Code-Injection

[John_Delay]

Hi dragan123,

hmmm, also ich hab bestimmt schon 5 oder 6 verschiedene FTP-Clients getestet und komme mit Filezilla immer noch am besten zurecht - @Barnabas: WinSCP lief bei mir sehr langsam, vielleicht habe ich aber auch die falschen Einstellungen benutzt. Passwörter werden da auch gespeichert - allerdings verschlüsselt und in der Registry - zumindest ein Fortschritt. Jedenfalls finde ich Filezilla sehr bedienerfreundlich. Die Passwortspeicherung sollte man tunlichst ausschalten, da hat jannemann schon Recht, da diese in der Tat im Klartext auf Deinem PC gespeichert werden. Beim Abschalten der Kennwort-Speicherung muss man allerdings auch darauf achten, dass nicht doch das Passwort der letzten Sitzung gespeichert wird .... dafür hat Filezilla nämlich einen anderen Speicherort - supi.

Was den Passwort-Diebstahl betrifft: denke ich, dass die generelle Wahrscheinlichkeit größer ist, dass sich der Eindringling über den Server Zutritt verschafft - sofern Du auf einem Shared Hosting sitzt. Zumal es sich um eine Image-Datei handelte - wie hieß die denn? irgendwas mit GIF89a?

Jedenfalls würde ich Dir vorschlagen, erstmal ein Überwachungs-Tool zu installieren, um der Sache auf den Grund zu gehen, bevor Du gleich den Hoster wechselst ... kostet ja auch Zeit. Falls Du ein Shared Hosting hast, bist Du diesbezüglich allerdings etwas eingeschränkt. Mir fallen da ein: WebVulScan, Rips, ExploitScanner ... einfach mal googeln.

Gruß, Ingo

Edit: huch, achso ... ein Iframe, verlesen - sry. Dann wohl doch eher irgendwas, womit Kunden-Cookies abgegriffen werden können, vermute ich.

[katch]

In allen Fällen dieser Art die ich "behandelt" habe wurde im Iframe Schadcode nachgeladen, beispielsweise um Sicherheitslücken im Browser auszunutzen. Das Cookies das Ziel waren kann man eigentlich ausschließen. Cookies sind Domaingebunden, also müsste innerhalb des Iframes ein Script von der gleichen Domain abgerufen werden. Das macht jedoch den Iframe überflüssig, denn hat man bereits Schreibzugriff auf die Dateien kann man seinen Code auch direkt ins Script basteln. Abgesehen davon: Was will man mit Cookies wenn man offensichtlich ohnehin an alle Dateien kommt und somit auch direkt configure.php und damit die Datenbankverbindung lesen kann?

[John_Delay]

Hi katch,

als ich schrieb, dass es wahrscheinlich eher über den Server eingebunden wird, meinte ich eben NICHT, dass der Angreifer von außen per FTP-Zugriff oder ssh rein kommt ... wie Du schon erkannt hast, das würde keinen Sinn machen. Und es kann durchaus sein, dass Cookies über den Browser abgegriffen werden, mit denen man sich dann in das Kundenkonto der Betreffenden einloggen kann, um nachzuschauen, ob dort Bankdaten gespeichert sind. In manchen Shop-Systemen ist das der Fall. Und ein Tool, um Cookies abzugreifen IST m. E. definitiv auch "Schadcode", der nachgeladen wird ... oder nicht? Das Cookie holt sich das Tool ja aus dem Client-Browser.

Gruß, Ingo

P.S.: und natürlich wird dabei immer versucht, eine Sicherheitslücke im Browser auszunutzen ...

[dragan123]

Die ganzen Passwörter (FTP und Kundenlogin) habe ich immer wieder geändert.
Werde jetzt mal Filezilla von unseren Rechner löschen und dann mal sehen.

Ist es möglich, daß man als "Kunde" reinkommt? Soll ich mir die Kunden mal genauer ansehen? Oder ist es unrealistisch?
Es gibt bei uns nur 2 admins. Von beiden habe ich die Passwörter geändert.

[John_Delay]

@dragan123: haben Deine Kunden an irgend einer Stelle (im Kundenkonto oder während des Bestellvorganges) die Möglichkeit eine Datei hochzuladen?

