Shop unter Beschuss, Hackerangriff?

[elektroede]

Hallo Leute,

iIch habe im Systemlog tausende Einträge /xtAdmin/adminHandler.php >> {"msg":"Admin key doesn't match ","get":{"sec":"6915...

und weitere Einträge product / overview >> {"msg":"Admin key doesn't match ","get":{"load_sec...

Sehe ich das richtig, dass hier jemand versucht, sich in meinen Shop zu hacken?

Kann ich mich irgendwie dagegen wappnen?

Danke vorab!

Gruß,

Ede!

[Crafter]

Kommen die Anfragen immer von der selben IP Adresse?

Falls ja könntest du die IP sperren.

[elektroede]

Wo kann ich die IP Adresse denn sehen?

[oldbear]

hallo,

offensichtlich versucht da einer den Login ins Backend ...

Könnte helfen, dort auch das Honeypot-Plugin von xtc einzusetzen. Habe das mal so angepasst, dass es nicht nur beim Kontakt-Formular, sondern auch bei der "normalen" Anmeldung funktioniert.

Sollte sich auch für den admin-Login anpassen lassen ( oder macht xtc bereits sowas?  @ helpdesk )

Grüsse

P.S.: gestern wurde ein xtc 4.2-Kunden-Shop gehackt ( Verseuchung mit obskuren Javascripten ), Angriffsvektor war dort aber laut Admin Wordpress ....

Die IP-Adressen findest Du im Server-Log

 

[NilsK]

Hallo,

gleich mal eine Gegenfrage: Wie sicher sind denn die xtcs-Shops überhaupt, bzw. wie gut kann man sie/sich gegen solche Angriffe schützen?

Klar, ist eine Zeitfrage, bis einer drin ist, aber welche Möglichkeiten kann man nutzen?

Extrem lange Admin-Namen und Passwörter oder gar irgendwie verschlüsselt (wie oder nach welchem Standard)?

Sind evtl. solche Zugangsseiten wie es z.B. PayPal macht sicherer? Also eine Seite für den Namen, eine andere Seite für das PW (bzw., daß Feld wird erst sichtbar, wenn man den Namen bestätigt)?

Würde es etwas bringen, wenn der Standard-Adminpfad, bzw. die Seite (selbst) umbenannt würde, damit man sie nicht mehr sofort ohne weiteres findet?

Also z.B.: meinE/pfa#De/meine-aNmeldeSeite.php (mit Groß-/Kleinschreibung sowie Sonderzeichen wie bei PW)?

 

Herzliche Grüße
Nils

[Alex@4tfm]

Das sind Logeinträge von einer Sicherheitsfunktion in XT. Wir Vermutlich ein schlecht programmiertes Plugin sein.

[elektroede]

Dass das von einem Plugin herrührt, kann ich mir irgendwie nicht vorstellen. Diese Logs sind fast alle vom 26., 27. und 28.10. Dann hören sie wieder auf, wie sie gekommen sind.

Offensichtlich muss ich bei meinem Alfahosting-Paket die Logs erst aktivieren.

" Fehlerlogs aktivieren

Sie können die Fehlerlogs für diesen Tarif über 48 Stunden aktivieren. Nach Ablauf dieser Zeit werden die Logs automatisch wieder deaktiviert. Die Logs finden Sie auf Ihrem Webspace in dem Ordner "log". Die in den Fehlerlogs erhobenen IP-Adressen werden jede Nacht anonymisiert. Eine vollständige Löschung der Fehlerlogs erfolgt nach 7 Tagen.

"

Das bringt mir nichts, denn ich weiß ja nocht im Vorfeld, wann mein System angegriffen wird. Aber wenn die IP-Adressen sowieso anonymisiert werden wäre das ja eh quatsch.

Die Antwort auf die Frage von NilsK würde mich an dieser Stelle natürlich auch interessieren.

[Crafter]

@elektroede

Es gibt auch viele Hoster die es dir problemlos ermöglichen dauerhaft zu loggen und die IP auch anzeigen wenn du es nicht deaktivierst.

 

@NilsK

Ein Login der nicht "admin" lautet ist schon mal ratsam. Außerdem sicheres Passwort, also im besten Fall lang, Zahlen, Buchstaben und Sonderzeichen. Da xt Die Login Versuche nach einer bestimmten Zahl an Fehlversuchen unterbinden ist ein erraten der Zugangsdaten nahezu ausgeschlossen.

 

Die eingangs beschriebene Fehlermeldung kommt aber wohl eher nicht vom Versuch sich über die Admin Seite einzuloggen. Die würden unter System->Logfiles-> fehlgeschlagene Logins stehen.