Thema: Wiedermal Angriffe

nicnero · **am:** 24. Mai 2011, 16:22:41

Hallo
Heute habe ich wieder 5 Versuche gehabt von Hackern an meine Datenbank zu kommen. Sie scheinen wieder sehr aktiv zu sein. Vom Kollegen 3 Seiten gehackt. Ist aber xt:Commerce. Eine Seite hat auch noch eine Macke. ich weiß aber nicht wo ich da ansetzen soll. Bei Suche über Google nach der Seite springt beim ersten Aufruf der Virenscanner an. Klick man den weg und versucht es erneut geht es. Komisch ich weiß da nicht wo ich ansetzen soll. Vielleicht habt Ihr eine Idee?
gruß Nico

Linkback: https://www.modified-shop.org/forum/index.php?topic=13139.0

Tomcraft · **Antwort #1 am:** 24. Mai 2011, 16:43:36

Bist du mal so lieb und gibst uns einen Link zu deinem Shop?

Woher nimmst du die Annahme, dass versucht wird an deine Datenbank zu kommen? Schaust du da unter "Hilfsprogramme" -> "Wer ist Online"? Da sieht man häufiger die vergeblichen versuche von Bots.

Die grasen willkürlich das Internet ab auf der Suche nach bekannten Schwachstellen.

Grüße

Torsten

nicnero · **Antwort #2 am:** 24. Mai 2011, 16:59:26

Hallo Torsten,
das war aber kein Bot, denke ich zumindest. Es wurde versucht ein phpMyAdmin Programm zu finden und die Setup Datei zu starten. Ist ja zum Glück im FTP abgesichert mit den Zugriffsrechten. Vielleicht sind es bloss Bots aber es war das erste mal das ich es gesehen habe. Bei "Wer ist Online".
Gib mal bitte bei Google "Glamour Fashion World" ein. Die Seite www.glamour-fashion-world.de ist meine. Und auch bei der www.youngstyle-4-you.de/blog kommt auch die Meldung. Ist auch eine von mir.
Gruß Nico

Tomcraft · **Antwort #3 am:** 24. Mai 2011, 17:19:22

Doch... das ist der Klassiker schlechthin! Es wird nach offenen phpMyAdmin Installationen gesucht! Das Thema hatten wir hier im Forum schon sehr oft.

Ich bin mit Mac OS X unterwegs und habe keinen Echtzeit-Scanner laufen, da werde ich keine Virenmeldung erhalten.

Grüße

Torsten

Matt · **Antwort #4 am:** 24. Mai 2011, 17:34:15

Zitat von: nicnero am 24. Mai 2011, 16:59:26

[...]
das war aber kein Bot, denke ich zumindest. Es wurde versucht ein phpMyAdmin Programm zu finden und die Setup Datei zu starten. Ist ja zum Glück im FTP abgesichert mit den Zugriffsrechten. [...]

phpMyAdmin sollte immer auch noch mal mit ".htaccess" abgesichert sein, denn sicher ist sicher und pma auch nicht fehlerfrei.

Zitat von: nicnero am 24. Mai 2011, 16:59:26

[...]
Gib mal bitte bei Google "Glamour Fashion World" ein. Die Seite www.glamour-fashion-world.de ist meine. Und auch bei der www.youngstyle-4-you.de/blog kommt auch die Meldung. Ist auch eine von mir.
[...]

Welche Meldung?

nicnero · **Antwort #5 am:** 24. Mai 2011, 18:02:11

Hier mal ein Screenshot.
Ich hoffe man kann es sehen. Morgen mach ich mal beim Firefox 'nen ordentlichen Screenshot.

luckybaron · **Antwort #6 am:** 24. Mai 2011, 18:04:23

Na, vergessen den Screenshot anzuhängen??

nicnero · **Antwort #7 am:** 24. Mai 2011, 18:42:40

Hallo
Nun weiß ich auch nicht mehr weiter. Bei manchen geht es bei manchen nicht.
Habe gerade nochmal mit meinen Kollegen telefoniert.
Wir haben Google aufgerufen und als Suchbegriff Glamour Fashion World eingegeben.
Als Resultat haben wir die Seite www.youngstyle-4-you.de/blog aufgerufen. Dann erscheint ein Fenster welches besagt:

Zitat

möchten Sie das Binary File>>>Link entfernt<<<downloaden.

