Hack - falsche Bankdaten im Shop hinterlegt

[0815]

Er hat laut Logdatei einige Kunden einzeln über die orders.php aufgerufen und ein paar Einstellungen von true auf false gestellt.
Das hat er m. E. nicht über den Code der Datei gemacht, sondern über das Backend.
Der Herr vom LKA hat das auch so interpretiert.

Wie er letztendlich herein gekommen ist, konnten wir leider nicht ermitteln.

Meine Lösung ist fast fertig, aber wegen der ganzen Angelegenheit hatte ich nur 3 Stunden Schlaf und deshalb brauche ich jetzt leider mal eine große Pause.
Ich hoffe, dass ihn meine bisherigen Änderungen von weiteren Manipulationen abhalten, bis ich wieder auf 100 % bin.

GN8

[total10]

Wir hatten vor Jahren mal einen Kunden mit genau demselben Fall. Der Angreifer hatte zusätzlich zu dem von dir beschrieben auch alle anderen Zahlarten deaktiviert sodass immer seine Bankverbindung rausging. Falls noch nicht geschehen, überprüf das mal.

Da der Hack doch recht speziell auf modified ausgerichtet ist, solltest du auch davon ausgehen, dass dein Angreifer hier ggf. mitliest.

Damals war es eine Shell die auf den Server gelangt war durch eine verwundbare Wordpress Installation, derjenige braucht also keinen Admin Zugang zu deinem Shop.

[HaldOn]

Eine Hilfe kann auch der Prüfsummen Scanner sein: MODUL: Prüfsummenscanner Deutsch / English

[0815]

Zeigt das Tool auch wenn neue, zusätzliche Dateien hochgeladen werden?

[HaldOn]

Zeigt das Tool auch wenn neue, zusätzliche Dateien hochgeladen werden?

Nein aber veränderte Dateien des Typs CSS, HTML, PHP und JS

Zitat aus dem Modul:

Erläuterung zu diesem Modul:
Dieser Scanner erzeugt für jede CSS, HTML, JS und PHP Datei des Shops eine Prüfsumme, sobald auf "Zurücksetzen" geklickt wird.
Danach hast du immer die Möglichkeit mit "Anzeigen" festzustellen, ob sich die Dateien seit dem letzten Erzeugen von Prüfsummen geändert haben oder nicht.
Somit kannst du überwachen, ob sich vielleicht Dateien geändert haben, ohne das du selbst etwas editiert hast.
Dies ist meist ein Anzeichen davon, dass jemand Zugang zum Datenbestand bekommen hat.

[h-h-h]

Hallo 0815,

dein Shop läuft auf NginX, damit funtionieren "alle" .htaccess Dateien nicht und müssen erst für die NginX-Konfiguration umgeschrieben werden.
Dein Log-Ordner ist zwar bei dir geschützt, doch es gibt noch viel mehr Beschränkungen durch .htaccess-Dateien in Unterordner über den ganzen Shop verteilt, dies könnte ein Einfallstor sein.

Gruß, h-h-h

[0815]

Nein, der Shop läuft nicht auf NginX.

[0815]

Gibt es irgendwo eine Liste aller Sicherheitslücken der vergangen Jahre und den damit zusammenhängenden Updates?
Ich möchte gerne ausschließen, dass wir ein Loch nicht gestopft haben.

[hpzeller]

Hallo 0815,

in deinem Fall empfiehlt es sich einen zusätzlichen Passwortschutz auf das Admin Verzeichnis einzurichten, welcher unabhängig von der Shopsoftware und unabhängig von PHP funktioniert.

In folgenden Links wird so eine Möglichkeit beschrieben.
https://wiki.selfhtml.org/wiki/Webserver/htaccess/Passwortschutz
https://wiki.apache.org/httpd/PasswordBasicAuth

Gruss
Hanspeter

[0815]

Danke für den Hinweis, dass hatten wir allerdings bereits unmittelbar nach dem Entdecken des Hacks als erstes erledigt.

Unabhängig davon mal eine allgemeine Frage zum Thema Sicherheit.

Warum ist so ein hervorragendes Modul wie der Prüfsummenscanner nicht standardmäßig im Shop implementiert.
Wenn das Modul dann noch um eine E-Mail Benachrichtigung erweitert würde, wäre die Welt wieder ein wenig sicherer und Manipulationen könnten so auch viel schneller endeckt werden.

[p3e]

Wenn der Angreifer Zugang auf Deine Dateien hat, kann er den Prüfsummenscanner natürlich ebenfalls manipulieren. Sobald der Prüfsummenscanner standardmäßig im Shop ist, weiß das auch der gut vorbereitete Angreifer.

Bei der Shopsicherheit ist es so ähnlich wie der Einbruchschutz daheim. Du kannst dich noch so gut schützen, mit der richtigen Technik/dem richtigen Aufwand kommt ein Einbrecher dann doch rein.
Das 100% einbruchsichere Haus wirst Du nicht finden. Es reicht eine gute Portion sicherer zu sein als die Nachbarhäuser.