[dragan123]

@John_Delay

Nein, man kann nichts hochladen.

Ausserdem: Ich habe auch am Shopsystem selbst nichts geändert.

[John_Delay]

Hallo dragan123,

es gäbe ggf. Möglichkeiten per XSS von außer herein zu kommen ... möchte das hier aber nicht näher beschreiben, da ich keine Anleitung liefern will. Damit wäre niemandem geholfen. Beschreibe mal, wo genau das Iframe erschienen ist. Falls es XSS war, dann ist es auch noch vorhanden, denn es wäre in der DB gespeichert und an der hast Du ja nichts verändert oder? Da bringt dann auch ein Update auf 1.06 nichts. Gegen eine kleine Aufwandsentschädigung würde ich mir das mal ansehen.

Gruß, Ingo

[h-h-h]

Hallo Ingo,
hast du deine Aussage mal im 1.06 Demoshop getestet? 

Viele Grüße

h-h-h

[dragan123]

Ich habe es im 1. Beitrag geschrieben. Z.B. in der popup_image.php. Also in der Datei, die ich runterladen kann, nicht die ausgegeben wird.
Der Code stand nach dem </body> vor dem </html>
Also nicht in der DB

[John_Delay]

@h-h-h: Nein, aber sprich da bitte Torsten drauf an ... der weiss was ich meine

@dragan123: Achja stimmt, sry - hatte ich nicht mehr bedacht.

[h-h-h]

@h-h-h: Nein, aber sprich da bitte Torsten drauf an ... der weiss was ich meine

Hallo Ingo,
ich weiß was du meinst, doch xt:Commerce ist nicht modified, daher teste es erst mal in der 1.06. 

Viele Grüße

h-h-h

[John_Delay]

Hallo h-h-h,

Dein Einwand ist berechtigt. Aber im vorliegenden Falle hat derjenige Probleme mit einer 1.05´er Version (die er aber wohl mittlerweile geupdated hat), von der wir bislang nicht wissen, um welches rel. es sich handelt. Da nützt es mir auch nichts, das an meiner 1.06´er zu testen. Na ok, zugegeben, ich habe es gestern mit dem "dort" *gg angegebenen String probiert und es ist zumindest ein Tag-opener stehen geblieben ... das war für mich Grund genug zur Annahme, dass sich das System ggf. austricksen lassen könnte. Aber ich habe für solche Spielereien nur wenig Zeit und schon gar kein Interesse daran mich als Cracker zu betätigen. Ich wollte nur meine Hilfe anbieten ... und das Thema hier auf keinen Fall breit treten ... wenn Du weisst was ich meine.  Dafür ist es aber offenbar nun zu spät.

Gruß, Ingo

Edit: Ich sehe grade, Ihr habt zwischen der 1.05-b und 1.05-d sehr viel verändert, insbesondere im Punkt Sicherheit, oder?

[fishnet]

Niemand sagt, dass FileZilla schlecht ist.

Filezilla ist schlecht! 

Edit: Ich sehe grade, Ihr habt zwischen der 1.05-b und 1.05-d sehr viel verändert, insbesondere im Punkt Sicherheit, oder?

Das Update zum Servicepack 1d ist mit das Wichtigste von allen!

Ist es möglich, daß man als "Kunde" reinkommt? Soll ich mir die Kunden mal genauer ansehen? Oder ist es unrealistisch?

Als Kunde nicht, aber der "Kunde" kann sich natürlich zum Admin machen. Bei 1.06 ist das nicht mehr möglich (so Gott will)

[John_Delay]

Oh mein Gott, lach ... hab´ ich doch gesagt  nu geht´s ab. Ich sag´ hier nix mehr ohne meinen Anwalt, hehe - und klinke mich mal aus. Viel Spass noch,

Gruß, Ingo

@dragan123: sorry, dass man Dir nicht mehr helfen konnte, aber das Thema ist auch sehr sensibel und sollte m. E. nur bedingt öffentlich diskutiert werden. Säubere Deinen PC, speichere keine Passwörter mehr, wechsel den Hoster uns schau, ob das Besserung bringt.

[dragan123]

bin dabei...