Nach abklicken, also ablehnen des Downloads und nochmaliges aufrufen der selben Seite kommt diese Meldung nicht mehr. Nun weiß ich gar nix mehr. Normal müsste die doch ständig kommen. Vielleicht könnt ihr es mal testen bitte.
Gruß Nico

[EDIT Tomcraft 24.05.2011: Link zum Schutz der Forenbenutzer entfernt!]

Tomcraft · **Antwort #8 am:** 24. Mai 2011, 19:02:10

Zitat von: luckybaron am 24. Mai 2011, 18:04:23

Na, vergessen den Screenshot anzuhängen??

Er hat eine HTML Datei hochladen wollen:

Zitat

[denied extension] Gemeldete_unsichere_Website_Navigation_wurde_geblockt.htm (8.5 KB) 59 Minuten old [84.133.120.148]

Grüße

Torsten

luckybaron · **Antwort #9 am:** 24. Mai 2011, 19:06:09

Gut dann hänge ich einen an.

Also ich habe bei Google auch mal nach Glamour Fashion World gesucht, habe dann den ersten Link zu http://www.glamour-fashion-world.de angeklickt und das Ergebnis ist als Anhang zu sehen.
Doch wenn ich jetzt die Seite nochmal aufrufe geht es.

[ Für Gäste sind keine Dateianhänge sichtbar ]

nicnero · **Antwort #10 am:** 24. Mai 2011, 19:15:13

Ja genau luckybaron,
das ist die Meldung, die ich meinte. Das eigenartige ist, dass Sie nur einmal kommt und jeder Kunde klickt da nicht nochmal darauf.
Das Problem ist nun woran liegt es. Oder muss ich den Shop neu aufsetzen. Das will ich aber vermeiden wenn möglich.

luckybaron · **Antwort #11 am:** 24. Mai 2011, 19:33:13

Such doch mal in deinen Dateien nach dieser merkwürdigen Adresse.
Eventuell ist da was zu finden.

nicnero · **Antwort #12 am:** 24. Mai 2011, 20:04:57

Hallo welches Programm würdest du empfehlen. Ich glaube grepWin ist da nicht das richtige, oder?
Weil damit hat er nix gefunden.

Tomcraft · **Antwort #13 am:** 24. Mai 2011, 20:22:22

Doch, das ist genau das richtige Programm dafür!

Suche mal nach "base64" und "decode", das hatten wir neulich erst, siehe: xt:Commerce: Zahlungsarten ständig "von alleine" deaktiviert

Grüße

Torsten

nicnero · **Antwort #14 am:** 24. Mai 2011, 20:36:24

Bingo Torsten,
damit hat er einige Dateien gefunden. Mit beiden Suchwörtern.
Und nun?

MfG

Thema: Wiedermal Angriffe

nicnero

Wiedermal Angriffe

Tomcraft

Wiedermal Angriffe

nicnero

Wiedermal Angriffe

Tomcraft

Wiedermal Angriffe

Matt

Wiedermal Angriffe

nicnero

Wiedermal Angriffe

luckybaron

Wiedermal Angriffe

nicnero

Wiedermal Angriffe

Tomcraft

Wiedermal Angriffe

luckybaron

Wiedermal Angriffe

nicnero

Wiedermal Angriffe

luckybaron

Wiedermal Angriffe

nicnero

Wiedermal Angriffe

Tomcraft

Wiedermal Angriffe

nicnero

Wiedermal Angriffe

Teile Thema

Ähnliche Themen

CCS buttons - wiedermal

Shop-Angriffe

modified eCommerce Shopsoftware Shops auch anfällig für diese Angriffe?

Hacker-Angriffe - E-Mail-Versand über Datei template.php