Shop gehackt

    Hi,

    heute wurde mein Shop seo:commerce Version: 2.1.2.11 Plus gehackt.

    Hab natürlich sofort als ich es bemerkt den Admin Folder umbenannt, passwörter geändert und den Typen wie ich im log sehe ausgebremst.

    Ist da in meiner Version eine Sicherheitslücke seitens der Programmierung - die Updates wurden laufend gemacht

    [07/May/2014:11:11:49 +0200] "GET /de/....../?cSEOid=3u68al8js50rgvt7996b5hgog0'/**/and/**/(SeLeCt/**/1/**/FrOm(SeLeCt/**/count(*),CoNcAt((SeLeCt(SeLeCt(SeLeCt/**/DiStInCt/**/CoNcAt(0x217e21,ScHeMa_nAmE,0x217e21)/**/FrOm/**/information_schema.ScHeMaTa/**/WhErE/**/not/**/ScHeMa_nAmE=0x696e666f726d6174696f6e5f736368656d61/**/LiMiT/**/0,1))/**/FrOm/**/information_schema.TaBlEs/**/LiMiT/**/0,1),floor(rand(0)*2))x/**/FrOm/**/information_schema.TaBlEs/**/GrOuP/**/By/**/x)a)/**/and/**/'1'='1 HTTP/1.1" 200 738 "http://......../?cSEOid=3u68al…og0'/**/and/**/(SeLeCt/**/1/**/FrOm(SeLeCt/**/count(*),CoNcAt((SeLeCt(SeLeCt(SeLeCt/**/DiStInCt/**/CoNcAt(0x217e21,ScHeMa_nAmE,0x217e21)/**/FrOm/**/information_schema.ScHeMaTa/**/WhErE/**/not/**/ScHeMa_nAmE=0x696e666f726d6174696f6e5f736368656d61/**/LiMiT/**/0,1))/**/FrOm/**/information_schema.TaBlEs/**/LiMiT/**/0,1),floor(rand(0)*2))x/**/FrOm/**/information_schema.TaBlEs/**/GrOuP/**/By/**/x)a)/**/and/**/'1'='1" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"

    Er hatte es geschafft sich das Admin Passwort auszulesen und eine php Datei Namens kyshell.php in den /media/content Ordner zu laden.

    Bitte um Info wo sich da die Sicherheitslücke befindet, so eine Lücke wird ja einige der Shop-Kunden betreffen!:mad:

    Das Problem liegt wohl tiefer. Die 2.1 ist End of life! Solltet mal auf die 2.5 wechseln. Wenn die das Passwort heraus bekommen haben, dann hast Du aber kaum eine Chance! Wir haben in der aktuellen Version den Uploat von PHP Dateien unterbunden. Darüber dürfte es auch gemacht worden sein.

    <p>Wir geben nur Anregungen und Hilfestellung auf Basis unserer Erfahrung, keine Rechtshilfe!<br>\m/('_')\m/</p>

    Also auch wirklich alles ändern beim hoster.

    Also alles was dort mit deiner Zugang zu tun hat, user und passworts wie ftp, mail, control panel, unsw.

    Weiter überall wo Du die gleich email / paswort kombi's benutzt hat also wen facebook wen amazone, unsw passwort ändern.

    Eigentlich sollte dass letzte nicht nötig sein, weil gleiches paswort soll man niemals bei unterschiedliche haben! ;)

    Ob es ein lücke ist die benutzt worden ist veraltete shopversion oder deiner ftp user / passwort oder ssh was auch immer.
    Wen ftp prgramm da gibt es ganz sicher wirklich einige mit security bugs, wen Windows Xp dan noch schlimmer ;)
    FTP programm ( free) die ziemlich sicher ist zum beispiel winscp benutzen ;)

    Zum update rechner den psi oder glary utilities dan kan man besser/einfacher sehen ob auch übriche software up to date ist

    oja nur etwas suchen was vielleicht drauf ist/war und dass loeschen reicht oft nicht, ist ganz wichtig. ( die verstecken oft noch übele teilen in normale Datei von deiner Shop/webspace mit den normale name, also kan man dan nicht unbedingt einfach finden / beheben, tmp files die nicht geloescht werden können unsw.) oder ein andere Admin / Mysql User/Kunde angelegt mit Rechte, schreibrechte geänderd wo es die nicht geben soll unsw

    Eigentlich alles loeschen in webspace, wen dein paswort gleiches ist/war als die bei dein hoster dan noch mehr, ein wirklich saubere backup zurück oder neuinstall. Gibt mehr sicherheit dass alles weg ist ;)

    6 Mal editiert, zuletzt von jotest (8. Mai 2014 um 16:25)

    Wegen sicherheitslücken für comseo und xtcforks ist immer soweit die bekannt worden sind alles in die presse/webseiten gewesen mit links zum behebung.
    Auch hier ins Forum unsw

    Servus Jotest,

    danke die Security Updates hatte ich immer auch gemacht. Scheinbar gibt es hier trotzdem immer noch eine Möglichkeit mit sql Injections die db auszulesen.

