Ich stecke niemandem die Schuld in die Schuhe. Kann auch sein das mein Mac gehackt worden ist und alle Passwörter geklaut worden sind.

Nobody knows!!!

Share this post


Link to post
Share on other sites

In diesem Forum hast du Kreide gefressen. Nebenan bei den Freakfreunden trägst du umso dicker auf.

mfg

Danke für Deine Hilfe hubbabubba. Nochmal zur Verständnis:

Ich habe ein Problem! Was ist so schlimm daran wenn man sein Problem in 2 Foren postet. Das beide Foren Verständnisprobleme haben, dafür kann ich nichts!

In dem einen Forum wird man wegen seinem Problem beschimpft. In dem anderen Forum wird versucht einem weiter zu helfen (was ja der eigentliche Sinn eines Forums ist). Was sagt mir das?

Du bist mit Deinen Sprüchen nicht wirklich behilflich. Sorry.

Share this post


Link to post
Share on other sites

Bei Einer solchen Sache helfen Analysen über ein Forum nichts, das wurde hier ja mehrmals geschrieben.

Das einzige was hier hilft -> Programmierer beauftragen die Webserver access logs nach auffälligen mustern zu durchsuchen, server auf root kits überprüfen etc.

Share this post


Link to post
Share on other sites

Ohne stichhaltige Belege lauthals das Stichwort "Sicherheitslücke" herumposaunen ist das auch ne Form von Verunglimpfung. Du behauptest andere Leute hätten Fehler gemacht die die Sicherheit von unzähligen weiteren Personen gefährden. Wenn du so austeilst solltest du auch damit klar kommen wenn ich dir deine Sprüche um die Ohren haue.

mfg

Edited by hubbabubba

Share this post


Link to post
Share on other sites
Sign in to follow this  

×
×
  • Create New...