Problem mit Hackerangriffen

[webald]

Klar. Legt sich ein Konto an und wird Admin... Da kannst Du dann FTP und DB-Passwörter ändern wie du willst, weil der geht einfach über die Weboberfläche des Shops.

Wie soll eine Änderung von FTP-Zugängen und Datenbank-Passworten über den Admin-Bereich des Shops funktionieren? *kopfkratz*

Das hast Du falsch verstanden. Wenn er ein Konto mit Adminrechten hat, dann sind die Passwörter für ftp und DB egal. Wenn dann der Shopbetreiber diese Passörter ändert, dann bleibt der trotzdem Admin; das bringt also in so einem Fall nix.

[Bonsai]

Wie soll eine Änderung von FTP-Zugängen und Datenbank-Passworten über den Admin-Bereich des Shops funktionieren? *kopfkratz*

Man kann im Adminbereich des Shops auch php Dateien hochladen für z.B. content.

Jetzt baue einfach mal eine php Datei, die z.B. die Versandkosten genau so anzeigt wie bisher, aber auch die phpmailer Klasse einbindet und automatisch die Datei includes/configure.php per mail irgendwohin schickt.

Sobald man die configure Datei hat, kann man auch FTP Passwort oder DB Passwort ändern .... Da steht ja alles drin ....
Eventuell fehlt einem noch die Webadresse des myphpadmin, aber mit
http://ping.eu/ns-whois/
findet man zumeist gleich raus bei welchem Provider das ist. Damit kommt man dann auch an myphpadmin.

[onlineorange]

Hallo,

danke für alle INfos.

Werde heute noch einmal folgendes tun:

1. PHP-Dateien im Template anschauen ob Schadcode enthalten
2. Shop neu aufspielen
3. Produktbilder neu aufspielen
4. Template neu aufspielen
5. FTP-,DB-, und Admin-Passwort ändern
6. Adminbereich und images-Ordner via htaccess sichern

Und dann schauen wir ob der "Freund" noch einmal schlägt.

Vielen Dank.

Andreas

[ChristianRothe]

Sobald man die configure Datei hat, kann man auch FTP Passwort oder DB Passwort ändern .... Da steht ja alles drin ....

Eine Kiste Campagner für Dich, wenn Du es schaffst bei Kenntnis des Inhalts der configure-Datei das FTP-Passwort eines Shop-Webspaces durch ein neues Passwort zu ersetzen. Nach meinem Wissensstand müsste man dazu nämlich Administrator des FTP-Servers sein. Gleiches gilt für die Datenbank.

Unabhängig davon ist es natürlich wichtig, dass niemand als Shop-Admin agiert, der dies nicht soll. Denn als Shop-Admin kann man selbstverständlich den ganzen Unfug anstellen, der hier in zahlreichen Beiträgen beschrieben wird. Eine der wirksamsten - und zugleich einfachsten - Maßnahmen, um dies zu verhindern ist und bleibt der Schutz des Verzeichnisses /admin mittels .htaccess-Datei.

[p3e]

Tipp zu Punkt

1. PHP-Dateien im Template anschauen ob Schadcode enthalten

Das hört sich so an, als ob Du kein BackUp vom Template hast. In dem Fall solltest Du das original Template mittels WINmerge (oder ähnlichem) mit Deinem vergleichen. Damit kannst Du je nach Einstellung ganze Verzeichnisse inkl. den Unterverzeichnissen und deren Inhalten miteinander vergleichen.
Grundsätzlich verdächtige Kandidaten sind PHP und JavaScript die aber auch in den HTML-Dateien enthalten sein können. Bitte nicht nur die PHP-Dateien vergleichen, dann fängst Du unter Umständen demnächst wieder von neuem an. Im Zweifel lieber hier noch einmal nachfragen.

[onlineorange]

Hallöle,

das werde ich tun, ich vergleiche alle Dateien.

Bei Fragen oder Zweifel wende ich mich wieder ganz vertrauensvoll an Euch.

Danke.

Lieben Gruß

Andreas

[hbauer]

6. Adminbereich und images-Ordner via htaccess sichern

Also den Image Ordner darfst Du nicht via htaccess sichern.

Gruß

Hagen

[webald]

Eine Kiste Campagner für Dich, wenn Du es schaffst bei Kenntnis des Inhalts der configure-Datei das FTP-Passwort eines Shop-Webspaces durch ein neues Passwort zu ersetzen. Nach meinem Wissensstand müsste man dazu nämlich Administrator des FTP-Servers sein. Gleiches gilt für die Datenbank.

Das bringt in meinen Augen die Frage auf, ob man prüfen kann ob der DB-User des Shops Update-Rechte für mysql.user hat. Falls ja, sollte im Shop wie bei vorhandenem Installverzeichnis ein Warnung ausgegeben werden, das dies ein Sicherheitsrisko darstellt.

Darüber hinaus sollte man bei der Anmeldung als Administrator einen Hinweis auf die Anzahl der vorhanden Admins erhalten um das ggf. sofort zu prüfen.

[p3e]

6. Adminbereich und images-Ordner via htaccess sichern

Also den Image Ordner darfst Du nicht via htaccess sichern.

Gruß

Hagen

Doch, kann man. Anleitung habe ich weiter oben geschrieben.

[hbauer]

Doch, kann man. Anleitung habe ich weiter oben geschrieben.

Stimmt. Ich hatte das anders verstanden aber so geht es natürlich.

[Gradler]

Das bringt in meinen Augen die Frage auf, ob man prüfen kann ob der DB-User des Shops Update-Rechte für mysql.user hat. Falls ja, sollte im Shop wie bei vorhandenem Installverzeichnis ein Warnung ausgegeben werden, das dies ein Sicherheitsrisko darstellt.

Stellt sich immer noch die uneantwortete Frage welche Shopversion und ob Joomla oder/und was sonst noch in welcher Version auf dem Webspace läuft. Auch ob es ei eigener Server ist und was da eingesetzt wurde.

Der Angriff kann ja auch von woanders her gestartet worden sein ...

[p3e]

Das würde mich auch interessieren. So wie ChristianRothe richtig schreibt, sieht das von der Datenstruktur wie Joomla aus. Es kann natürlich auch sein, dass der Schadcode nur auf Joomla spezialisiert ist und deshalb seine Datenstruktur nutzt.
Was für ein CMS da drauf war, wissen wir ja nicht und auch die Ergebnisse aus den Log-Dateien kennen wir nicht wirklich.
Ich denke wir werden es nicht erfahren.

[onlineorange]

Hallo,

doch doch das erfahrt Ihr natürlich.

Sorry, hatte ich vergessen zu erwähnen.

Es handelt sich um einen modified-shop 1.06 rev4642 SP2 mit den
aktuellen Patches

Das ist das einzige was auf dem Webspace jetzt noch läuft
mehr nicht.

Es handelt sich um einen Webhosting-Paket von Alfahosting.

Nochmal sorry, dass ich das vergessen hatte.

Gruß

Andreas

[onlineorange]

hallo nochmal,

was die logs angeht, würde ich morgen hier einen Auszug reinsetzen.

Wäre das in Ordnung?

Danke.

Gruß

Andreas

[Gradler]

Das ist das einzige was auf dem Webspace jetzt noch läuft
mehr nicht.

Was heissen soll ... ???