XT C gehackt?

[wuotan]

Habe grade meine Counterstatistik durch geschaut und dabei folgenden EIntrag entdeckt:

IP 93.174.88.81

Besuchte Seiten

06.02.2010, 16:32:54 /shop_content.php/coID/11/product/Servic...

06.02.2010, 16:33:52 /index.php/coID/-1%27%20union%20all%20se...

Da hat jemand versucht Kontodaten auszulesen indem er diese URL aufgerufen hat:

index.php/coID/-1%27%20union%20all%20select%20concat(customers_email_address,0x203a20,customers_password)%20from%20customers%20limit%200,1%20union%20select%201%20from%20content_manager%20where%201=%271

Kann mir jemand sagen ob der Typ erfolg beim Auslesen hatte? Habe den Link selbst auch mal aufgerufen, wurde aber nirgends was von den Kontodaten angezeigt.

Habe: xt:Commerce v3.0.4 SP2.1

Mache mir nun etwas Sorgen dass der Zugriff auf die Daten meiner Kunden hat...

Wäre sehr Dankbar über schnelle Hilfe

[Fry]

Schonmal nachgesehen, ob ein Kunde auch rein zufällig zur selben Zeit mit der selben IP eingeloggt im Shop war, der sich ausgeloggt hatte und blöderweise danach nochmals über den Verlauf auf seine Kontodaten zugreifen wollte? Wäre u.U. eine mögliche Ursache für den Eintrag.

Das xtC "geknackt" wurde ist sehr unwahrscheinlich, wenn dann eher deine Datenbank/Server/whatever, was nur indirekt mit dem Shop zu tun hat.

Wenn du Zugriff auf die Logs des Servers hast, sollte das deine erste Anlaufstelle dazu sein.

EDIT: ist eine holländische IP, hast du Kunden von dort?

[wuotan]

Laut meinem Counter hat sich niemand in mehrere Accounts eingeloggt. Der Counter überwacht den gesamten Shopbereich, da würde ich also auch sehen wenn sich ein Kunde eingeloggt hat. Auf die Server Logs hab ich leider keinen Zugriff.

Nein, ich habe keine Kunden in Holland, falls du das wissen möchtest. Mein Counter hat aber auch angezeigt dass der Browser der Person auf Deutsch eingestellt war. Also ein Zugriff über einen Proxy, vermute ich mal.

Ich vermute aber auch dass sein Versuch wohl sicher schon einmal geklappt hat. Ich habe im Internet auch gelesen dass ich nicht der einzige bin, bei dem so etwas versucht wurde.

Und laut Counter hat sich auch keiner mehr mit seinen Browserdaten (Mozilla/5.0 (Windows; U; Windows NT

6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6) seit dem auf meiner Homepage blicken lassen (außer User die aber über andere Seiten zu mir gekommen sind, also sehr unwahrscheinlich).

Wenn er also nicht über einen anderen PC auf meine Homepage zugegriffen hat, dann hat er nur diese 2 Aufrufe gehabt.

[wuotan]

Muss jetzt noch einmal auf die Sache zurück kommen...

Ich bekomme nun mittlerweile regelmäßig Besucher von Google die die Keywords "kreditkarte" und "inurl:shop_content.php/coID" enthalten und dann versuchen http://www.meinedomain.de/index.php/coID/-1%27%20union%20all%20select%20concat%28customers_email_address,0x203a20,customers_password%29%20from%20customers%20limit%200,1%20union%20select%201%20from%20content_manager%20where%201=%271 aufzurufen...

Gibt es eine Möglichkeit da etwas gegen zu tun? Vielleicht Zugriff auf meine Seite verbieten wenn z.B. die Reffererurl (in dem Fall Google) "inurl:shop_content.php/coID" enthält?

Damit könnte man diese Leute ja gut davon abhalten auf meinen Shop zuzugreifen und diesen Suchbegriff verwendet ja wohl kein normaler Kunde....

Edit:

Ich habs jetzt mal mit .htaccess probiert:

RewriteEngine on

RewriteCond %{REQUEST_URI} 0x203a20 [OR]

RewriteCond %{QUERY_STRING} 0x203a20

RewriteRule ^ - [F]

Habe 0x203a20 genommen, da das jedes mal verwendet wurde. Kann mir jemand sagen ob ich dadurch vielleicht andere Funktionen vom XTC gestöre? Funktionieren tut es nämlich! Die URL die die aufrufen ist nicht mehr erreichbar.

[wuotan]

keiner ahnung oder keiner bock zu antworten?