    Passwörter hatte ich gleich wärend des Angriffes geändert und als Erstmaßnahme auch den admin ordner im ftp umbenannt, danach hab ich den Folder mit .htaccess abgesichert. Es war nur eine Datei im den Media Folder geladen worden. Die hab ich gesichert.

    Was ich nicht verstehe ist, wie man bei einer sql injection zu einem passwort kommt das eigentlich codiert ist!
    Dieses passwort brauchte er doch um als Admin einzusteigen, oder geht das anders?

    Hmm nen wen was am meisten passiert man ein hacked Rechner oder kein verschlusselung ftp / paswort hat gehabt, und/oder ein schlechtes ftp programm und so weiter

    Hat man einfach ftp zugang weil von deiner lokale PC/RECHNER die zugang daten einfach ausgelesen sind. ( bemerkt man gar nichts von meist ...)

    Das ist am meisten den fall.

    Dan braucht man nur die config Datei mit den ftp zugang an zu sehen und ... man hat den admin zugang dort drin stehen wohla.

    Aber ok in ganz veraltete versionen von xtxforks auch den ... Jahre alte comseo v2.1 ist es naturlich einfacher einer mögliche lücke zu finden, wen es die überhaupt gibt.

    Und ja wen dein paswort auch mal irgendwo anders die gleiche war dan nur in comseo shopadmin BIST Du vielleicht bei den 18 miljionen hacked accounts in DeutschlAND SEHE DAFÜR DEN BSI SEITe wo man einiges zum testen emailadresse eintippen machen kan

    Einmal editiert, zuletzt von jotest (8. Mai 2014 um 23:58)

    Guten Morgen,

    die Sache mit den Hacked Accounts hab ich überprüft, trifft nicht zu.

    Mir hat ein Kollege der Security Spezialist ist gesagt, dass man bei einer SQL Injection gar kein Admin Passwort braucht.
    Auf Grund der SQL Injectionstechnik umgeht er mit Commandos das Passwort und kann trotzdem als admin einloggen.

    Werde mal schnell den Shop auf die aktuelle Version umbauen.

    Hmm aber woraus kan man dan sehen das es ein sql injection bei dir war?
    ( es gab einige datei wie den whois....php die man beim alte versionen gar nicht mehr drin haben darf so wie die installer verzeichnis und den phpinfo... )

    Wie gesagt die bekante sollten alle auch beim alte shopsyestem geschlossen sein mit den updates.
    Wen dan bei dir drüber einen hinein gekommen ist sind die log filse ziemlich wichtig weil damit kan man dan vielleicht beim anderer / auch xtcforks unsw so etwas vorbeugen wen ursache bekant ist

    Also den ftp hacken ist oft den einfachste weg für den hacker wen kein bekannte sicherheitslücke oder heartbleed oder andere joomla, wordpress bugs server / host php versionen proftp und den ssl bugs gibt es naturlich auch

    Einmal editiert, zuletzt von jotest (10. Mai 2014 um 10:55)

    ?cSEOid=3u68al8js50rgvt7996b5hgog0'/**/and/**/(SeLeCt/**/1/**/FrOm(SeLeCt/**/count(*),CoNcAt((SeLeCt(SeLeCt(SeLeCt/**/CoNcAt(0x217e21,customers_email_address,0x217e21)/**/FrOm/**/xxxx_db1.customers/**/LiMiT/**/64,1))/**/FrOm/**/information_schema.TaBlEs/**/LiMiT/**/0,1),floor(rand(0)*2))x/**/FrOm/**/information_schema.TaBlEs/**/GrOuP/**/By/**/x)a)/**/and/**/'1'='1 HTTP/1.1" 200 698 "http://www.xxx.xx/de/xxxx/?cSEOid=3u68al8js50rgvt7996b5hgog0'/**/and/**/(SeLeCt/**/1/**/FrOm(SeLeCt/**/count(*),CoNcAt((SeLeCt(SeLeCt(SeLeCt/**/CoNcAt(0x217e21,customers_email_address,0x217e21)/**/FrOm/**/xxxx_db1.customers/**/LiMiT/**/64,1))/**/FrOm/**/information_schema.TaBlEs/**/LiMiT/**/0,1),floor(rand(0)*2))x/**/FrOm/**/information_schema.TaBlEs/**/GrOuP/**/By/**/x)a)/**/and/**/'1'='1" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"

    Zitat von steininger

    Da sieht man das er die cSEOid für den Hack missbraucht hat, wie gesagt schick dir gerne den ganzen log


    Zum admin support comseo damit ;)

    Wen es hier drüber gelaufen hat, die/solche versuchen seht man oft da ob es dan klappt / wirkt in comseo weis ich aber nicht deswegen admin nachfragen weil wen es ein alte lücke ist sollte dass versuch gar nicht mehr erfolgreich sein können.

    OJA

    EmailADRESSe VON SHOPADMIN NEHMEN WIR IMMER EIN ANDERE DOMAIN adresse.
    Und werdet bei uns nur für die shopadmin benutzt weiter nicht und weiter besser nicht id 1 ( customers_id = 1
    )

    Also weiter den versand und contact emailadresse shop unsw ein anderer naturlich.

    und php version?

    2 Mal editiert, zuletzt von jotest (10. Mai 2014 um 18:16)

    Weis nicht ob aber .

    Kan man wegen ein Shopadmin user da nicht den vergessen passwort email ausschalten / verhindern, vielleicht mit ein Haken.

    DAn Anleitung wie man dieser mittels phpmyadmin auch neu setzen kan.

    Dan sind in jedenfall solche versuche sinloss, also wen ein emailadresse / kundeid die admin ist dan kein paswort vergessen mail senden möglich ausgeschlossen unsw.

    Braucht man sich nicht mehr drum zu kümmern dass so etwas gemacht werden kan,
    vielleicht selbst auch passwort andern in Shopadmin oder mittels ein php Datei für Admin ausschalten können, wen man es mit ein phpmyadmin oder in Datenbank durch Anleitung auch kan.

    Und dan auch jeden versuch von ausen auserhalb phpmyadmin ein shopadmin userid irgendwo etwas mit mail oder passwort oder so zu ändern. (es gibt so einiges was man da noch machen kan / vorschalten / ausschalten denke ich, ob es sinn macht sehe mein rotes teil etwas nach unten. ;)

    Weiss ist jetzt v2next v2.5 sicher aber wer weiss findet doch noch einer etwas, wen man da auf noch sicherder schalten könnte wen man selbe möchte für ....


    Ist zum beispiel sinvol wen den/ein shopadmin emailadresse/mailserver selbst hacked ist oder mitgelesen werdet durch ungeziefer, dan hat man noch immer kein passwort für den shop, und passwort neusenden um an dieser zu kommen lauft dan nicht.

    Weiter könnte man die shopadmin verzeichnis noch schutzen mittels den htaccess dort ipadresse allow deny von welche admins einloggen. unsw ( weis nur nicht ob dort alle "externe" modulen mitmachen?? ) aber so sind auch eiinges andere Datei nur aus zu führen wen zugelassene IP, wen noch ein lücke gefunden werdet in einer dieser Datei im zukünft

    Zitat

    <Limit GET POST PUT>
    order deny,allow
    deny from all
    allow from xxx.xxx.xxx.xxx
    allow from yyy.yyy.yyy.yyy
    </Limit>

    Wobei also den xxx und yyy shopadmin ipadressen sind.

    Da kan man dan auch noch ein Kombination aus programieren dass den admin emailadresse passwort nur geänderd / gesetzt werden könnte wen die zugang zu dieser Verzeichnis auch wirklich da ist, wie den ipadresse htaccess alllow. ( also ein admin login/passwort vergessen mail nur wen man in die Verzeichnisch Admin ist und zugelassen..)

    12 Mal editiert, zuletzt von jotest (10. Mai 2014 um 19:06)

    Also noch mal für alle zur Erklärung. Das hat nix mit der Session zu tun. Das Problem wurde im Dezember von uns erkannt und wir haben das ja mit heise.de auch publik gemacht. Das Hauptproblem ist, dass die Tabelle information_schema auslebar ist!!!! Das ist bei einigen Hostern im Standard so! Erst darüber können die Daten in diesem Falle abgegriffen werden. Ich persönlich war auch schon bei der Kripo zur Aussage deswegen, weil ich den Fehler erkannt habe und veröffentlicht habe. Für die 2.1/2.2 haben wir auch einen Fix bereit gestellt. Man sollte allerdings wirklich langsam auf die aktuelle Version wechseln, die 2.1 wird nicht mehr offiziell unterstützt.

    <p>Wir geben nur Anregungen und Hilfestellung auf Basis unserer Erfahrung, keine Rechtshilfe!<br>\m/('_')\m/</p>